コンピューターのネットワーク分離
コンピューターのネットワーク分離を使用して、セキュリティ侵害インジケーター(IOC)の検知時の対応として、コンピューターを自動的にネットワークから分離できます。これは自動モードです。検知した脅威を調査している最中など、ネットワーク分離を手動でオンにできます。これは手動モードです。
ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックしますが、以下の接続は切断されません:
- ネットワーク分離の除外リストに追加されている接続。
- Kaspersky Endpoint Security サービスによって開始された接続。
- Kaspersky Security Center ネットワークエージェントによって開始された接続。
Web コンソールでのみこの機能を設定できます。
ネットワーク分離の自動モード
IOC 検知時の対応として、ネットワーク分離を自動的にオンにするよう設定できます。グループポリシーを使用してネットワーク分離の自動モードを設定できます。
IOC 検知時の対応として、ネットワーク分離を自動的に有効にするよう設定する方法
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 8 時間が経過すると、本製品はネットワーク分離をオフにします。ネットワーク分離は手動でオフにすることもできます(以下の手順を参照)。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を自動モードでオフにする時間の遅延を設定する方法
ネットワーク分離の手動モード
手動でネットワーク分離をオンまたはオフにすることができます。Kaspersky Security Center コンソールで、コンピューターのプロパティを使用してネットワーク分離の手動モードを設定できます。
ネットワーク分離は次の方法でオンにできます:
- アラートの詳細(EDR Optimum のみ)で作成する。
アラートの詳細(Alert details)は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。
- 個別のローカル環境用の製品設定を使用する。
指定した時間が経過した後にネットワーク分離を自動でオフにするよう設定することができます。既定では、ネットワーク分離がオンになってから 8 時間が経過すると、本製品はネットワーク分離をオフにします。ネットワーク分離をオフにした後は、コンピューターは制限されることなくネットワークを使用することができます。
コンピューターのネットワーク分離を手動モードでオフにする時間の遅延を設定する方法
ローカルでコマンドラインを使用してネットワーク分離を無効にすることもできます。
ネットワーク分離の除外リスト
ネットワーク分離の除外リストを設定できます。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。
標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます(以下の手順を参照してください)。
ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティまたはアラートの詳細から手動でネットワーク分離をオンにした場合にのみ適用されます。
これらのパラメータは異なる使用シナリオを持つため、有効なポリシーはコンピューターのプロパティで設定されたネットワーク分離の除外リストの適用をブロックしません。
ローカルでコマンドラインを使用してネットワーク分離の除外リストを表示することもできます。この場合、コンピューターは分離されている必要があります。