Включение и отключение сетевой изоляции

Вы можете включить или выключить сетевую изоляцию на устройстве одним из следующих способов:

• из деталей алерта или инцидента;
• из сведений об устройстве;
• из графа расследования.
• из таблицы активов;
• в сведениях о событии.

  Параметр доступен только для включения сетевой изоляции.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Для устройств с установленным приложением Kaspersky Endpoint Security со встроенным агентом статус изоляции сети отображается в сведениях об устройстве.

Устройство может иметь один из следующих статусов: Изолировано, Изоляция, Ошибка применения изоляции, Не изолировано.

Также статус сетевой изоляции отображается в таблице активов, при ее открытии на вкладке Активы в деталях алерта или инцидента или в разделе Управление активами → Активы (Устройства). Вы можете отфильтровать значения в столбце Статус изоляции, чтобы отобразить устройства с нужным статусом сетевой изоляции.

Выполнение действий по реагированию из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с требуемым устройством.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию нажмите Сетевая изоляция, а затем в контекстном меню выберите действие по реагированию, которое вы хотите выполнить:
   • Включить

     Если вы выберете это действие по реагированию для устройства, на котором уже включена сетевая изоляция, параметры будут перезаписаны новыми значениями.

     Перед включением сетевой изоляции, убедитесь, что активы импортированы из Kaspersky Security Center: в разделе Управление активами → Задачи → Обнаружение и реагирование задача Импорт активов KSC отображается со статусом Завершено.

   • Выключить

     После выбора этого действия по реагированию в диалоговом окне подтверждения нажмите Выключить.

     Вы можете выбрать это действие по реагированию для устройств, на которых включена сетевая изоляция.

5. Если вы выбрали Включить, в открывшейся панели справа настройте следующие параметры:
   1. В раскрывающемся списке Активы укажите устройства, которые необходимо изолировать.

      По умолчанию отображаются устройства, для которых вы ранее установили флажки. При необходимости вы можете изменить устройства. Невозможно выбрать устройства, которые имеют следующие статусы: Изолированно, Изолируется, Ошибка применения изоляции.

      Для выбора доступны только те устройства, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   2. Укажите период изоляции устройства и единицы измерения.
   3. В поле Описание напишите описание или комментарий к действию по реагированию.
   4. Если вы хотите добавить исключение из правила сетевой изоляции, нажмите на кнопку Добавить исключение и в раскрывающемся списке Направление сетевого трафика выберите одно из следующих значений:
      • Входящий, а затем в соответствующих полях укажите IP-адрес устройства, который необходимо исключить из блокировки сетевого трафика, и диапазон локальных портов.
      • Исходящий, а затем в соответствующих полях укажите IP-адрес устройства, который необходимо исключить из блокировки сетевого трафика, и диапазон удаленных портов.
      • Входящий/Исходящий, а затем укажите IP-адрес устройства, который нужно исключить из сетевой изоляции.
6. Нажмите на кнопку Включить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из сведений об устройстве

Чтобы выполнить действие по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
4. Выполните те же действия, что описаны в пунктах 4–6 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. Выполните те же действия, что описаны в пунктах 4–6 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите один из следующих вариантов:
   • Включить сетевую изоляцию, а затем в открывшейся панели справа настройте параметры действия по реагированию.
   • Выключить сетевую изоляцию, а затем в диалоговом окне подтверждения нажмите Выключить.

Включение сетевой изоляции из сведений о событии

Чтобы включить сетевую изоляцию из сведений о событии:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Включить сетевую изоляцию.
4. В открывшейся панели справа настройте параметры действия по реагированию.

Если вы еще не установили приложение Kaspersky Endpoint Security со встроенным агентом на вашем устройстве и произошла ошибка при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Open Single Management Platform такое же, как и в Kaspersky Anti Targeted Attack Platform.

В начало