Gestire l'isolamento della rete di un workload

EDR consente di gestire l'isolamento della rete di un workload per arrestare attività di movimento laterale o di comando e controllo. È possibile scegliere tra numerose opzioni di isolamento, in base alle proprie esigenze. Tenere presente che tutte le tecnologie di Acronis Cyber Protect sono in funzione anche se un workload è isolato, garantendo in ogni caso il completamento dell'indagine.

Per isolare un workload dalla rete

  1. Nella sequenza dell'attacco informatico, fare clic sul nodo del workload da correggere.
  2. Nella barra laterale visualizzata, fare clic sulla scheda Azioni di risposta.
  3. Nella sezione Correggi, fare clic su Gestisci isolamento della rete.

    Il valore Stato della rete indica se il workload è attualmente connesso o meno. Se il valore visualizzato è Isolato, è possibile riconnettere il workload isolato alla rete, come descritto nella procedura seguente. È possibile isolare il workload anche se è offline; non appena torna online viene automaticamente impostato sullo stato Isolato.

  4. Nell'elenco a discesa Azione immediata dopo l'isolamento, selezionare un'opzione tra:

    • Isola solo

    • Isola ed esegui il backup del workload

    • Isola ed esegui il backup con dati forensi del workload

    • Isola e disattiva il workload

    Per ulteriori informazioni su come definire la posizione di backup del workload e le opzioni di crittografia, consultare Gestione del backup e del ripristino di workload e file.

  5. [Facoltativo] Nel campo Messaggio da visualizzare, aggiungere un messaggio da visualizzare agli utenti finali che accedono al workload isolato. È ad esempio possibile informare gli utenti che il workload è isolato al momento e che l'accesso dalla rete da e verso il workload non è al momento disponibile. Tenere presente che questo messaggio viene visualizzato anche come notifica in Tray monitor, e resta visualizzato fino a quando gli utenti non chiudono il messaggio.
  6. [Facoltativo] Nel campo Commento, aggiungere un commento. Questo commento è visibile nella scheda Attività (per un singolo nodo o per l'intero problema) e può essere di aiuto per ricordare perché una determinata azione è stata intrapresa se, in un secondo momento, è necessario rivedere il problema.
  7. Fare clic su Gestisci esclusioni di rete per aggiungere porte, URL, nomi host e indirizzi IP che potranno accedere al workload durante l'isolamento. Per ulteriori informazioni, consultare la sezione Gestione delle esclusioni di rete.
  8. Fare clic su Isola.

    Il workload è isolato. Questa azione può essere visualizzata nelle schede Attività sia del singolo nodo che dell'intero problema. Per ulteriori informazioni, consultare Comprendere le azioni intraprese per mitigare un problema.

    Il workload viene mostrato come Isolato anche nel menu Workload nella console di Cyber Protect. È possibile isolare singoli o più workload nel menu Workload > Workload con agenti; selezionare i workload necessari e nella barra laterale destra selezionare Gestisci isolamento della rete. Nella finestra visualizzata, è possibile gestire le esclusioni dalla rete e fare clic su Isola o su Isola tutti per isolare i workload selezionati.

Per riconnettere un workload isolato alla rete

  1. Nella sequenza dell'attacco informatico, fare clic sul nodo del workload a cui riconnettersi.

    Se il workload isolato è attualmente offline è possibile comunque riconnetterlo alla rete; non appena torna online viene automaticamente impostato sullo stato Connesso.
  2. Nella barra laterale visualizzata, fare clic sulla scheda Azioni di risposta.
  3. Nella sezione Correggi, fare clic su Gestisci isolamento della rete.
  4. Selezionare una delle seguenti opzioni:
    • Connetti immediatamente alla rete: Il workload viene riconnesso alla rete.
    • Ripristina il workload dal backup prima di connetterlo alla rete: Selezionare un punto di ripristino dal quale ripristinare il workload.
      1. Nel campo Punto di ripristino, fare clic su Seleziona.
      2. Nella barra laterale visualizzata, selezionare il punto di ripristino pertinente.
      3. Fare clic su Ripristina > Intero workload per ripristinare tutti i file e le cartelle nel workload.

        Oppure

        Fare clic su Ripristina > File/cartelle per ripristinare file e cartelle specifici nel workload. Il sistema chiede di selezionare i file o le cartelle pertinenti. Completata la selezione, è possibile visualizzare l'elenco degli elementi selezionati facendo clic sul valore pertinente nel campo Elementi da ripristinare.

        Se il punto di ripristino selezionato è crittografato, il sistema chiede di inserire la password.
  5. [Facoltativo] Selezionare la casella di controllo Riavvia il workload automaticamente, se necessario. Questa opzione è pertinente solo se al passaggio 4 è stato selezionato Ripristina > Intero workload.
  6. [Facoltativo] Nel campo Messaggio da visualizzare, aggiungere un messaggio da visualizzare agli utenti finali che accedono al workload connesso. È ad esempio possibile informare gli utenti che il backup è stato ripristinato nel workload e che l'accesso dalla rete da e verso il workload è di nuovo disponibile.
  7. [Facoltativo] Nel campo Commento, aggiungere un commento. Questo commento è visibile nella scheda Attività (per un singolo nodo o per l'intero problema) e può essere di aiuto per ricordare perché una determinata azione è stata intrapresa se, in un secondo momento, è necessario rivedere il problema.
  8. Fare clic su Connettere se al Passaggio 4 è stata selezionata l'opzione Connetti immediatamente alla rete.

    Oppure

    Fare clic su Ripristina e connetti se nel Passaggio 4 è stata selezionata l'opzione Ripristina il workload dal backup prima di connetterlo alla rete.

    Il workload viene riconnesso alla rete ed è possibile accedere al workload dalla rete senza alcuna limitazione.

    È anche possibile connettere singoli o più workload isolati nel menu Workload > Workload con agenti nella console di Cyber Protect; selezionare i workload necessari e nella barra laterale destra selezionare Gestisci isolamento della rete. Nella finestra di dialogo selezionata, fare clic su Connettere oppure su Connetti tutto per riconnettere i workload selezionati alla rete.

Per gestire le esclusioni di rete

Anche se tutte le tecnologie di Acronis Cyber Protect sono in funzione quando il workload è in isolamento, possono presentarsi scenari in cui è necessario stabilire ulteriori connessioni di rete (ad esempio, può essere necessario caricare un file dal workload a una directory condivisa). In questi casi è possibile aggiungere un'esclusione di rete, ma occorre accertarsi che ogni minaccia venga rimossa prima di aggiungere l'esclusione.
  1. Nella sezione Correggi della scheda Azioni di risposta, fare clic su Gestisci esclusioni di rete.
  2. Nella barra laterale Esclusioni di rete, aggiungere le esclusioni pertinenti. Per ognuna delle opzioni disponibili (porte, indirizzi URL, nome host, indirizzo IP), procedere come segue:
    1. Fare clic su Aggiungi e quindi inserire le porte, gli indirizzi URL, i nomi host o gli indirizzi IP pertinenti.
    2. Nell'elenco a discesa Direzione del traffico, selezionare un'opzione tra Connessioni in entrata e in uscita, Solo connessioni in entrata oppure Solo connessioni in uscita.
    3. Fare clic su Aggiungi.
  3. Fare clic su Salva.