Netzwerkisolation

Im Rahmen einer Reaktionsmaßnahme auf eine Bedrohung kann ein Gerät vom Netzwerk isoliert werden.

Besonderheiten bei Ausführung der Netzwerkisolation

Sobald die Netzwerkisolation aktiviert ist, unterbricht die Anwendung auf dem Gerät sämtliche aktive TCP/IP-Netzwerkverbindungen und blockiert das Herstellen neuer TCP/IP-Verbindungen, mit folgenden Ausnahmen:

• Verbindungen, die in den Ausnahmen für die Netzwerkisolation angegeben sind.
• Verbindungen, die durch die Dienste von Kaspersky Endpoint Security initiiert werden.
• Verbindungen, die durch den Kaspersky Security Center Administrationsagent initiiert werden.
• Verbindungen mit SVMs und Integrationsserver, wenn die Anwendung im Light Agent-Modus verwendet wird.

Die Netzwerkisolation kann angewendet werden, wenn eine der folgenden Bedingungen erfüllt ist:

• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" ist aktiviert und die Komponente "EDR Optimum" ist aktiviert.
• Die Integration der Anwendung "Kaspersky Endpoint Security" mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" ist aktiviert und die Lösung "Kaspersky Anti Targeted Attack Platform" ist aktiviert.

Das manuelle Deaktivieren der Netzwerkisolation ist unabhängig davon möglich, ob die Integration mit Detection and Response-Lösungen aktiviert ist und ob das Gerät durch eine Richtlinie abgedeckt ist. Auch die Aktivierung der Komponente "EDR Optimum" und der Lösung "Kaspersky Anti Targeted Attack Platform" hat keinen Einfluss auf die Möglichkeit, die Netzwerkisolation zu deaktivieren.

Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktivierung und Deaktivierung der Netzwerkisolation des Geräts sowie die Konfiguration der Ausnahmen von der Netzwerkisolation in Kaspersky Endpoint Detection and Response (KATA) durchgeführt. Weitere Informationen finden Sie in der Hilfe zur Kaspersky Anti Targeted Attack Platform. Bei Bedarf können Sie die Netzwerkisolation für ein Gerät manuell in den Geräteeigenschaften in der Web Console oder über die Befehlszeile deaktivieren.

Bei Integration mit Kaspersky Endpoint Detection and Response Optimum kann die Netzwerkisolation in einem der folgenden Modi angewendet werden:

• Automatischer Modus der Netzwerkisolation. Das Gerät kann aufgrund der Erkennung eines Kompromittierungsindikators (IOC) automatisch vom Netzwerk isoliert werden. Wenn Sie beim Erstellen und Konfigurieren der Aufgabenparameter für die IOC-Untersuchung im Block Aktionen beim Erkennen von IOCs die Kontrollkästchen Bei Erkennung eines IOCs folgende Reaktion anwenden und Gerät vom Netzwerk isolieren aktivieren, wird die Netzwerkisolation automatisch aktiviert, sobald die Anwendung Kompromittierungsindikatoren erkennt.

  Im automatischen Modus können Sie die folgenden Parameter der Netzwerkisolation konfigurieren:

  • Den Zeitraum ändern, nach dem die Netzwerkisolation automatisch deaktiviert wird.
  • Für automatisch isolierte Geräte Ausnahmen aus der Netzwerkisolation konfigurieren.

  Wenn ein automatisch isoliertes Gerät von einer Richtlinie abgedeckt wird, werden die in der Richtlinie angegebenen Einstellungen angewendet. Wenn keine Richtlinie angewendet wird, werden die in den Geräteeigenschaften angegebenen Parameter angewendet.

• Manueller Modus der Netzwerkisolation. Das Gerät kann vom Netzwerk isoliert werden, während die erkannte Bedrohung untersucht wird. Sie können die Netzwerkisolation für ein Gerät im Fenster mit den Alarmdetails und in den Geräteeigenschaften in der Web Console manuell aktivieren.

  Im manuellen Modus können Sie die folgenden Parameter der Netzwerkisolation konfigurieren:

  • Den Zeitraum ändern, nach dem die Netzwerkisolation automatisch deaktiviert wird.
  • Für manuell isolierte Geräte Ausnahmen aus der Netzwerkisolation konfigurieren.

Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie die Netzwerkisolation eines Geräts in den Geräteeigenschaften in der Web Console und über die Befehlszeile manuell deaktivieren.

Den Status der Netzwerkisolation des Geräts können Sie über die Befehlszeile überprüfen.

Ein isoliertes Gerät bekommt automatisch das Tag ISOLATED FROM NETWORK zugewiesen. Nachdem deaktivieren der Netzwerkisolation wird dieses Tag automatisch entfernt.

Allgemeine Informationen zum Abrufen einer Liste isolierter Geräte mittels Tag finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Einschränkungen der Netzwerkisolation

Bei Verwendung der Netzwerkisolation wird dringend empfohlen, dass Sie sich mit den unten beschriebenen Einschränkungen vertraut machen.

Damit die Netzwerkisolation funktioniert, muss Kaspersky Endpoint Security ausgeführt werden. Bei einem Ausfall von Kaspersky Endpoint Security (d. h., wenn die Anwendung wird nicht ausgeführt) ist die Blockierung des Datenverkehrs bei aktivierter Netzwerkisolation durch Kaspersky Anti Targeted Attack Platform oder Kaspersky Endpoint Detection and Response Optimum nicht garantiert.

DHCP und DNS werden nicht automatisch zu den Ausnahmen der Netzwerkisolation hinzugefügt. Wenn also die Netzwerkadresse einer Ressource während der Netzwerkisolation geändert wurde, kann Kaspersky Endpoint Security nicht darauf zugreifen. Gleiches gilt für die Knoten eines fehlertoleranten KATA-Servers. Es wird nicht empfohlen, ihre Adressen zu ändern, damit Kaspersky Endpoint Security die Verbindung zu ihnen nicht verliert.

Proxyserver werden nicht automatisch zu den Ausnahmen für die Netzwerkisolation hinzugefügt. Damit Kaspersky Endpoint Security die Verbindung zum KATA-Server nicht verliert, müssen Sie daher einen Proxyserver manuell zu den Ausnahmen hinzufügen.

Um Prozesse nach Namen von der Netzwerkisolation auszuschließen, benötigen die Geräte die Kernelversionen von 4.18 bis 6.6 mit Unterstützung von eBPF mit BTF.

Wenn Kaspersky Endpoint Security im Standard-Modus ausgeführt wird, werden bei Verwendung der Netzwerkisolation folgende Maßnahmen empfohlen:

• Verwendung des KSN-Proxyservers, um mit Kaspersky Security Network zu interagieren.
• Verwendung von Kaspersky Security Center als Proxyserver, um die Anwendung zu aktivieren.

  Wenn es nicht möglich ist, Kaspersky Security Center als Proxyserver zu verwenden, müssen die erforderlichen Parameter des Proxyservers konfiguriert und dieser zu den Ausnahmen hinzugefügt werden.

• Verwendung von Kaspersky Security Center als Quelle für die Datenbankaktualisierungen.

Diese Empfehlungen gelten nicht, wenn Kaspersky Endpoint Security im Light Agent-Modus verwendet wird.

In diesem Abschnitt Netzwerkisolation eines Geräts manuell in der Web Console aktivieren und deaktivieren Dauer der Netzwerkisolation im automatischen Modus konfigurieren Parameter der Netzwerkisolation manuell einrichten Ausnahmen für die Netzwerkisolation konfigurieren Netzwerkisolation eines Geräts über die Befehlszeile verwalten

Nach oben