コンピューターのネットワーク分離
コンピューターのネットワーク分離を使用して、セキュリティ侵害インジケーター(IOC)の検知時の対応として、コンピューターを自動的にネットワークから分離できます。
ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックしますが、以下の接続は切断されません:
- ネットワーク分離の除外リストに追加されている接続。
- Kaspersky Endpoint Security サービスによって開始された接続。
- Kaspersky Security Center 管理エージェントによって開始された接続。
ネットワーク分離の管理
Web コンソールでのみこの機能を設定できます。
IOC 検知時の対応として、ネットワーク分離を自動的にオンにするよう設定できます。手動でネットワーク分離をオンまたはオフにすることができます。
ネットワーク分離は次の方法でオンにできます:
- アラートの詳細で作成する。
アラートの詳細(Alert details)は、収集済みの検知した脅威および応答操作の管理に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。
- 個別のローカル環境用の製品設定を使用する。
IOC 検知時の対応として、ネットワーク分離を自動的に有効にするよう設定する方法
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 5 時間が経過すると、本製品はネットワーク分離をオフにします。手動でネットワーク分離をオフにすることもできます。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を自動でオフにする時間の遅延を設定する方法
ローカルでコマンドラインを使用してネットワーク分離を無効にすることもできます。
ネットワーク分離の除外リスト
ネットワーク分離の除外リストを設定できます。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。
標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます(以下の手順を参照してください)。
ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティから手動でネットワーク分離をオンにした場合にのみ適用されます。
これらのパラメータは異なる使用シナリオを持つため、有効なポリシーはコンピューターのプロパティで設定されたネットワーク分離の除外リストの適用をブロックしません。
ローカルでコマンドラインを使用してネットワーク分離の除外リストを表示することもできます。