Die Netzwerk-Isolation eines Workloads verwalten

Die EDR-Funktionalität ermöglicht Ihnen, die Netzwerk-Isolation eines Workloads zu verwalten, um laterale Bewegungen oder Steuerungs- und Kontroll-Aktivitäten (auch C&C-Aktivitäten genannt, für Command and Control) zu verhindern. Beim Isolieren von Workloads stehen Ihnen je nach Bedarf mehrere Optionen zur Verfügung. Beim Isolieren von Workloads sollten Sie beachten, dass alle Acronis Cyber Protect-Technologien weiterhin funktionieren. Dadurch wird sichergestellt, dass Untersuchungen uneingeschränkt möglich sind.

So können Sie einen Workload vom Netzwerk isolieren

1. Klicken Sie in der Cyber Kill Chain auf den Workload-Knoten, dessen Schäden Sie beheben wollen.
2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
3. Klicken Sie im Bereich Beheben auf den Befehl Netzwerk-Isolation verwalten.

   

   Der Wert Netzwerkstatus zeigt an, ob ein Workload gerade verbunden ist oder nicht. Wenn der Wert Isoliert lautet, können Sie den isolierten Workload wieder mit dem Netzwerk verbinden (mit der nachfolgend beschriebenen Prozedur). Wenn ein Workload offline ist, können Sie ihn trotzdem isolieren. Er wird automatisch in das Stadium Isoliert versetzt, wenn der Workload wieder online geht.

4. Wählen Sie im Listenfeld Sofortige Aktion nach der Isolation eine der folgenden Optionen aus:

   • Nur isolieren

   • Workload isolieren und sichern

   • Workload isolieren und mit forensischen Daten sichern

   • Workload isolieren und ausschalten

   Weitere Informationen darüber, wo Sie das Workload-Backup speichern können und welche Verschlüsselungsoptionen es gibt, finden Sie im Abschnitt „Die Backups und Wiederherstellungen von Workloads und Dateien verwalten“.

5. [Optional] Geben Sie im Feld Anzuzeigende Nachricht eine Mitteilung ein, die die Endbenutzer erhalten, wenn sie auf den isolierten Workload zugreifen. Sie können die Benutzer beispielsweise darüber informieren, dass der Workload derzeit isoliert ist und dass ein- sowie ausgehende Netzwerkzugriffe für diesen Workload derzeit unterbunden sind. Beachten Sie, dass diese Meldung auch vom Tray Monitor in der Taskleiste angezeigt wird und so lange verfügbar bleibt, bis der Benutzer die Mitteilung löscht.
6. [Optional] Geben Sie im Feld Kommentar eine Anmerkung ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
7. Klicken Sie auf Netzwerkausschlüsse verwalten, wenn Sie Ports, URLs, Host-Namen und IP-Adressen hinzufügen wollen, die während der Isolationsphase Zugriff auf den Workload haben sollen. Weitere Informationen finden Sie unter „So können Sie Netzwerkausschlüsse verwalten“.
8. Klicken Sie auf das Isolieren.

   Der Workload wird isoliert. Diese Aktion kann zudem auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.

   Der Workload wird außerdem auch in der Cyber Protect-Konsole im Menü Workloads als Isoliert angezeigt. Sie können Workloads (einzeln oder mehrere) auch über das Menü Workloads –> Workloads mit Agenten isolieren. Wählen Sie dazu erst den bzw. die entsprechenden Workload(s) aus und klicken Sie dann in der rechten Seitenleiste auf Netzwerk-Isolation verwalten. Im angezeigten Dialogfeld können Sie Netzwerkausschlüsse verwalten und die Befehle Isolieren bzw. Alle isolieren verwenden, um den oder die ausgewählten Workloads zu isolieren.

So können Sie einen isolierten Workload wieder mit dem Netzwerk verbinden

1. Klicken Sie in der Cyber Kill Chain auf den Workload-Knoten, den Sie wieder mit dem Netzwerk verbinden wollen.

   Wenn der isolierte Workload gerade offline ist, können Sie ihn dennoch wieder mit dem Netzwerk verbinden. Denn er wird automatisch wieder in das Stadium Verbunden versetzt, wenn der Workload wieder online geht.
2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
3. Klicken Sie im Bereich Beheben auf den Befehl Netzwerk-Isolation verwalten.
4. Wählen Sie eine der folgenden Möglichkeiten:
   • Sofort mit Netzwerk verbinden: Der Workload wird wieder mit dem Netzwerk verbunden.
   • Workload aus Backup wiederherstellen, bevor er mit dem Netzwerk verbunden wird: Wählen Sie einen Recovery-Punkt, aus dem der Workload wiederhergestellt werden soll.
     1. Klicken Sie im Feld Recovery-Punkt auf den Befehl Auswahl.
     2. Wählen Sie in der angezeigten Seitenleiste den entsprechenden Recovery-Punkt.
     3. Klicken Sie auf Recovery –> Kompletter Workload, wenn Sie alle Dateien und Ordner auf dem Workload wiederherstellen wollen.

        Oder

        Klicken Sie auf Recovery –> Dateien/Ordner, wenn Sie bestimmte Dateien und Ordner auf dem Workload wiederherstellen wollen. Sie werden dann aufgefordert, die entsprechenden Dateien bzw. Ordner auszuwählen. Sie können die Liste der ausgewählten Elemente noch einmal einsehen, indem Sie auf den entsprechenden Wert im Feld Wiederherzustellende Elemente klicken.

        

        Wenn ein von Ihnen ausgewählter Recovery-Punkt verschlüsselt ist, werden Sie aufgefordert, das entsprechende Kennwort einzugeben.
5. [Optional] Aktivieren Sie das Kontrollkästchen Workload bei Bedarf automatisch neu starten. Diese Option ist nur dann relevant, wenn Sie im Schritt 4 den Befehl Recovery –> Kompletter Workload ausgewählt haben.
6. [Optional] Geben Sie im Feld Anzuzeigende Nachricht eine Mitteilung ein, die die Endbenutzer erhalten, wenn sie auf den verbundenen Workload zugreifen. So können Sie die Benutzer beispielsweise darüber informieren, dass auf dem Workload ein Backup wiederhergestellt wurde und dass die ein- und ausgehenden Netzwerkzugriffe für den Workload wieder möglich sind.
7. [Optional] Geben Sie im Feld Kommentar eine Anmerkung ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
8. Klicken Sie auf Verbinden, wenn Sie im Schritt 4 die Option Sofort mit Netzwerk verbinden ausgewählt haben.

   Oder

   Klicken Sie auf Wiederherstellen und verbinden, wenn Sie im Schritt 4 die Option Workload aus Backup wiederherstellen, bevor er mit dem Netzwerk verbunden wird ausgewählt haben.

   Der Workload wird wieder mit dem Netzwerk verbunden und alle Einschränkungen des Netzwerkzugriffs auf den Workload sind wieder aufgehoben.

   Sie können isolierte Workloads (einzeln oder mehrere) in der Cyber Protect-Konsole auch über das Menü Workloads –> Workloads mit Agenten mit dem Netzwerk verbinden. Wählen Sie dazu erst den bzw. die entsprechenden Workload(s) aus und klicken Sie dann in der rechten Seitenleiste auf Netzwerk-Isolation verwalten. Klicken Sie dann im angezeigten Dialogfeld entweder auf Verbinden oder Alle verbinden, damit der bzw. die ausgewählten Workloads wieder mit dem Netzwerk verbunden werden.

So können Sie Netzwerkausschlüsse verwalten

1. Klicken Sie im Bereich Beheben der Registerkarte Antwortaktionen auf den Befehl Netzwerkausschlüsse verwalten.
2. Geben Sie in der Seitenleiste für die Netzwerkausschlüsse die entsprechenden Ausnahmen ein. Gehen Sie für jede der verfügbaren Optionen (Ports, URL-Adresse sowie Host-Name bzw. IP-Adresse) folgendermaßen vor:
   1. Klicken Sie auf Hinzufügen und geben Sie dann den/die entsprechenden Port(s), URL-Adressen, Host-Namen oder IP-Adressen ein.
   2. Wählen Sie im Listenfeld Datenverkehrsrichtung eine der folgenden Optionen: Eingehende und ausgehende Verbindungen, Nur eingehende Verbindungen oder Nur ausgehende Verbindungen.
   3. Klicken Sie auf Hinzufügen.
3. Klicken Sie auf Speichern.