Aislamiento de la red del equipo
El aislamiento de la red del equipo permite aislar automáticamente un equipo de la red en respuesta a la detección de un indicador de compromiso (IOC): modo automático. Puede activar manualmente el aislamiento de la red mientras investiga la amenaza detectada: modo manual.
Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, a excepción de las siguientes conexiones.
- Conexiones enumeradas en Exclusiones de aislamiento de la red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el Agente de red de Kaspersky Security Center.
La configuración de los componentes solo se puede modificar en Web Console.
Modo de aislamiento de la red automático
Puede configurar el aislamiento de la red para que se active automáticamente en respuesta a una detección de IOC. Puede configurar el modo de aislamiento de la red automático con una directiva de grupo.
Cómo configurar el aislamiento de la red para que se active automáticamente en respuesta a una detección de IOC
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Seleccione la tarea Análisis de IOC de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
Si es necesario, cree la tarea Análisis de IOC.
- Seleccione la ficha Configuración de la aplicación.
- En el bloque Acción al detectar un IOC, seleccione las casillas Tomar medidas de respuesta después de que se encuentra un IOC y Aislar el equipo de la red.
- Guarde los cambios.
Como resultado, cuando se detecta un IOC, la aplicación aísla el equipo de la red para evitar que la amenaza se propague.
Puede configurar el aislamiento de red para que se desactive automáticamente una vez transcurrido un tiempo especificado. De forma predeterminada, la aplicación desactiva el aislamiento de la red una vez transcurridas 8 horas desde su activación. También puede desactivar el aislamiento de la red manualmente (consulte las instrucciones a continuación). Después de desactivar el aislamiento de red, el equipo puede utilizar la red sin restricciones.
Cómo configurar la demora en la desactivación del aislamiento de la red de un equipo en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de la red, haga clic en Establezca la configuración del desbloqueo del equipo.
- Esto abre una ventana; en esta ventana, seleccione la casilla Desbloquear automáticamente el equipo aislado en N horas e ingrese la demora para desactivar automáticamente el aislamiento de la red.
- Guarde los cambios.
Modo de aislamiento de la red manual
Puede activar o desactivar manualmente el aislamiento de la red. Puede configurar el modo de aislamiento de la red manual usando las propiedades del equipo en la consola de Kaspersky Security Center.
Puede activar el aislamiento de la red:
Cómo activar manualmente el aislamiento de red de un equipo
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de la red, haga clic en Aislar el equipo de la red.
Puede configurar el aislamiento de red para que se desactive automáticamente una vez transcurrido un tiempo especificado. De forma predeterminada, la aplicación desactiva el aislamiento de la red una vez transcurridas 8 horas desde su activación. Después de desactivar el aislamiento de red, el equipo puede utilizar la red sin restricciones.
Cómo configurar la demora en la desactivación del aislamiento de la red de un equipo en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la pestaña Tareas.
Esto muestra la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de la red.
- Seleccione la ficha Configuración de la aplicación.
- En la ventana que se abre, seleccione la demora para desactivar el aislamiento de la red.
- Guarde los cambios.
Cómo desactivar manualmente el aislamiento de red de un equipo
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la ficha Aplicaciones.
- Haga clic en Kaspersky Endpoint Security para Windows.
Se abre la configuración local de la aplicación.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Aislamiento de la red, haga clic en Desbloquear el equipo aislado de la red.
También puede deshabilitar el aislamiento de la red localmente mediante el uso de la línea de comandos.
Exclusiones de aislamiento de la red
Puede configurar las exclusiones de aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en el equipo cuando el aislamiento de la red está activado.
Para configurar las exclusiones de aislamiento de la red, puede utilizar una lista de perfiles de la red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red que contienen reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles del cliente DNS/DHCP. También puede modificar la configuración de los perfiles de la red estándar o definir las exclusiones manualmente (vea las instrucciones más abajo).
Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta.
Una directiva activa no impide aplicar las exclusiones del aislamiento de la red configurado en las propiedades del equipo porque estos parámetros tienen situaciones de uso diferentes.
Cómo agregar una exclusión de aislamiento de la red en modo automático
- En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
- Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
- Seleccione la ficha Configuración de la aplicación.
- Vaya a Detection and Response → Endpoint Detection and Response.
- En el bloque Exclusiones de aislamiento de la red, haga clic en Exclusiones.
- Esto abre una ventana; en esta ventana, haga clic en Agregar del perfil y seleccione los perfiles de la red estándar para configurar las exclusiones.
Las exclusiones de aislamiento de la red del perfil se agregan a la lista de exclusiones de aislamiento de la red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de la conexión de la red.
- Si es necesario, agregue una exclusión de aislamiento de la red manualmente. Para hacerlo, en la ventana con la lista de exclusiones, haga clic en Agregar y modifique manualmente la configuración de la conexión de la red.
- Guarde los cambios.
Cómo agregar una exclusión de aislamiento de la red en modo manual
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Seleccione un equipo para el cual quiera configurar la configuración local de la aplicación.
Se abren las propiedades del equipo.
- Seleccione la pestaña Tareas.
Esto muestra la lista de tareas disponibles en el equipo.
- Seleccione la tarea Aislamiento de la red.
- Seleccione la ficha Configuración de la aplicación.
- En la ventana que se abre, haga clic en Exclusiones.
- Esto abre una ventana; en esta ventana, haga clic en Agregar del perfil y seleccione los perfiles de la red estándar para configurar las exclusiones.
Las exclusiones de aislamiento de la red del perfil se agregan a la lista de exclusiones de aislamiento de la red. Puede ver las propiedades de las conexiones de red. Si es necesario, puede modificar la configuración de la conexión de la red.
- Si es necesario, agregue una exclusión de aislamiento de la red manualmente. Para hacerlo, en la ventana con la lista de exclusiones, haga clic en Agregar y manualmente edite la configuración de la conexión de la red.
- Guarde los cambios.
También puede ver la lista de exclusiones de aislamiento de la red localmente mediante el uso de la línea de comandos. Para usar esta opción, es necesario que el equipo esté aislado.
Inicio de página