3分でわかる！有事の際の端末隔離

1. 端末隔離機能とは？

管理者が指定したPCを論理的にネットワークから隔離する機能です。
不正プログラムが検出された際の対応として、各PCまで行ってLANケーブルを抜く運用をされていた場合には、それに似たことが実現できます！

ネットワークから隔離と言っても、実際にはネットワークにつながった状態ですべての通信をブロックする機能です。
また、Apex Oneの管理サーバとの通信は許可されるので、管理できなくなるわけではありません。

2. 隔離の方法

2-1. 隔離の方法

①「ディレクトリ」→「ユーザ/エンドポイント」を開きます。

②PCを検索します。
プルダウンから「エンドポイント」を選択し、コンピュータ名を入力します（コンピュータ名の一部でOK）。

③隔離するPCをクリックします。
今回は「AOS-Agent01」がターゲットです！

④画面右端にある「タスク」メニューから「隔離」を選択します。

⑤以下のメッセージが表示されます。
勇気をもって「エンドポイントの隔離」をクリックします！

2-2. 特定のサーバへの通信のみ許可したい場合

隔離しても、特定のサーバへの通信のみはどうしても許可したい場合があります。
たとえば、調査のためにリモートログインする端末などが該当します。
感染端末との通信を許可する場合には感染リスクもあることから検討のうえ、最小限の許可にとどめることをお勧めします。

① 隔離設定をした「タスク」メニューを再度開くと、「許可するトラフィックの変更」メニューが表示されるのでクリックします。

② 許可する通信の受信や送信、プロトコルやポート番号を指定できます。
以下は、192.168.0.123からの445、3389番ポートへ通信を許可するケースです。
ポート番号はカンマ区切りで複数指定できます。

3. 隔離された端末

隔離された端末では通信できなくなります。
以下は、隔離された端末から外部へpingを実行しているところです。
通信が遮断されているため、pingがエラーになっています。

画面右下のポップアップ表示を拡大した画像です。
このようなメッセージが利用者に表示されます。

4. 隔離の解除

隔離を復元するには、隔離時と同じように「タスク」メニューから設定します。

隔離が解除されると、端末側では通信可能になります。

5. まとめ

端末隔離はいかがでしたでしょうか？
インシデント時の対応フローの整備の中で事前にテストしていただくことをお勧めいたします。
また、定期的に行う訓練の中にも組み込んでいただければ、運用される方も本番の際に慌てずに対応できると思います。