Izolacja sieci komputerowej
Izolacja sieci komputerowej umożliwia automatyczne izolowanie komputera od sieci w odpowiedzi na wykrycie wskaźnika naruszeń bezpieczeństwa (IOC).
Jeśli Izolacja sieci jest włączona, aplikacja zrywa wszystkie aktywne połączenia i blokuje wszystkie nowe połączenia sieciowe TCP/IP na komputerze, za wyjątkiem następujących połączeń:
- Połączenia znajdujące się w wykluczeniach Izolacji sieci.
- Połączenia zainicjowane przez usługi Kaspersky Endpoint Security.
- Połączenia zainicjowane przez agenta administracji Kaspersky Security Center.
Zarządzanie Izolacją sieci
Możesz skonfigurować ustawienia komponentu tylko w Web Console.
Możesz skonfigurować Izolację sieci tak, aby była włączana automatycznie w odpowiedzi na wykrycie IOC. Możesz także ręcznie włączyć i wyłączyć Izolację sieci.
Izolację sieci można włączyć:
- W szczegółach wykrycia.
Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu i zarządzaniu działaniami odpowiedzi. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum.
- Przy pomocy lokalnych ustawień aplikacji.
Konfigurowanie Izolacji sieci tak, aby była włączana automatycznie w odpowiedzi na wykrycie IOC
- W oknie głównym Web Console wybierz Urządzenia → Zadania.
Zostanie otwarta lista zadań.
- Wybierz zadanie Skanowanie IOC programu Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości zadania.
Jeśli to konieczne, utwórz zadanie Skanowanie IOC.
- Wybierz zakładkę Ustawienia aplikacji.
- W sekcji Akcja po wykryciu IOC zaznacz pola Podejmij działania w odpowiedzi po znalezieniu IOC i Odizoluj komputer od sieci.
- Zapisz swoje zmiany.
W wyniku tego działania, po wykryciu IOC, aplikacja odizoluje komputer od sieci, aby zapobiec rozprzestrzenianiu zagrożenia.
Ręczne włączanie Izolacji sieci komputera
- W oknie głównym Web Console wybierz Urządzenia → Zarządzane urządzenia.
- Wybierz komputer, dla którego chcesz skonfigurować lokalne ustawienia aplikacji.
Spowoduje to otwarcie właściwości komputera.
- Wybierz zakładkę Aplikacje.
- Kliknij Kaspersky Endpoint Security for Windows.
Spowoduje to otwarcie lokalnych ustawień aplikacji.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Detection and Response → Endpoint Detection and Response.
- W sekcji Izolacja sieci kliknij Odizoluj komputer od sieci.
- Zapisz swoje zmiany.
Możesz skonfigurować Izolację sieci tak, aby była wyłączana automatycznie po upłynięciu określonego czasu. Domyślnie, aplikacja wyłącza Izolację sieci po 5 godzinach od czasu, gdy została włączona. Możesz także ręcznie wyłączyć Izolację sieci. Po wyłączeniu Izolacji sieci komputer może używać sieci bez ograniczeń.
Konfigurowanie opóźnienia automatycznego wyłączania Izolacji sieci dla komputera
- W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
- Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Detection and Response → Endpoint Detection and Response.
- W sekcji Izolacja sieci kliknij Skonfiguruj ustawienia odblokowania komputera.
- To spowoduje otwarcie okna; w tym oknie zaznacz pole Automatycznie odblokuj izolowany komputer w ciągu N godzin i wprowadź opóźnienie automatycznego wyłączania Izolacji sieci.
- Zapisz swoje zmiany.
Ręczne wyłączanie Izolacji sieci komputera
- W oknie głównym Web Console wybierz Urządzenia → Zarządzane urządzenia.
- Wybierz komputer, dla którego chcesz skonfigurować lokalne ustawienia aplikacji.
Spowoduje to otwarcie właściwości komputera.
- Wybierz zakładkę Aplikacje.
- Kliknij Kaspersky Endpoint Security for Windows.
Spowoduje to otwarcie lokalnych ustawień aplikacji.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Detection and Response → Endpoint Detection and Response.
- W sekcji Izolacja sieci kliknij Odblokuj komputer odizolowany od sieci.
- Zapisz swoje zmiany.
Możesz także wyłączyć Izolację sieci lokalnie przy użyciu wiersza polecenia.
Wykluczenia Izolacji sieci
Możesz skonfigurować wykluczenia Izolacji sieci. Połączenia sieciowe, które odpowiadają regułom, nie są blokowane na komputerze, gdy Izolacja sieci jest włączona.
Aby skonfigurować wykluczenia izolacji sieci, możesz użyć listy standardowych profili sieciowych. Domyślnie, wykluczenia obejmują profile sieciowe zawierające reguły, które zapewniają nieprzerwane działanie urządzeń z rolami serwera DNS/DHCP i klienta DNS/DHCP. Możesz także ręcznie zmodyfikować ustawienia standardowych profili sieciowych lub zdefiniować wykluczenia (patrz instrukcja poniżej).
Wykluczenia określone we właściwościach zasady są stosowane tylko wtedy, gdy Izolacja sieci zostaje włączona automatycznie w odpowiedzi na wykryte zagrożenie. Wykluczenia określone we właściwościach komputera są stosowane tylko wtedy, gdy Izolacja sieci zostanie włączona ręcznie we właściwościach komputera w konsoli Kaspersky Security Center.
Aktywna zasada nie zapobiega stosowaniu wykluczeń z Izolacji sieci, skonfigurowanej we właściwościach komputera, ponieważ te parametry mają inne scenariusze korzystania.
Dodawanie wykluczenia Izolacji sieci
- W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
- Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Detection and Response → Endpoint Detection and Response.
- W sekcji Wykluczenia izolacji sieci kliknij Wykluczenia.
- To spowoduje otwarcie okna; w tym oknie kliknij Dodaj z profilu i wybierz standardowe profile sieciowe do konfigurowania wykluczeń.
Wykluczenia Izolacji sieci z profilu są dodawane do listy wykluczeń Izolacji sieci. Możesz przejrzeć właściwości połączenia sieciowego. Jeśli to konieczne, możesz zmodyfikować ustawienia połączenia sieciowego.
- Jeśli to konieczne, ręcznie dodaj wykluczenie Izolacji sieci. Aby to zrobić, w oknie z listą wykluczeń kliknij Dodaj i ręcznie edytuj ustawienia połączenia sieciowego.
- Zapisz swoje zmiany.
Możesz także przejrzeć listę wykluczenia Izolacji sieci lokalnie, korzystając z wiersza polecenia.
Przejdź do góry