计算机网络隔离
计算机网络隔离允许自动将计算机与网络隔离,以响应检测到的妥协的指标(IOC) – 这是自动模式。当您调查检测到的威胁时,您可以手动打开网络隔离 – 这是手动模式。
打开网络隔离后,应用程序将断开所有活动连接并阻止计算机上的所有新 TCP/IP 网络连接,除了以下连接:
- 网络隔离排除中列出的连接。
- 由 Kaspersky Endpoint Security 服务启动的连接。
- 由 Kaspersky Security Center 网络代理发起的连接。
您仅可以在 Web Console 中配置组件设置。
自动网络隔离模式
您可以将网络隔离配置为自动打开以响应 IOC 检测。您可以使用组策略配置自动网络隔离模式。
您可以将网络隔离配置为在经过指定时间后自动关闭。默认情况下,应用程序在打开时已过 8 小时后关闭网络隔离。您还可以手动关闭网络隔离(请参阅下面的说明)。关闭网络隔离后,计算机可以不受限制地使用网络。
手动网络隔离模式
您可以手动打开和关闭网络隔离。您可以使用 Kaspersky Security Center 控制台中的计算机属性配置手动网络隔离模式。
您可以打开网络隔离:
- 在警报详细信息中(仅适用于 EDR Optimum)。
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
- 使用本地应用程序设置。
您可以将网络隔离配置为在经过指定时间后自动关闭。默认情况下,应用程序在打开时已过 8 小时后关闭网络隔离。关闭网络隔离后,计算机可以不受限制地使用网络。
您还可以使用命令行在本地禁用网络隔离。
网络隔离排除项
您可以配置网络隔离排除项。当网络隔离打开时,符合规则的网络连接不会在计算机上被阻止。
要配置网络隔离排除项,您可以使用标准网络配置文件列表。默认情况下,排除项包括网络配置文件,其中包含确保具有 DNS/DHCP 服务器和 DNS/DHCP 客户端角色的设备不间断运行的规则。您还可以修改标准网络配置文件的设置或手动定义排除项(参见以下说明)。
只有在网络隔离自动打开以响应检测到的威胁时,才会应用策略属性中指定的排除项。仅当在 Kaspersky Security Center 控制台的“计算机属性”中或警报详情中手动打开网络隔离时,才会应用“计算机属性”中指定的排除项。
活动策略不会阻止应用计算机属性中配置的网络隔离排除项,因为这些参数具有不同的使用场景。
您还可以使用命令行在本地查看网络隔离排除项列表。在这种情况下,计算机必须被隔离。