Isolamento e correção da rede do dispositivo (novo na 2017.1)

Quando você suspeita que um ponto de extremidade está executando um malware, a melhor prática é isolar o ponto de extremidade da rede para garantir que o malware não se espalhe para outros pontos de extremidade.

O recurso de isolamento do Endpoint Security for Endpoint Manager fornece uma solução ponta a ponta para você responder agilmente a ameaças de segurança e corrigi-las o mais rápido possível. Usando o Endpoint Security for Endpoint Manager, você pode:

1. Isolar o dispositivo diretamente no console de gerenciamento, clicando com o botão direito na exibição da rede e depois em Isolamento. Não é necessário "caminhar" fisicamente até o ponto de extremidade.
2. Abrir uma sessão de controle remoto para o dispositivo isolado, para ajudá-lo a estimar o dano.
3. Implantar qualquer tipo de software ou script no ponto de extremidade. Especificamente, isso é útil para implantar um analisador de antivírus único que requeira o download das últimas definições de vírus da internet. Endpoint Security for Endpoint Manager permite que você habilite o acesso à internet para um software específico, enquanto o resto do dispositivo fica isolado.

Todos os recursos acima podem ser acionados a partir de uma tela simples, garantindo rapidez na correção.

Um ícone específico é mostrado no console para cada dispositivo isolado. O ícone representa o cliente EPS, reconhecendo que ele foi capaz de isolar o ponto de extremidade.

Como funciona o isolamento de rede

Quando você seleciona a opção Isolamento para um dispositivo na visualização de rede, uma nova janela se abre, permitindo-lhe iniciar imediatamente uma sessão de controle remoto e selecionar um pacote de software para implantar (uma lista de pacotes de software é importada das configurações de distribuição de software).

Após você selecionar as opções desejadas e clicar em OK, o núcleo tenta notificar imediatamente o ponto de extremidade usando o mecanismo-padrão de push. Se o ponto de extremidade não puder ser conectado diretamente a partir do núcleo, como quando o ponto de extremidade estiver conectado através de um CSA, o núcleo usará outra técnica de push que aproveite os recursos de push por controle remoto para notificar o ponto de extremidade.

Assim que o agente EPS for notificado, ele bloqueará todo o tráfego de rede que entra/sai do dispositivo em todas as portas, exceto nas portas de comunicação do Endpoint Security for Endpoint Manager e do controle remoto. Isso permite que o núcleo continue gerenciado o ponto de extremidade depois que o dispositivo estiver isolado. O EPS também permite tráfego DNS, garantindo que o agente Ivanti possa continuar operando. O agente EPS permite somente tráfico de/para o núcleo/CSA nas portas abertas específicas, que podem ser usadas apenas para enviar/receber tráfego a partir do console de gerenciamento.

Se você solicitou a implantação de um pacote de software ou início de uma sessão de controle remoto, os componentes do agente pertinente são notificados para que esses processos possam ser iniciados.

Caso queira permitir que um processo específico se conecte à internet enquanto o dispositivo estiver isolado da rede, abra a IU do agente EPS e procure o processo. Clique com o botão direito e selecione a opção pertinente.

Além do exposto acima, você pode usar os outros recursos de remediação do produto assim que o ponto de extremidade estiver isolado. Esses recursos incluem:

• Visualização e gerenciamento de arquivos remotos (excluir arquivos remotos)
• Visualização de processos e encerramento de um processo.
• Análise completa de inventário — compreendendo quais aplicativos foram instalados no ponto de extremidade, quando foram instalados e quando foram executados pela última vez.
• Acesso remoto completo a logs do Windows.
• Desligar ou reiniciar o ponto de extremidade.

Se o software malicioso tiver sido removido do ponto de extremidade, você pode "liberá-lo" do isolamento. Caso contrário, use o provisionamento para recriar a imagem do ponto de extremidade.