Isolation réseau

Lorsqu'il est intégré aux solutions Detection and Response, un appareil peut être isolé du réseau dans le cadre d'une action de réponse aux menaces.

Caractéristiques de l'isolation réseau

Une fois l'isolation réseau activée, l'application interrompt toutes les connexions réseau TCP/IP actives et bloque toutes les nouvelles connexions réseau TCP/IP sur l'appareil, à l'exception des connexions suivantes :

• Connexions spécifiées dans les excluions de l'isolation réseau.
• Connexions initiées par les services de Kaspersky Endpoint Security.
• Connexions initiées par l'Agent d'administration de Kaspersky Security Center.
• Connexions avec la SVM et le Serveur d'intégration si l'application est utilisée en mode Light Agent.
• Connexions à KSN (lorsqu'il est intégré à Kaspersky Managed Detection and Response).

L'isolation du réseau peut être appliquée lorsque l'une des conditions suivantes est remplie :

• L'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Endpoint Detection and Response Optimum est activée et le module EDR Optimum est activé.
• L'intégration de l'application Kaspersky Endpoint Security avec le module Kaspersky Endpoint Detection and Response (KATA) est activée et la solution Kaspersky Anti Targeted Attack Platform est activée.
• L'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response est activée et le module MDR est activé.

Lors de l'intégration avec Kaspersky Endpoint Detection and Response (KATA) et Kaspersky Managed Detection and Response, l'activation et la désactivation de l'isolation réseau d'un appareil, ainsi que la configuration des exclusions de l'isolation réseau, sont effectuées du côté de la solution Detection and Response correspondante. Pour plus d'informations, consultez l'aide de Kaspersky Anti Targeted Attack Platform ou l'aide de Kaspersky Managed Detection and Response. Si nécessaire, vous pouvez désactiver manuellement l’isolation réseau pour l’appareil :

• dans les propriétés de l'appareil dans Web Console (uniquement lorsqu'il est intégré à Kaspersky Endpoint Detection and Response (KATA)) ;
• dans la ligne de commande.

La désactivation manuelle de l'isolation réseau est disponible, que l'intégration avec les solutions Detection and Response soit activée ou non, et que l'appareil soit couvert par une stratégie ou non.

Lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum, l'isolation réseau peut être appliquée dans l'un des modes suivants :

• Mode automatique de l'isolation réseau. L'appareil peut être isolé automatiquement du réseau suite à la détection d'indicateurs de compromission. Si, lors de la création et de la configuration des paramètres de la tâche Analyse IOC dans le groupe Actions en cas de détection d'un IOC, vous avez coché les cases Appliquer les actions de réponse lorsqu'un IOC est détecté et Isoler l'appareil du réseau, puis l'isolation réseau est activée automatiquement lorsque l'application détecte des indicateurs de compromission.

  Vous pouvez configurer les paramètres d’isolation réseau suivants en mode automatique :

  • Modifier la période de temps après laquelle l'isolation réseau est automatiquement désactivée.
  • Configurer les exclusions de l'isolation réseau pour les appareils isolés automatiquement.

  Si un appareil isolé en mode automatique est soumis à une stratégie, les paramètres spécifiés dans la stratégie sont appliqués. Si la stratégie n'est pas appliquée, les paramètres spécifiés dans les propriétés de l'appareil sont appliqués.

• Mode manuel de l'isolation réseau. L'appareil peut être isolé du réseau pendant que la menace détectée est étudiée. Vous pouvez activer manuellement l'isolation réseau pour un appareil dans la fenêtre des détails de l'alerte et dans les propriétés de l'appareil dans Web Console.

  Vous pouvez configurer les paramètres d’isolation réseau suivants en mode manuel :

  • Modifier la période de temps après laquelle l'isolation réseau est automatiquement désactivée.
  • Configurer les exclusions de l'isolation réseau pour les appareils isolés manuellement.

Lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum, vous pouvez désactiver manuellement l'isolation réseau d'un appareil dans les propriétés de l'appareil dans Web Console et dans la ligne de commande.

Vous pouvez vérifier l'état d'isolation réseau de l'appareil à partir de la ligne de commande.

Un appareil isolé est automatiquement marqué par le tag ISOLATED FROM NETWORK. Une fois l’isolation réseau désactivée, ce tag est automatiquement supprimée.

Pour obtenir des informations générales sur l'obtention d'une liste des appareils isolés par tag, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.

Limites de l'isolation réseau

Lorsque vous utilisez l'isolation réseau, il est fortement recommandé de vous familiariser avec les restrictions.

Pour que l'isolation réseau fonctionne, l'application Kaspersky Endpoint Security doit être en cours d'exécution. Lors d'une panne de l'application Kaspersky Endpoint Security (lorsque l'application n'est pas en cours d'exécution), le blocage du trafic lorsque l'isolation réseau est activée par la solution Kaspersky Anti Targeted Attack Platform ou Kaspersky Endpoint Detection and Response Optimum n'est pas garanti.

DHCP et DNS ne sont pas automatiquement ajoutés aux exclusions de l'isolation réseau. Par conséquent, si l'adresse réseau d'une ressource a été modifiée pendant l'isolation réseau, l'application Kaspersky Endpoint Security ne pourra pas y accéder. Il en va de même pour les nœuds du serveur tolérant aux pannes KATA. Il n'est pas recommandé de modifier leurs adresses afin que Kaspersky Endpoint Security ne perde pas le contact avec eux.

Le serveur proxy n'est pas non plus automatiquement ajouté aux exclusions de l'isolation réseau, vous devez donc l'ajouter manuellement aux exclusions afin que l'application Kaspersky Endpoint Security ne perde pas la connexion avec le serveur KATA.

L'exclusion d'un processus de l'isolation réseau par nom est prise en charge sur les appareils dotés de versions de noyau de 4.18 à 6.6 avec prise en charge eBPF et BTF.

Si Kaspersky Endpoint Security est utilisé en mode standard, lors de l'utilisation de l'isolation réseau, il est recommandé :

• Utiliser le serveur proxy KSN pour interagir avec Kaspersky Security Network.
• Utiliser Kaspersky Security Center en guise de serveur proxy pour l'activation de l'application.

  S'il est impossible d'utiliser Kaspersky Security Center comme serveur proxy, il faut configurer les paramètres du serveur proxy requis et les ajouter aux exclusions.

• Spécifier Kaspersky Security Center comme source des mises à jour des bases de données.

Ces recommandations ne s'appliquent pas si l'application Kaspersky Endpoint Security est utilisé en mode Light Agent.

Dans cette section Activer ou désactiver manuellement l'isolation réseau d'un appareil dans Web Console Configuration de la durée d'isolation réseau en mode automatique Configuration des paramètres de l'isolation réseau en mode manuel Configuration des exclusions de l'isolation réseau dans Web Console Gestion de l'isolation réseau des appareils à partir de la ligne de commande

Haut de page