端点隔离
端点隔离 是什么?
端点隔离EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
端点隔离(又称网络遏制、host quarantine、host isolation)是现代 EDR 平台提供的一键响应动作,例如 CrowdStrike Real Time Response、Microsoft Defender for Endpoint 的"Isolate device"、SentinelOne 网络隔离、Carbon Black Cb Live Response 与 Cortex XDR。内核代理收到指令后,会阻断终端除管理面之外的所有网络流量,从而立即中断 C2 心跳、勒索软件对文件共享的加密以及横向移动,给 SOC 留出调查、取证与修复时间。最佳实践是将隔离接入 SOAR 剧本(Tines、XSOAR、Splunk SOAR),生产服务器要求双重审批,并定期演练解除隔离流程以便安全地恢复主机入网。
● 示例
- 01
CrowdStrike Real Time Response 在检测到 Cobalt Strike beacon 后数秒内隔离一名高管的笔记本。
- 02
SOAR 剧本在确认勒索软件行为后自动触发 Microsoft Defender for Endpoint 的"Isolate device"。
● 常见问题
端点隔离 是什么?
EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。 它属于网络安全的 防御与运营 分类。
端点隔离 是什么意思?
EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
端点隔离 是如何工作的?
端点隔离(又称网络遏制、host quarantine、host isolation)是现代 EDR 平台提供的一键响应动作,例如 CrowdStrike Real Time Response、Microsoft Defender for Endpoint 的"Isolate device"、SentinelOne 网络隔离、Carbon Black Cb Live Response 与 Cortex XDR。内核代理收到指令后,会阻断终端除管理面之外的所有网络流量,从而立即中断 C2 心跳、勒索软件对文件共享的加密以及横向移动,给 SOC 留出调查、取证与修复时间。最佳实践是将隔离接入 SOAR 剧本(Tines、XSOAR、Splunk SOAR),生产服务器要求双重审批,并定期演练解除隔离流程以便安全地恢复主机入网。
如何防御 端点隔离?
针对 端点隔离 的防御通常结合技术控制与运营实践,详见上方完整定义。
端点隔离 还有哪些其他名称?
常见的别称包括: 网络遏制, 主机隔离, 主机检疫。
● 相关术语
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 1254
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
- defense-ops№ 892
隔离区 (端点)
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- malware№ 900
勒索软件
对受害者数据进行加密或锁定系统,并要求支付赎金以恢复访问的恶意软件。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。