Изоляция конечной точки
Что такое Изоляция конечной точки?
Изоляция конечной точкиДействие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
Изоляция конечной точки (также network containment, host quarantine, host isolation) — это одно из стандартных действий современных EDR: CrowdStrike Real Time Response, «Isolate device» в Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR. Ядро-агент блокирует весь сетевой трафик хоста, кроме управления, мгновенно прекращая C2-маяки, шифрование сетевых шар шифровальщиком и латеральное движение, что даёт SOC время на расследование, сбор артефактов и устранение. Лучшая практика — связывать изоляцию с playbooks в SOAR (Tines, XSOAR, Splunk SOAR), требовать двойной апрув для серверов и регулярно тренировать процедуру снятия изоляции.
● Примеры
- 01
CrowdStrike Real Time Response изолирует ноутбук руководителя через секунды после обнаружения маяка Cobalt Strike.
- 02
SOAR-playbook автоматически запускает «Isolate device» в Microsoft Defender for Endpoint при подтверждённом ransomware-поведении.
● Частые вопросы
Что такое Изоляция конечной точки?
Действие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование. Относится к категории Защита и операции в кибербезопасности.
Что означает Изоляция конечной точки?
Действие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
Как защититься от Изоляция конечной точки?
Защита от Изоляция конечной точки обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Изоляция конечной точки?
Распространённые альтернативные названия: Сетевая изоляция, Изоляция хоста, Карантин хоста.