Сетевая изоляция хостов с компонентом Endpoint Agent

В рамках действия по реагированию на угрозы пользователи с ролью Старший сотрудник службы безопасности могут на время расследования инцидента изолировать хосты, на которых обнаружены объекты, требующие вашего внимания.

Сетевая изоляция не является самостоятельным действием по реагированию на угрозу. Сотруднику службы безопасности требуется расследовать инцидент самостоятельно за период действия сетевой изоляции хоста. Вы можете настроить период действия сетевой изоляции хоста при создании правила сетевой изоляции.

Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent для Windows, сетевая изоляция доступна для хостов с приложением Kaspersky Endpoint Agent версии 3.8 и следующих версий.

Для корректной работы изолированного хоста рекомендуется выполнять следующие условия:

• Создать на хосте учетную запись локального администратора или сохранить данные доменной учетной записи в кеш перед включением правила сетевой изоляции.
• Не заменять сертификат и IP-адрес сервера с компонентом Central Node при включенном правиле сетевой изоляции.

Изолированным хостам доступны по сети следующие ресурсы:

• Сервер с компонентом Central Node.
• Источник обновлений баз приложения (сервер обновлений "Лаборатории Касперского" или пользовательский источник).
• Серверы службы KSN.
• Хосты, добавленные в исключения правила сетевой изоляции.

Если компонент Endpoint Agent на хосте отключен, а также в течение некоторого времени после включения компонента или после перезагрузки компьютера с компонентом, сетевая изоляция этого хоста может не действовать.

При применении сетевой изоляции действует ряд ограничений.

Создание правила сетевой изоляции

Чтобы создать правило сетевой изоляции:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выберите хост, для которого вы хотите включить или отключить правило сетевой изоляции.

   Откроется окно с информацией о хосте.

3. Нажмите на кнопку Изолировать.
4. В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
5. В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
   • Входящее/Исходящее.
   • Входящее.
   • Исходящее.
6. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.

   Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

7. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
8. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
9. Нажмите на кнопку Сохранить.

Хост будет изолирован от сети.

Вы также можете создать правило сетевой изоляции по ссылке Изолировать <имя хоста> в информации о событии и в информации об обнаружении.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила сетевой изоляции недоступна.

Для хостов с приложением Kaspersky Endpoint Security 11.4 для Linux в роли компонента Endpoint Agent функция сетевой изоляции не предусмотрена.

Добавление исключения из правила сетевой изоляции

Чтобы добавить исключение в ранее созданное правило сетевой изоляции:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выберите хост, изолированный от сети, для которого вы хотите создать исключение из правила сетевой изоляции.

   Откроется окно с информацией о хосте.

3. По ссылке Добавить в исключения раскройте блок параметров Исключения для правила изоляции хоста.
4. Выберите направление сетевого трафика, которое не должно быть заблокировано:
   • Входящее/Исходящее.
   • Входящее.
   • Исходящее.
5. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.
6. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
7. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты. Нажмите на кнопку Сохранить.

Исключение из правила сетевой изоляции будет добавлено.

Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent для Windows, вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания исключения из правила сетевой изоляции недоступна.

Удаление правила сетевой изоляции

Чтобы удалить правило сетевой изоляции:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Нажатием левой клавиши мыши по имени хоста, для которого вы хотите удалить правило сетевой изоляции, раскройте меню действий над этим хостом.
3. Выберите действие Удалить правило изоляции хоста.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило сетевой изоляции хоста будет удалено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления правила сетевой изоляции недоступна.

Ограничения, действующие при сетевой изоляции

При применении сетевой изоляции действует ряд ограничений:

• При включении правила сетевой изоляции на хосте прерываются все текущие соединения, а также становится недоступно VPN-подключение.
• Если администратор приложения заменяет сертификат сервера с компонентом Central Node при включенном правиле сетевой изоляции, то отключение правила становится недоступно.
• Приложение блокирует соединение изолированных хостов с сервером Active Directory. Если параметры операционной системы требуют подключения к службам Active Directory для авторизации, то пользователь изолированного хоста не сможет войти в систему.