Изоляция конечной точки
Что такое Изоляция конечной точки?
Изоляция конечной точкиДействие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
Изоляция конечной точки (также network containment, host quarantine, host isolation) — это одно из стандартных действий современных EDR: CrowdStrike Real Time Response, «Isolate device» в Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR. Ядро-агент блокирует весь сетевой трафик хоста, кроме управления, мгновенно прекращая C2-маяки, шифрование сетевых шар шифровальщиком и латеральное движение, что даёт SOC время на расследование, сбор артефактов и устранение. Лучшая практика — связывать изоляцию с playbooks в SOAR (Tines, XSOAR, Splunk SOAR), требовать двойной апрув для серверов и регулярно тренировать процедуру снятия изоляции.
● Примеры
- 01
CrowdStrike Real Time Response изолирует ноутбук руководителя через секунды после обнаружения маяка Cobalt Strike.
- 02
SOAR-playbook автоматически запускает «Isolate device» в Microsoft Defender for Endpoint при подтверждённом ransomware-поведении.
● Частые вопросы
Что такое Изоляция конечной точки?
Действие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование. Относится к категории Защита и операции в кибербезопасности.
Что означает Изоляция конечной точки?
Действие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
Как работает Изоляция конечной точки?
Изоляция конечной точки (также network containment, host quarantine, host isolation) — это одно из стандартных действий современных EDR: CrowdStrike Real Time Response, «Isolate device» в Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR. Ядро-агент блокирует весь сетевой трафик хоста, кроме управления, мгновенно прекращая C2-маяки, шифрование сетевых шар шифровальщиком и латеральное движение, что даёт SOC время на расследование, сбор артефактов и устранение. Лучшая практика — связывать изоляцию с playbooks в SOAR (Tines, XSOAR, Splunk SOAR), требовать двойной апрув для серверов и регулярно тренировать процедуру снятия изоляции.
Как защититься от Изоляция конечной точки?
Защита от Изоляция конечной точки обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Изоляция конечной точки?
Распространённые альтернативные названия: Сетевая изоляция, Изоляция хоста, Карантин хоста.
● Связанные термины
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 1254
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
- defense-ops№ 892
Карантин (конечная точка)
Действие endpoint-безопасности, которое переносит подозрительный файл из исходного места в контролируемое и обезвреженное хранилище — выполнить его нельзя, но можно проанализировать или восстановить.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.