Если в Kaspersky Industrial CyberSecurity for Networks настроена совместная работа с EPP-приложениями, вы можете вручную запускать следующие действия по реагированию на устройствах:
После включения сетевой изоляции устройства программный компонент Endpoint Agent разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих соединений:
Сетевая изоляция устройства действует до отключения сетевой изоляции в Kaspersky Industrial CyberSecurity for Networks. Если сетевая изоляция не отключена вручную, она будет отключена автоматически через 9 999 часов с момента включения.
Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск приложений, использование которых вы считаете небезопасным, на выбранном устройстве с программным компонентом Endpoint Agent. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Запрет запуска выполняется с уведомлением пользователя о сработавшем правиле запрета запуска. Если пользователь устройства не закроет всплывающее уведомление, то оно закроется автоматически через 60 секунд после появления.
Карантин – это специальное локальное хранилище на устройстве с программным компонентом Endpoint Agent, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
На компьютере с программой Kaspersky Endpoint Agent локальное хранилище карантина по умолчанию расположено в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Quarantine. По умолчанию объекты, восстановленные из карантина, хранятся в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Restored.
Kaspersky Security Center формирует общий список объектов, помещенных на карантин на устройствах с Endpoint Agent. Агенты администрирования устройств передают информацию о файлах на карантине на Сервер администрирования.
Агент администрирования Kaspersky Security Center не копирует файлы из карантина на Сервер администрирования. Все объекты находятся на защищаемых устройствах с Endpoint Agent. Восстановление объектов из карантина также выполняется на защищаемых устройствах.
Действия по реагированию позволяют предотвратить или минимизировать последствия обнаруженных угроз со стороны устройств в промышленной сети.
Возможность запуска действий по реагированию доступна для устройств с программным компонентом Endpoint Agent. При запуске действия по реагированию Kaspersky Industrial CyberSecurity for Networks передает информацию об этом в Endpoint Agent. Программный компонент Endpoint Agent выполняет полученную команду и отправляет оповещение о ее выполнении в Kaspersky Industrial CyberSecurity for Networks.
После выполнения запущенного действия по реагированию и устранения угрозы со стороны устройства вы можете запускать соответствующее обратное действие. Для перечисленных действий по реагированию предусмотрены следующие обратные действия:
Kaspersky Industrial CyberSecurity for Networks регистрирует запущенные действия по реагированию и соответствующие им обратные действия. Зарегистрированные действия отображаются в разделе События на вкладке Действия по реагированию.
Вы можете запускать действия по реагированию, выбирая для этого нужные события, устройства или зарегистрированные и выполненные предыдущие действия по реагированию. Доступные для запуска действия зависят от выбранного объекта. Например, если вы выбрали устройство с программным компонентом Endpoint Agent, вам доступна только возможность управления сетевой изоляцией этого устройства. Остальные действия по реагированию доступны при других условиях (например, действия Запретить запуск и Поместить на карантин доступны при выборе события, которое связано с устройством, и для события построена цепочка развития угрозы в Endpoint Agent).
Запускать действия по реагированию и соответствующие им обратные действия могут только пользователи с ролью Администратор.