電腦網路隔離
電腦網路隔離可自動從網路中隔離電腦以回應偵測到洩露指示器 (IOC),這就是自動模式。您可以在研究偵測到的威脅時手動開啟網路隔離,這就是手動模式。
當開啟網路隔離時,應用程式會斷開電腦上的所有活動連線並封鎖所有新的 TCP/IP 連線,以下連線除外:
- 網路隔離排除項目中列出的連線。
- Kaspersky Endpoint Security 服務安裝的連線。
- 卡巴斯基安全管理中心網路代理啟動的連線。
您只可以在網頁主控台中配置元件設定。
自動網路隔離模式
您可以配置網路隔離自動開啟以回應 IOC 偵測。您可以使用群組政策配置自動網路隔離模式。
如何配置網路隔離自動開啟以回應 IOC 偵測
- 在網頁主控台的主視窗中,選擇裝置 → 工作。
工作清單開啟。
- 點擊 Kaspersky Endpoint Security 的“IOC 掃描”工作。
工作內容視窗將開啟。
需要的話建立 IOC 掃描 工作。
- 選擇“應用程式設定”標籤。
- 在“偵測到 IOC 後的動作”塊中,選擇“發現 IOC 後採取回應動作”和“從網路中隔離電腦”核取方塊。
- 儲存變更。
結果,當偵測到 IOC 時,應用程式會從網路中隔離電腦以防止威脅散佈。
您可以配置在指定時間經過後自動關閉網路隔離。預設情況下,應用程式在開啟網路隔離 8 小時後將其關閉。您也可以手動關閉網路隔離(請參閱下面的指示)。關閉網路隔離後,電腦可以不受限制地使用網路。
如何配置在自動模式中延遲關閉電腦的網路隔離
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”Detection and Response”→”Endpoint Detection and Response”。
- 在“網路隔離”塊中, 點擊“配置電腦解鎖設定”。
- 這會開啟一個視窗;在該視窗中,選擇“N 小時後距離自動解鎖隔離電腦還有”核取方塊,然後輸入自動關閉網路隔離的延時。
- 儲存變更。
手動網路隔離模式
您也可以手動開啟和關閉網路隔離。您可以使用卡巴斯基安全管理中心主控台中的電腦屬性配置手動網路隔離模式。
您可以開啟網路隔離:
如何手動開啟電腦的網路隔離
- 在網頁主控台的主視窗中,選擇裝置 → 受管理裝置。
- 選取要為其配置本機應用程式設定的電腦。
這將開啟電腦內容。
- 選取“應用程式”標籤。
- 點擊“Kaspersky Endpoint Security for Windows”。
這將開啟本機應用程式設定。
- 選擇“應用程式設定”標籤。
- 轉到”Detection and Response”→”Endpoint Detection and Response”。
- 在“網路隔離”塊中, 點擊“從網路中隔離電腦”。
您可以配置在指定時間經過後自動關閉網路隔離。預設情況下,應用程式在開啟網路隔離 8 小時後將其關閉。關閉網路隔離後,電腦可以不受限制地使用網路。
如何配置延遲手動關閉電腦的網路隔離
- 在網頁主控台的主視窗中,選擇裝置 → 受管理裝置。
- 選取要為其配置本機應用程式設定的電腦。
這將開啟電腦內容。
- 選取“工作”標籤。
這將顯示電腦上可用的工作清單。
- 選擇 網路隔離 工作。
- 選擇“應用程式設定”標籤。
- 這會開啟一個視窗;在此視窗中,選擇延遲關閉網路隔離。
- 儲存變更。
如何手動關閉電腦的網路隔離
- 在網頁主控台的主視窗中,選擇裝置 → 受管理裝置。
- 選取要為其配置本機應用程式設定的電腦。
這將開啟電腦內容。
- 選取“應用程式”標籤。
- 點擊“Kaspersky Endpoint Security for Windows”。
這將開啟本機應用程式設定。
- 選擇“應用程式設定”標籤。
- 轉到”Detection and Response”→”Endpoint Detection and Response”。
- 在“網路隔離”塊中, 點擊“解除封鎖從網路中隔離的電腦”。
您也可以使用命令列本機停用網路隔離。
網路隔離排除項目
您可以配置網路隔離排除項目。當開啟網路隔離時,電腦上匹配規則的網路連線不會被封鎖。
要配置網路隔離排除項目,您可以使用“標準網路設定檔”清單。預設情況下,排除項目包括包含確保裝置(具有 DNS/DHCP 伺服器和 DNS/DHCP 用戶端角色)不中斷操作的規則的網路設定檔。您也可以修改標準網路設定檔的設定或者手動定義排除項目(請見以下指示)。
只有當網路隔離回應偵測到的威脅自動開啟時,政策內容中指定的排除項目才會套用。只有當網路隔離在卡巴斯基安全管理中心主控台的電腦內容或者警示詳情中手動開啟時,電腦內容中指定的排除項目才會套用。
活動政策不會阻止套用在電腦內容中配置的網路隔離的排除項目,因為這些參數有不同的使用案例。
如何自動新增網路隔離排除項目
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”Detection and Response”→”Endpoint Detection and Response”。
- 在“網路隔離排除項目”塊中, 點擊“排除項目”。
- 這會開啟一個視窗;在此視窗中,點擊“從設定檔新增”然後選擇用於配置排除項目的標準網路設定檔。
來自設定檔的網路隔離排除項目被新增至網路隔離排除項目清單。您可以檢視網路連線的內容。如有必要,您可以修改網路連線設定。
- 如有必要,手動新增網路隔離排除項目。為此,在排除項目清單視窗中點擊“新增”並手動編輯網路連線設定。
- 儲存變更。
如何手動新增網路隔離排除項目
- 在網頁主控台的主視窗中,選擇裝置 → 受管理裝置。
- 選取要為其配置本機應用程式設定的電腦。
這將開啟電腦內容。
- 選取“工作”標籤。
這將顯示電腦上可用的工作清單。
- 選擇 網路隔離 工作。
- 選擇“應用程式設定”標籤。
- 這將開啟一個視窗;在此視窗中,點擊排除項目。
- 這會開啟一個視窗;在此視窗中,點擊“從設定檔新增”然後選擇用於配置排除項目的標準網路設定檔。
來自設定檔的網路隔離排除項目被新增至網路隔離排除項目清單。您可以檢視網路連線的內容。如有必要,您可以修改網路連線設定。
- 如有必要,手動新增網路隔離排除項目。為此,在排除項目清單視窗中點擊“新增”並手動編輯網路連線設定。
- 儲存變更。
您也可以使用命令列本機檢視網路隔離排除項目清單。在這種情況下,電腦必須被隔離。
頁面頂部