Isolamento di rete del computer
L'isolamento di rete del computer consente di isolare automaticamente un computer dalla rete in risposta al rilevamento di un indicatore di compromissione (IOC): questa è la modalità automatica. È possibile attivare Isolamento di rete manualmente mentre si effettuano indagini sulla minaccia rilevata: questa è la modalità manuale.
Quando l'opzione Isolamento di rete è attivata, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni alle reti TCP/IP sul computer, ad eccezione delle seguenti connessioni:
- Connessioni elencate in Esclusioni dall'isolamento di rete.
- Connessioni avviate dai servizi di Kaspersky Endpoint Security.
- Connessioni avviate da Kaspersky Security Center Network Agent.
È possibile configurare le impostazioni del componente solo in Web Console.
Modalità Isolamento di rete automatica
È possibile configurare l'attivazione automatica di Isolamento di rete in risposta a un rilevamento di IOC. È possibile configurare la modalità Isolamento di rete automatica con un criterio di gruppo.
Come configurare l'attivazione automatica di Isolamento di rete in risposta a un rilevamento di IOC
- Nella finestra principale di Web Console, selezionare Dispositivi → Attività.
Viene aperto l'elenco delle attività.
- Fare clic sull'attività Scansione IOC di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà dell'attività.
Se necessario, creare l'attività Scansione IOC.
- Selezionare la scheda Impostazioni applicazione.
- Nel blocco Azione se viene rilevato un oggetto IOC, selezionare le caselle di controllo Intraprendi azioni di risposta in seguito al rilevamento di un oggetto IOC e Isola il computer dalla rete.
- Salvare le modifiche.
Di conseguenza, quando viene rilevato un IOC, l'applicazione isola il computer dalla rete per impedire la diffusione della minaccia.
È possibile configurare Isolamento di rete in modo che venga disattivato automaticamente dopo un determinato periodo di tempo. Per impostazione predefinita, l'applicazione disattiva Isolamento di rete dopo 8 ore dalla sua attivazione. È anche possibile disattivare Isolamento di rete manualmente (vedere le istruzioni di seguito). Dopo aver disattivato Isolamento di rete, il computer può utilizzare la rete senza limitazioni.
Come configurare il ritardo per la disattivazione di Isolamento di rete di un computer in modalità automatica
- Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response.
- Nel blocco Isolamento di rete, fare clic su Configura le impostazioni di sblocco del computer.
- Si apre una finestra; in questa finestra, selezionare la casella di controllo Sblocca automaticamente il computer isolato tra N ore e immettere il ritardo per la disattivazione automatica di Isolamento di rete.
- Salvare le modifiche.
Modalità Isolamento di rete manuale
È possibile attivare e disattivare Isolamento di rete manualmente. È possibile configurare la modalità Isolamento di rete manuale utilizzando le proprietà del computer nella console di Kaspersky Security Center.
È possibile attivare Isolamento di rete:
Come attivare manualmente l'isolamento di rete di un computer
- Nella finestra principale di Web Console, selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Applicazioni.
- Fare clic su Kaspersky Endpoint Security for Windows.
Verranno visualizzate le impostazioni locali dell'applicazione.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response.
- Nel blocco Isolamento di rete, fare clic su Isola il computer dalla rete.
È possibile configurare Isolamento di rete in modo che venga disattivato automaticamente dopo un determinato periodo di tempo. Per impostazione predefinita, l'applicazione disattiva Isolamento di rete dopo 8 ore dalla sua attivazione. Dopo aver disattivato Isolamento di rete, il computer può utilizzare la rete senza limitazioni.
Come configurare il ritardo per la disattivazione di Isolamento di rete di un computer in modalità manuale
- Nella finestra principale di Web Console, selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Attività.
Viene visualizzato l'elenco delle attività disponibili nel computer.
- Selezionare l'attività Isolamento di rete.
- Selezionare la scheda Impostazioni applicazione.
- Viene visualizzata una finestra, in cui è possibile selezionare il ritardo per la disattivazione di Isolamento di rete.
- Salvare le modifiche.
Come disattivare manualmente l'isolamento di rete di un computer
- Nella finestra principale di Web Console, selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Applicazioni.
- Fare clic su Kaspersky Endpoint Security for Windows.
Verranno visualizzate le impostazioni locali dell'applicazione.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response.
- Nel blocco Isolamento di rete, fare clic su Sblocca il computer isolato dalla rete.
È inoltre possibile disabilitare Isolamento di rete in locale tramite la riga di comando.
Esclusioni dall'isolamento di rete
È possibile configurare le esclusioni dall'isolamento di rete. Le connessioni di rete che soddisfano le regole non vengono bloccate sul computer quando Isolamento di rete è attivato.
Per configurare le esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete che contengono regole che garantiscono il funzionamento costante dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire esclusioni manualmente (vedere le istruzioni riportate di seguito).
Le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se Isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se Isolamento di rete è attivato manualmente nelle proprietà del computer in Kaspersky Security Center Console o nei dettagli degli avvisi.
Un criterio attivo non impedisce l'applicazione delle esclusioni dall'isolamento di rete configurate nelle proprietà del computer poiché tali parametri presentano scenari di utilizzo diversi.
Come aggiungere un'esclusione di Isolamento di rete in modalità automatica
- Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
- Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
- Selezionare la scheda Impostazioni applicazione.
- Passare a Detection and Response → Endpoint Detection and Response.
- Nel blocco Esclusioni dall'isolamento di rete, fare clic su Esclusioni.
- Si apre una finestra; in questa finestra, fare clic su Aggiungi dal profilo e selezionare i profili di rete standard per la configurazione delle esclusioni.
Le esclusioni dall'isolamento di rete dal profilo vengono aggiunte all'elenco delle esclusioni dall'isolamento della rete. È possibile visualizzare le proprietà delle connessioni di rete. Se necessario, è possibile modificare le impostazioni delle connessioni di rete.
- Se necessario, aggiungere un'esclusione dall'isolamento di rete manualmente. A tale scopo, nella finestra con l'elenco delle esclusioni, fare clic su Aggiungi e modificare manualmente le impostazioni delle connessioni di rete.
- Salvare le modifiche.
Come aggiungere un'esclusione di Isolamento di rete in modalità manuale
- Nella finestra principale di Web Console, selezionare Dispositivi → Dispositivi gestiti.
- Selezionare il computer per cui si desidera configurare le impostazioni locali dell'applicazione.
Verranno visualizzate le proprietà del computer.
- Selezionare la scheda Attività.
Viene visualizzato l'elenco delle attività disponibili nel computer.
- Selezionare l'attività Isolamento di rete.
- Selezionare la scheda Impostazioni applicazione.
- Viene visualizzata una finestra, in cui è possibile fare clic su Esclusioni.
- Si apre una finestra; in questa finestra, fare clic su Aggiungi dal profilo e selezionare i profili di rete standard per la configurazione delle esclusioni.
Le esclusioni dall'isolamento di rete dal profilo vengono aggiunte all'elenco delle esclusioni dall'isolamento della rete. È possibile visualizzare le proprietà delle connessioni di rete. Se necessario, è possibile modificare le impostazioni delle connessioni di rete.
- Se necessario, aggiungere un'esclusione dall'isolamento di rete manualmente. A tale scopo, nella finestra con l'elenco delle esclusioni, fare clic su Aggiungi e modificare manualmente le impostazioni delle connessioni di rete.
- Salvare le modifiche.
È inoltre possibile visualizzare l'elenco delle esclusioni dall'isolamento di rete in locale tramite la riga di comando. In questo caso, il computer deve essere isolato.
Inizio pagina