计算机网络隔离
计算机网络隔离允许自动将计算机与网络隔离,以响应检测到的妥协的指示器(IOC)。
打开网络隔离后,应用程序将断开所有活动连接并阻止计算机上的所有新 TCP/IP 网络连接,除了以下连接:
- 网络隔离排除中列出的连接。
- 由 Kaspersky Endpoint Security 服务启动的连接。
- 由 Kaspersky Security Center 管理代理启动的连接。
管理网络隔离
您仅可以在 Web Console 中配置组件设置。
您可以将网络隔离配置为自动打开以响应 IOC 检测。您还可以手动打开和关闭网络隔离。
您可以打开网络隔离:
- 在警报详细信息中。
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息并管理响应操作。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助。
- 使用本地应用程序设置。
您可以将网络隔离配置为在经过指定时间后自动关闭。默认情况下,应用程序在打开时已过 5 小时后关闭网络隔离。您也可以手动关闭网络隔离。关闭网络隔离后,计算机可以不受限制地使用网络。
您还可以使用命令行在本地禁用网络隔离。
网络隔离排除项
您可以配置网络隔离排除项。当网络隔离打开时,符合规则的网络连接不会在计算机上被阻止。
要配置网络隔离排除项,您可以使用标准网络配置文件列表。默认情况下,排除项包括网络配置文件,其中包含确保具有 DNS/DHCP 服务器和 DNS/DHCP 客户端角色的设备不间断运行的规则。您还可以修改标准网络配置文件的设置或手动定义排除项(参见以下说明)。
只有在网络隔离自动打开以响应检测到的威胁时,才会应用策略属性中指定的排除项。仅当在 Kaspersky Security Center 控制台的“计算机属性”中手动打开网络隔离时,才会应用“计算机属性”中指定的排除项。
活动策略不会阻止应用计算机属性中配置的网络隔离排除项,因为这些参数具有不同的使用场景。
您还可以使用命令行在本地查看网络隔离排除项列表。