Netzwerkisolation eines Geräts aktivieren und deaktivieren
Sie können die Netzwerkisolation von Geräten mittels folgenden Methoden aktivieren:
- Mittels der Aufgabe zur IoC-Untersuchung.
Wenn Sie beim Erstellen und Konfigurieren der Aufgabenparameter für die IoC-Untersuchung im Block Aktionen bei Erkennung eines IOCs die Kontrollkästchen Anzuwendende Aktion als Reaktion auf ein erkanntes IOC und Gerät vom Netzwerk isolieren aktivieren, wird die Netzwerkisolation automatisch aktiviert, sobald die App Kompromittierungsindikatoren (IOC) erkennt.
- Im Fenster mit den Alarmdetails
- In den Geräteeigenschaften in der Web Console.
Die Aktivierung der Netzwerkisolation ist nur verfügbar, wenn die Integration mit Kaspersky Endpoint Detection and Response Optimum-Lösung ist und die Komponente "EDR Optimum" den Status Wird ausgeführt besitzt.
Sie können die Netzwerkisolation von Geräten mittels folgenden Methoden deaktivieren:
- Manuell in den Geräteeigenschaften in der Web Console.
- Manuell über die Befehlszeile.
- Im Fenster mit den Alarmdetails
- Durch Einstellen der automatischen Deaktivierung in den Geräteeigenschaften oder den Richtlinieneigenschaften.
Die Deaktivierung der Netzwerkisolation in den Geräteeigenschaften und in der Befehlszeile ist unabhängig von Folgenden Bedingungen verfügbar: Aktivierung der Integration mit Kaspersky Endpoint Detection and Response Optimum, Aktivierung der Komponente "EDR Optimum" und Abdeckung des Geräts durch eine Richtlinie.
Sie können für Netzwerkverbindungen auch Ausnahmen konfigurieren, die nicht isoliert werden sollen, wenn die Netzwerkisolation aktiviert wird.
Den Status der Netzwerkisolation können Sie über die Befehlszeile überprüfen.
Sobald die Netzwerkisolation aktiviert ist, unterbricht die App auf dem Gerät sämtliche aktive TCP/IP-Netzwerkverbindungen und blockiert das Herstellen neuer TCP/IP-Verbindungen, mit folgenden Ausnahmen:
- Verbindungen, die in den Ausnahmen für die Netzwerkisolation angegeben sind
- Verbindungen, die durch die Dienste von Kaspersky Endpoint Security initiiert werden
- Verbindungen, die durch den Kaspersky Endpoint Security Administrationsagent initiiert werden
- Verbindungen mit SVMs und Integrationsserver, wenn die App im Light Agent-Modus verwendet wird.
Ein isoliertes Gerät bekommt von EDR Optimum automatisch das Tag ISOLATED FROM NETWORK zugewiesen. Nachdem deaktivieren der Netzwerkisolation wird dieses Tag automatisch entfernt.
Allgemeine Informationen zum Abrufen einer Liste isolierter Geräte mittels Tag finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.