Управление действиями по реагированию в Kaspersky Industrial CyberSecurity for Networks

Развернуть все | Свернуть все

Если в Kaspersky Industrial CyberSecurity for Networks настроена совместная работа с EPP-приложениями, вы можете вручную запускать следующие действия по реагированию на устройствах:

• Изолировать устройство от сети

  После включения сетевой изоляции устройства программа Kaspersky Endpoint Agent разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих соединений:

  • соединения, указанные в исключениях из сетевой изоляции в Kaspersky Endpoint Agent;
  • соединения, инициированные службами EPP-приложения, совместимого с Kaspersky Endpoint Agent;
  • соединения, инициированные службами Kaspersky Endpoint Agent;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

  Сетевая изоляция устройства действует до отключения сетевой изоляции в Kaspersky Industrial CyberSecurity for Networks. Если сетевая изоляция не отключена вручную, она будет отключена автоматически через 9 999 часов с момента включения.

• Запретить запуск

  Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск приложений, использование которых вы считаете небезопасным, на выбранном устройстве с Kaspersky Endpoint Agent. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

  Запрет запуска выполняется с уведомлением пользователя о сработавшем правиле запрета запуска. Если пользователь устройства не закроет всплывающее уведомление, то оно закроется автоматически через 60 секунд после появления.

• Поместить на карантин

  Карантин – это специальное локальное хранилище на устройстве с программой Kaspersky Endpoint Agent, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.

  По умолчанию локальное хранилище карантина расположено в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Quarantine. По умолчанию объекты, восстановленные из карантина, хранятся в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Restored.

  Kaspersky Security Center формирует общий список объектов, помещенных на карантин на устройствах с программой Kaspersky Endpoint Agent. Агенты администрирования устройств передают информацию о файлах на карантине на Сервер администрирования.

  Kaspersky Security Center не копирует файлы из карантина на Сервер администрирования. Все объекты находятся на защищаемых устройствах с программой Kaspersky Endpoint Agent. Восстановление объектов из карантина также выполняется на защищаемых устройствах.

Действия по реагированию позволяют предотвратить или минимизировать последствия обнаруженных угроз со стороны устройств в промышленной сети.

Возможность запуска действий по реагированию доступна для устройств с установленной программой Kaspersky Endpoint Agent. При запуске действия по реагированию Kaspersky Industrial CyberSecurity for Networks передает информацию об этом в программу Kaspersky Endpoint Agent, установленную на устройстве. Kaspersky Endpoint Agent выполняет полученную команду и отправляет оповещение о ее выполнении в Kaspersky Industrial CyberSecurity for Networks.

После выполнения запущенного действия по реагированию и устранения угрозы со стороны устройства вы можете запускать соответствующее обратное действие. Для перечисленных действий по реагированию предусмотрены следующие обратные действия:

• Отключить сетевую изоляцию.
• Отключить запрет запуска.
• Восстановить из карантина.

Kaspersky Industrial CyberSecurity for Networks регистрирует запущенные действия по реагированию и соответствующие им обратные действия. Зарегистрированные действия отображаются в разделе События на вкладке Действия по реагированию.

Вы можете запускать действия по реагированию, выбирая для этого нужные события, устройства или зарегистрированные и выполненные предыдущие действия по реагированию. Доступные для запуска действия зависят от выбранного объекта. Например, если вы выбрали устройство с установленной программой Kaspersky Endpoint Agent, вам доступна только возможность управления сетевой изоляцией этого устройства. Остальные действия по реагированию (Запретить запуск и Поместить на карантин) доступны при выборе события, которое связано с этим устройством, и если для события построена цепочка развития угрозы в Kaspersky Endpoint Agent.

Запускать действия по реагированию и соответствующие им обратные действия могут только пользователи с ролью Администратор.