Включение и выключение сетевой изоляции устройства
Вы можете включать сетевую изоляцию устройства следующими способами:
- С помощью задачи Поиск IOC.
Если при создании и настройке параметров задачи Поиск IOC в блоке Действия при обнаружении IOC вы установили флажки Применять действия по реагированию при обнаружении IOC и Изолировать устройство от сети, то включение сетевой изоляции происходит автоматически при обнаружении приложением индикаторов компрометации (IOC).
- В окне с деталями алерта.
- В свойствах устройства в Web Console.
Включение сетевой изоляции доступно только при условии, что включена интеграция с решением Kaspersky Endpoint Detection and Response Optimum и компонент EDR Optimum находится в статусе Выполняется.
Вы можете выключать сетевую изоляцию устройства следующими способами:
- Вручную в свойствах устройства в Web Console.
- Вручную в командной строке.
- В окне с деталями алерта.
- Настроив автоматическое выключение в свойствах устройства или в свойствах политики.
Выключение сетевой изоляции в свойствах устройства и в командной строке доступно вне зависимости от того, включена ли интеграция с решением Kaspersky Endpoint Detection and Response Optimum и активирован ли компонент EDR Optimum, а также вне зависимости от того, распространяется ли на устройство действие политики.
Вы можете настраивать исключения для сетевых соединений, которые не нужно изолировать при включении сетевой изоляции.
Вы можете проверять статус сетевой изоляции в командной строке.
После включения сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих:
- соединений, указанных в исключениях из сетевой изоляции;
- соединений, инициированных службами Kaspersky Endpoint Security;
- соединений, инициированных Агентом администрирования Kaspersky Security Center;
- соединений с SVM и Сервером интеграции, если приложение используется в режиме Легкого агента.
Изолированному устройству EDR Optimum автоматически присваивает тег ISOLATED FROM NETWORK. После выключения сетевой изоляции этот тег автоматически снимается.
Общую информацию о получении списка изолированных устройств по тегу см. в справке Kaspersky Endpoint Detection and Response Optimum.