端点隔离
端点隔离 是什么?
端点隔离EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
端点隔离(又称网络遏制、host quarantine、host isolation)是现代 EDR 平台提供的一键响应动作,例如 CrowdStrike Real Time Response、Microsoft Defender for Endpoint 的"Isolate device"、SentinelOne 网络隔离、Carbon Black Cb Live Response 与 Cortex XDR。内核代理收到指令后,会阻断终端除管理面之外的所有网络流量,从而立即中断 C2 心跳、勒索软件对文件共享的加密以及横向移动,给 SOC 留出调查、取证与修复时间。最佳实践是将隔离接入 SOAR 剧本(Tines、XSOAR、Splunk SOAR),生产服务器要求双重审批,并定期演练解除隔离流程以便安全地恢复主机入网。
● 示例
- 01
CrowdStrike Real Time Response 在检测到 Cobalt Strike beacon 后数秒内隔离一名高管的笔记本。
- 02
SOAR 剧本在确认勒索软件行为后自动触发 Microsoft Defender for Endpoint 的"Isolate device"。
● 常见问题
端点隔离 是什么?
EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。 它属于网络安全的 防御与运营 分类。
端点隔离 是什么意思?
EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
如何防御 端点隔离?
针对 端点隔离 的防御通常结合技术控制与运营实践,详见上方完整定义。
端点隔离 还有哪些其他名称?
常见的别称包括: 网络遏制, 主机隔离, 主机检疫。