電腦網路隔離
電腦網路隔離可自動從網路中隔離電腦以回應偵測到洩露指示器 (IOC),這就是自動模式。您可以在研究偵測到的威脅時手動開啟網路隔離,這就是手動模式。
當開啟網路隔離時,應用程式會斷開電腦上的所有活動連線並封鎖所有新的 TCP/IP 連線,以下連線除外:
- 網路隔離排除項目中列出的連線。
- Kaspersky Endpoint Security 服務安裝的連線。
- 卡巴斯基安全管理中心網路代理啟動的連線。
您只可以在網頁主控台中配置元件設定。
自動網路隔離模式
您可以配置網路隔離自動開啟以回應 IOC 偵測。您可以使用群組政策配置自動網路隔離模式。
您可以配置在指定時間經過後自動關閉網路隔離。預設情況下,應用程式在開啟網路隔離 8 小時後將其關閉。您也可以手動關閉網路隔離(請參閱下面的指示)。關閉網路隔離後,電腦可以不受限制地使用網路。
手動網路隔離模式
您也可以手動開啟和關閉網路隔離。您可以使用卡巴斯基安全管理中心主控台中的電腦屬性配置手動網路隔離模式。
您可以開啟網路隔離:
- 在偵測詳情中(僅適用於 EDR Optimum)。
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
- 使用本機應用程式設定。
您可以配置在指定時間經過後自動關閉網路隔離。預設情況下,應用程式在開啟網路隔離 8 小時後將其關閉。關閉網路隔離後,電腦可以不受限制地使用網路。
您也可以使用命令列本機停用網路隔離。
網路隔離排除項目
您可以配置網路隔離排除項目。當開啟網路隔離時,電腦上匹配規則的網路連線不會被封鎖。
要配置網路隔離排除項目,您可以使用“標準網路設定檔”清單。預設情況下,排除項目包括包含確保裝置(具有 DNS/DHCP 伺服器和 DNS/DHCP 用戶端角色)不中斷操作的規則的網路設定檔。您也可以修改標準網路設定檔的設定或者手動定義排除項目(請見以下指示)。
只有當網路隔離回應偵測到的威脅自動開啟時,政策內容中指定的排除項目才會套用。只有當網路隔離在卡巴斯基安全管理中心主控台的電腦內容或者警示詳情中手動開啟時,電腦內容中指定的排除項目才會套用。
活動政策不會阻止套用在電腦內容中配置的網路隔離的排除項目,因為這些參數有不同的使用案例。
您也可以使用命令列本機檢視網路隔離排除項目清單。在這種情況下,電腦必須被隔離。