Aislamiento de la red del equipo
El aislamiento de la red del equipo permite aislar automáticamente un equipo de la red en respuesta a la detección de un indicador de compromiso (IOC): modo automático. Puede activar manualmente el aislamiento de la red mientras investiga la amenaza detectada: modo manual.
Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones de red TCP/IP nuevas en el equipo, a excepción de las siguientes conexiones.
- Conexiones enumeradas en Exclusiones de aislamiento de la red.
- Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
- Conexiones iniciadas por el Agente de red de Kaspersky Security Center.
La configuración de los componentes solo se puede modificar en Web Console.
Modo de aislamiento de la red automático
Puede configurar el aislamiento de la red para que se active automáticamente en respuesta a una detección de IOC. Puede configurar el modo de aislamiento de la red automático con una directiva de grupo.
Puede configurar el aislamiento de red para que se desactive automáticamente una vez transcurrido un tiempo especificado. De forma predeterminada, la aplicación desactiva el aislamiento de la red una vez transcurridas 8 horas desde su activación. También puede desactivar el aislamiento de la red manualmente (consulte las instrucciones a continuación). Después de desactivar el aislamiento de red, el equipo puede utilizar la red sin restricciones.
Modo de aislamiento de la red manual
Puede activar o desactivar manualmente el aislamiento de la red. Puede configurar el modo de aislamiento de la red manual usando las propiedades del equipo en la consola de Kaspersky Security Center.
Puede activar el aislamiento de la red:
- En detalles de la alerta (solo para EDR Optimum).
Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.
- Mediante la configuración local de la aplicación.
Cómo activar manualmente el aislamiento de red de un equipo
Puede configurar el aislamiento de red para que se desactive automáticamente una vez transcurrido un tiempo especificado. De forma predeterminada, la aplicación desactiva el aislamiento de la red una vez transcurridas 8 horas desde su activación. Después de desactivar el aislamiento de red, el equipo puede utilizar la red sin restricciones.
Cómo configurar la demora en la desactivación del aislamiento de la red de un equipo en modo manual
Cómo desactivar manualmente el aislamiento de red de un equipo
También puede deshabilitar el aislamiento de la red localmente mediante el uso de la línea de comandos.
Exclusiones de aislamiento de la red
Puede configurar las exclusiones de aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en el equipo cuando el aislamiento de la red está activado.
Para configurar las exclusiones de aislamiento de la red, puede utilizar una lista de perfiles de la red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red que contienen reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles del cliente DNS/DHCP. También puede modificar la configuración de los perfiles de la red estándar o definir las exclusiones manualmente (vea las instrucciones más abajo).
Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta.
Una directiva activa no impide aplicar las exclusiones del aislamiento de la red configurado en las propiedades del equipo porque estos parámetros tienen situaciones de uso diferentes.
Cómo agregar una exclusión de aislamiento de la red en modo automático
Cómo agregar una exclusión de aislamiento de la red en modo manual
También puede ver la lista de exclusiones de aislamiento de la red localmente mediante el uso de la línea de comandos. Para usar esta opción, es necesario que el equipo esté aislado.