Aislamiento y remedio de redes de dispositivos (novedades en 2017.1)

Cuando se sospecha que un punto terminal está ejecutando malware, lo mejor es aislar el punto terminal de la red para garantizar que el malware no se extienda a otros puntos terminales.

La capacidad de aislamiento de Endpoint Security para Endpoint Manager proporciona una solución completa para que pueda responder rápidamente a ataques a la seguridad y solucionarlos lo antes posible. Con Endpoint Security para Endpoint Manager, puede:

1. Aislar el dispositivo directamente desde la consola de administración, haciendo clic con el botón derecho en la vista de la red y haciendo clic en Aislamiento. No es necesario "andar" físicamente hasta el punto terminal.
2. Abra una sesión de control remoto al dispositivo aislado para ayudarle a estimar el daño.
3. Implemente cualquier tipo de software o de secuencia de comandos en el punto terminal. En concreto, esto es útil para implementar un rastreo de antivirus único que requiera la descarga de las definiciones de virus más recientes de internet. Endpoint Security para Endpoint Manager permite habilitar el acceso a internet para software específico mientras se aisla el resto del dispositivo.

Todas las capacidades indicadas se pueden realizar desde una vista sencilla, lo que asegura una mayor rapidez para el remedio.

Se muestra un icono específico en la consola para cada dispositivo aislado. El icono representa el cliente EPS, y reconoce que ha podido aislar el punto terminal.

Cómo funciona el aislamiento de redes

Cuando se selecciona la opción Aislamiento para un dispositivo en la vista de red, se abre una nueva ventana que permite iniciar una sesión de control remoto inmediatamente y seleccionar un paquete de software para implementar (se importa una lista de paquetes de software desde los ajustes de distribución de software).

Después de seleccionar las opciones deseadas y de hacer clic en Aceptar, el servidor central intentará inmediatamente notificar al punto de terminal mediante el mecanismo de envío estándar. Si el punto terminal no se puede conectar directamente desde el servidor central, como cuando se conecta a través de un CSA, el servidor central utilizará otra técnica de envío que se beneficia de las capacidades de envío por control remoto para notificar al punto terminal.

Después de notificar al agente EPS, éste bloqueará cualquier tráfico de red de entrada o salida del dispositivo en todos los puertos, menos en los puertos de Endpoint Security para Endpoint Manager y los de comunicación por control remoto. Esto permite al servidor central continuar administrando el punto terminal después de aislar el dispositivo. EPS también permite el tráfico de DNS, lo que garantiza que el agente de Ivanti pueda continuar funcionando. El agente EPS sólo permite el tráfico a/desde el servidor central/CSA en los puertos abiertos específicos, que sólo se puede utilizar para enviar/recibir tráfico desde la consola de administración.

Si requiere implementar un paquete de software o iniciar una sesión de control remoto, se notifica a los componentes de agente relevantes para que se puedan iniciar estos procesos.

Si desea permitir que un proceso específico se conecte a internet mientras el dispositivo está aislado de la red, abra el UI del agente EPS y busque el proceso. Haga clic con el botón derecho y seleccione la opción relevante.

Además, puede utilizar las otras capacidades de remedio del producto cuando se aisle el punto terminal. Estas capacidades incluyen:

• Vista y administración de archivos remotos (eliminar archivos remotos).
• Vista de procesos y terminar un proceso.
• Análisis de inventario completo: comprender las que se instalaron en el punto terminal, cuándo y la última vez que se ejecutó.
• Acceso remoto completo a los registros de Windows.
• Cerrar o reiniciar el punto terminal.

Si se ha eliminado el software malintencionado del punto terminal, puede "liberar" el punto terminal del aislamiento. Si no, utilice el aprovisionamiento para restablecer la imagen del punto terminal.