Gestione el aislamiento de red de una carga de trabajo

La EDR le permite gestionar el aislamiento de red para una carga de trabajo con el fin de detener el movimiento lateral o las actividades de comando y control (C&C). Hay una serie de opciones de aislamiento entre las que elegir, según sus requisitos. Tenga en cuenta que todas las tecnologías Acronis Cyber Protect son funcionales incluso si una carga de trabajo está aislada, lo que garantiza que pueda llevarse a cabo la investigación por completo.

Pasos para aislar una carga de trabajo desde la red

  1. En la cyber kill chain, haga clic en el nodo de la carga de trabajo que desee solucionar.
  2. En la barra lateral que se muestra, haga clic en la pestaña Medidas de respuesta.
  3. En la sección Solucionar haga clic en Gestionar aislamiento de red.

    El valor Estado de red indica si la carga de trabajo está conectada o no actualmente. Si el valor muestra Aislada, puede volver a conectar la carga de trabajo aislada a la red, según se describe en el procedimiento siguiente. Si la carga de trabajo está offline, puede aislar la carga de trabajo; cuando la carga de trabajo vuelva a estar en línea, se pondrá automáticamente en estado Aislada.

  4. En la lista desplegable Acción inmediata después del aislamiento, seleccione una de las siguientes opciones:

    • Solo aislar

    • Aislar y hacer copia de seguridad de la carga de trabajo

    • Aislar y hacer copia de seguridad de la carga de trabajo con datos forenses

    • Aislar y apagar la carga de trabajo

    Para obtener más información acerca de cómo definir dónde hacer una copia de seguridad de la carga de trabajo y las opciones de cifrado, consulte Gestión de la copia de seguridad y recuperación de cargas de trabajo y archivos.

  5. [Opcional] En el campo Mensaje a mostrar, añada un mensaje para mostrar a los usuarios finales cuando accedan a la carga de trabajo aislada. Por ejemplo, puede informar a los usuarios de que la carga de trabajo ahora está aislada y que el acceso a la red dentro y fuera de la carga de trabajo no está disponible actualmente. Tenga en cuenta que este mensaje también se muestra como una notificación de Tray Monitor y se sigue mostrando hasta que el usuario descarga el mensaje.
  6. [Opcional] En el campo Comentario, añada un comentario. Este comentario puede verse en la pestaña Actividades (para un único nodo o todo el incidente) y puede ayudarle (o a sus colegas) a recordar por qué se llevó a cabo esa acción cuando vuelva a analizar el incidente.
  7. Haga clic en Gestionar exclusiones de red para añadir puertos, URL, nombres de host y direcciones IP que tendrán acceso a la carga de trabajo durante el aislamiento. Para obtener más información, consulte Cómo gestionar las exclusiones de red.
  8. Haga clic en Aislar.

    La carga de trabajo está aislada. También puede ver esta acción en las pestañas Actividades del nodo individual y de todo el incidente. Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.

    La carga de trabajo también se muestra como Aislada en el menú Cargas de trabajo de la consola de Cyber Protect. También puede aislar una o varias cargas de trabajo desde el menú Cargas de trabajo > Cargas de trabajo con agentes; seleccionar las cargas de trabajo correspondientes y, en la barra lateral de la derecha, seleccionar Gestionar aislamiento de red. En el diálogo mostrado, puede gestionar las exclusiones de red y hacer clic en Aislar o Aislar todas para aislar las cargas de trabajo seleccionadas.

Pasos para volver a conectar una carga de trabajo aislada a la red

  1. En la cyber kill chain, haga clic en el nodo de la carga de trabajo que desee reconectar.

    Si la carga de trabajo aislada está offline actualmente, aún así puede volver a conectarla a la red; cuando la carga de trabajo vuelva a estar en línea, se pondrá automáticamente en estado Conectada.
  2. En la barra lateral que se muestra, haga clic en la pestaña Medidas de respuesta.
  3. En la sección Solucionar haga clic en Gestionar aislamiento de red.
  4. Seleccione una de las siguientes opciones:
    • Conectar a la red inmediatamente: La carga de trabajo se reconecta a la red.
    • Recuperar carga de trabajo a partir de la copia de seguridad al conectarse a la red: Seleccione un punto de recuperación desde el cual recuperar la carga de trabajo.
      1. En el campo Punto de recuperación, haga clic en Seleccionar.
      2. En la barra lateral que se muestra, seleccione el punto de recuperación que corresponda.
      3. Haga clic en Recuperar > Toda la carga de trabajo para recuperar todos los archivos y carpetas de la carga de trabajo.

        O

        Haga clic en Recuperar > Archivos/carpetas para recuperar archivos y carpetas específicos de la carga de trabajo. Se le pedirá que seleccione los archivos o carpetas que desee. Una vez seleccionados, puede ver la lista de elementos haciendo clic en el valor correspondiente del campo Elementos para recuperar.

        Si el punto de recuperación que selecciona está cifrado, se le pedirá la contraseña.
  5. [Opcional] Seleccione la casilla de verificación Reinicie la carga de trabajo automáticamente, si es necesario. Esta opción solo aplica si ha seleccionado Recuperar > Toda la carga de trabajo en el paso 4.
  6. [Opcional] En el campo Mensaje a mostrar, añada un mensaje para mostrar a los usuarios finales cuando accedan a la carga de trabajo conectada. Por ejemplo, puede informar a los usuarios de que se ha restaurado una copia de seguridad a la carga de trabajo y que el acceso a la red dentro y fuera de la carga de trabajo se ha reanudado.
  7. [Opcional] En el campo Comentario, añada un comentario. Este comentario puede verse en la pestaña Actividades (para un único nodo o todo el incidente) y puede ayudarle (o a sus colegas) a recordar por qué se llevó a cabo esa acción cuando vuelva a analizar el incidente.
  8. Haga clic en Conectar si ha seleccionado Conectar a la red inmediatamente en el paso 4.

    O

    Haga clic en Recuperar y conectar si ha seleccionado Recuperar carga de trabajo a partir de la copia de seguridad al conectarse a la red en el paso 4.

    La carga de trabajo se volverá a conectar a la red y ya no se limitará el acceso de toda la red a la carga de trabajo.

    También puede conectar una o varias cargas de trabajo aisladas desde el menú Cargas de trabajo > Cargas de trabajo con agentes en la consola de Cyber Protect; seleccione las cargas de trabajo correspondientes y, en la barra lateral de la derecha, seleccione Gestionar aislamiento de red. En el cuadro de diálogo, haga clic en Conectar o Conectar todo para volver a conectar las cargas de trabajo seleccionadas a la red.

Pasos para gestionar exclusiones de red

Incluso si todas las tecnologías de Acronis Cyber Protect funcionan cuando la carga de trabajo está en aislamiento, es posible que haya casos en los que necesite que se establezcan más conexiones de red (por ejemplo, puede que tenga que cargar un archivo desde la carga de trabajo a un directorio compartido). En estos escenarios, puede añadir una exclusión de red, pero asegúrese de eliminar cualquier amenaza antes de añadir la exclusión.
  1. En la sección Solucionar de la pestaña Medidas de respuesta, haga clic en Gestionar exclusiones de red.
  2. En la barra lateral de exclusiones de red, añada las exclusiones que correspondan. Para cada una de las opciones disponibles, (Puertos, direcciones URL y nombres de host o direcciones IP) haga lo siguiente:
    1. Haga clic en Agregar e introduzca los puertos, direcciones URL, nombres de host o direcciones IP correspondientes.
    2. En la lista desplegable Dirección del tráfico, seleccione entre Conexiones entrantes y salientes, Solo conexiones entrantes o Solo conexiones salientes.
    3. Haga clic en Agregar.
  3. Haga clic en Guardar.