При интеграции с решениями Detection and Response в рамках действия по реагированию на угрозы устройство может быть изолировано от сети.
Особенности работы сетевой изоляции
После включения сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих:
Сетевая изоляция может применяться при выполнении одного из следующих условий:
При интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise), с Kaspersky Endpoint Detection and Response (KATA) и Kaspersky Managed Detection and Response включение и выключение сетевой изоляции устройства, а также настройка исключений из сетевой изоляции выполняется на стороне соответствующего решения Detection and Response. Подробнее см. в справке Kaspersky Endpoint Detection and Response Expert (on-premise), в справке Kaspersky Anti Targeted Attack Platform или в справке Kaspersky Managed Detection and Response. Если требуется, вы можете вручную выключать сетевую изоляцию устройства:
Выключение сетевой изоляции вручную доступно вне зависимости от того, включена ли интеграция с решениями Detection and Response, а также вне зависимости от того, распространяется ли на устройство действие политики.
При интеграции с Kaspersky Endpoint Detection and Response Optimum сетевая изоляция может применяться в одном из следующих режимов:
Вы можете настроить следующие параметры сетевой изоляции в автоматическом режиме:
Если на устройство, изолируемое в автоматическом режиме, распространяется политика, то применяются параметры, заданные в политике. Если политика не распространяется, то применяются параметры, заданные в свойствах устройства.
Вы можете настроить следующие параметры сетевой изоляции в ручном режиме:
При интеграции с Kaspersky Endpoint Detection and Response Optimum вы можете вручную выключать сетевую изоляцию устройства в свойствах устройства в Web Console и в командной строке.
Вы можете проверять статус сетевой изоляции устройства в командной строке.
Изолированному устройству автоматически присваивается тег ISOLATED FROM NETWORK. После выключения сетевой изоляции этот тег автоматически снимается.
Общую информацию о получении списка изолированных устройств по тегу см. в справке Kaspersky Endpoint Detection and Response Optimum.
Ограничения сетевой изоляции
При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с описанными ограничениями.
Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решениями Detection and Response не гарантируется.
DHCP и DNS не добавляются автоматически в исключения из сетевой изоляции, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.
Прокси-сервер не добавляется автоматически в исключения из сетевой изоляции, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером, обеспечивающим интеграцию.
Исключение процесса из сетевой изоляции по имени поддерживается на устройствах с версией ядра от 4.18 с поддержкой eBPF с BTF и с включенными функциями tracepoints и kprobes для трассировки ядра.
Если приложение Kaspersky Endpoint Security используется в стандартном режиме или в режиме Агента Endpoint Detection and Response, при использовании сетевой изоляции рекомендуется:
В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера требуется настроить параметры нужного прокси-сервера и добавить его в исключения.
Эти рекомендации неприменимы, если приложение Kaspersky Endpoint Security используется в режиме Легкого агента.