ネットワーク分離

Detection and Response ソリューションと連携すると、脅威対応処理の一環としてデバイスをネットワークから分離できます。

ネットワーク分離に関する特別な考慮事項

ネットワーク分離を有効にすると、アプリケーションはデバイス上のすべての有効なネットワーク接続を切断し、以下に一覧表示されている接続を除くすべての新しい TCP/IP ネットワーク接続をブロックします：

• ネットワーク分離から除外される接続
• Kaspersky Endpoint Security サービスによって開始された接続
• Kaspersky Security Center ネットワークエージェントによって開始された接続
• アプリケーションが Light Agent モードで使用されている場合の SVM および Integration Server への接続
• KSN 接続（Kaspersky Managed Detection and Response と連携している場合）

次のいずれかの条件が満たされた場合に、ネットワーク分離を適用できます。

• Kaspersky Endpoint Security が Kaspersky Endpoint Detection and Response Optimum ソリューションと連携すると、EDR Optimum コンポーネントがアクティベートされます。
• Kaspersky Endpoint Security が Kaspersky Endpoint Detection and Response (KATA) コンポーネントと連携すると、Kaspersky Anti Targeted Attack Platform ソリューションがアクティベートされます。
• Kaspersky Endpoint Security と Kaspersky Managed Detection and Response ソリューションの連携が有効になり、MDR コンポーネントがアクティベートされます。

Kaspersky Endpoint Detection and Response (KATA) および Kaspersky Managed Detection and Response と連携すると、ネットワーク分離が有効または無効になり、ネットワーク分離の除外リストが Detection and Response ソリューション側で構成されます。詳細については、Kaspersky Anti Targeted Attack Platform ヘルプまたは Kaspersky Managed Detection and Responseヘルプを参照してください。必要に応じて、デバイスのネットワーク分離を手動で無効にすることができます。

• Web コンソールのデバイスプロパティ内（Kaspersky Endpoint Detection and Response (KATA) と連携されている場合のみ）
• コマンドラインで

Detection and Response ソリューションとの連携が有効になっているかどうか、およびデバイスにポリシーが適用されているかどうかに関係なく、ネットワーク分離を手動で無効にすることは可能です。

Kaspersky Endpoint Detection and Response Optimum と連携すると、次のいずれかのモードでネットワーク分離を適用できます。

• 自動ネットワーク分離モード。セキュリティ侵害インジケーターが検知されると、デバイスはネットワークから自動的に分離されることがあります。［IOC の検知時の処理］で［IOC スキャン］タスク設定を作成および構成する際には、［IOC 検知時の応答処理を適用する］および［デバイスをネットワークから分離する］チェックボックスをオンにした場合、本製品がセキュリティ侵害インジケーター (IOC) を検知すると、ネットワーク分離が自動的に有効になります。

  次の自動ネットワーク分離設定を管理できます。

  • ネットワーク分離が自動的に無効になるまでの期間を変更します。
  • 自動的に分離されたデバイスのネットワーク分離除外リストを設定します。

  自動的に分離されるデバイスがポリシーの対象である場合、ポリシーで指定された設定が適用されます。ポリシーが適用されていない場合は、デバイスのプロパティで指定された設定が適用されます。

• 手動ネットワーク分離モード。検知された脅威を調査している間、デバイスをネットワークから分離できます。［アラートの詳細］ウィンドウとWeb コンソールのデバイスプロパティで、デバイスのネットワーク分離を手動で有効にすることができます。

  次の手動ネットワーク分離設定を管理できます。

  • ネットワーク分離が自動的に無効になるまでの期間を変更します。
  • 手動で分離されたデバイスのネットワーク分離除外を設定します。

Kaspersky Endpoint Detection and Response Optimum と連携すると、 Web コンソールのデバイスプロパティおよびコマンドラインでデバイスのネットワーク分離を手動で無効にすることができます。

コマンドラインでデバイスのネットワーク分離ステータスを確認できます。

分離されたデバイスには、ISOLATED FROM NETWORK タグが自動的に割り当てられます。ネットワーク分離が無効になっている場合、このタグは自動的に削除されます。

タグ別に分離されたデバイスのリストを取得する一般的な情報については、 Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

ネットワーク分離の制限

ネットワーク分離を使用する時は、関連する制限をよく理解しておくことを強く推奨します。

ネットワーク分離を行うには、Kaspersky Endpoint Security が実行されている必要があります。Kaspersky Endpoint Security に不具合がある場合（かつアプリケーションが実行されていない場合）、 Kaspersky Anti Targeted Attack Platform または Kaspersky Endpoint Detection and Response Optimum によってネットワーク分離が有効になっていると、トラフィックのブロックは保証されません。

DHCP と DNS はネットワーク分離の例外に自動的に追加されないため、ネットワーク分離中に発生源のネットワークアドレスが変更された場合、Kaspersky Endpoint Security はその発生源にアクセスできなくなります。フォールトトレラント KATA サーバーのノードにも同じことが当てはまります。Kaspersky Endpoint Security との連絡が途絶えないように、アドレスを変更しないことを推奨します。

プロキシサーバーはネットワーク分離の除外対象に自動的に追加されないため、Kaspersky Endpoint Security が KATA サーバーとの接続を失わないように、手動で除外対象に追加する必要があります。

名前によるネットワーク分離からのプロセスの除外は、BTF を使用した eBPF に対応したカーネルバージョン 4.18 から 6.6 のデバイスに対応しています。

Kaspersky Endpoint Security を標準モードで使用する場合、ネットワーク分離を使用するときは次の操作を実行することを推奨します：

• Kaspersky Security Network と対話するには、KSN プロキシサーバーを使用します。
• Kaspersky Security Center を製品のアクティベーションのプロキシサーバーとして使用します。

  Kaspersky Security Center をプロキシサーバーとして使用できない場合は、使用するプロキシサーバーを設定し、除外リストに追加する必要があります。

• データベース更新ソースとして Kaspersky Security Center を指定します。

これらの推奨事項は、Kaspersky Endpoint Security が Light Agent モードで使用される場合には適用されません。

このセクションの内容 Web コンソールでデバイスのネットワーク分離を手動で有効または無効にします 自動ネットワーク分離の期間設定 ネットワーク分離の手動構成 Web コンソールでのネットワーク分離からの除外設定 コマンドラインでのデバイスのネットワーク分離の無効化

ページのトップに戻る