Overview
Isolation là 1 tính năng rất cần thiết để cách ly một thiết bị khỏi mạng để tránh sự lây lan của virus hoặc cần điều tra về các trường hợp đe dọa đến sự an toàn của toàn bộ hệ thống mạng. Thiết bị bị cách ly vẫn có thể được quản lí và gỡ bỏ cách ly bất cứ khi nào từ Sophos Central. Bài viết này sẽ hướng dẫn lựa chọn các tùy chọn khác nhau để cách ly máy tính trong Sophos Central.
Note: Tính năng cô lập thiết bị sẽ không hoạt động nếu tính năng real-time scanning bị tắt trong chính sách Threat Protection.
1.Administrator kích hoạt cách ly.
Note: Tính năng này chỉ khả dụng cho khách hàng có Sophos Intercept X Advanced with EDR license.
1.1. Từ phần Suggest next steps bạn có thể click vào phần “Isolation this device” để cô lập máy tính trong mạng và tiến hành điều tra thêm về mối đe dọa.
1.2 Từ giao diện Endpoint/Server Protection. Chọn Computer/Server, chọn 1 máy tính hoặc server bạn muốn cách ly. Click Isolation.
Từ 2 cách trên khi click Isolation sẽ hiện lên 1 cửa sổ để xác nhận lý do thiết bị bị cách ly. Sau cũng click Isolation.
2. Cho phép máy tính tự cách ly khi có cảnh báo Red Health.
Note: Chính sách này có thể được sử dụng cho tất cả khách hàng có license Sophos Endpoint Protection và không thể áp dụng cho Server Protection.
Chính sách này cho phép máy tính tự cách ly khỏi mạng khi máy tính có cảnh báo trạng thái red health. Để bật policy này bạn vào phần Endpoint Protection > Policies > Base Policy – Threat Protection > Settings > Kéo xuống phần Advanced Settings > Bật Device Isolation.
3. Cách nhận biết máy tính/server đã bị cô lập.
3.1 Khi Administrator kích hoạt cách ly.
Khi Admin chủ động kích hoạt cô lập máy tính/server sẽ có hiện thị “Isolated by Admin”.
Bạn cũng có thể xem các máy tính nào bị cách ly bởi Admin bằng các cách sau:
+ Đi đến Global Settings > General > Admin Isolated Devices.
+ Hoặc đi vào Endpoint Protection > Policies > General > Admin Isolated Devices.
3.2 Máy tính tự động cách ly khi có cảnh báo Red Health.
Khi máy tính tự cách ly với trạng thái red health sẽ hiện thị “Auto Isolated”
4. Cách gỡ bỏ cách ly thiết bị.
4.1 Gỡ bỏ cách ly từ Endpoint/Server Protection view.
Đi đến Endpoint/Server Protection, chọn computer/server bạn muốn gỡ bỏ cách ly. Click Remove from Isolation.
4.2. Gỡ bỏ cách ly từ Admin Isolation Device.
Bạn đi đến Global Settings > Admin Isolated Devices hoặc Endpoint Protection > Settings > Admin Isolated Computers. Chọn máy tính bạn muốn gỡ bỏ cách ly và click Remove from Isolation.
Note: Đối với máy tính tự cách ly với cảnh báo trạng thái red heatlh thì máy tính đó phải được xử lý để quay về trạng thái good heatlh.
5. Hướng dẫn cấu hình loại từ khi cách ly.
Bạn vẫn có thể cho phép các máy tính bị cô lập giao tiếp với các máy tính khác trong những trường hợp hạn chế. Ví dụ: Có thể là bạn muốn truy cập máy tính từ xa vào một máy tính bị cô lập để có thể khắc phục sự cố.
Để cấu hình bạn đi đến Endpoint Protection > Policies > Base Policy – Threat Protection > Settings > Kéo xuống phần Exclusion > Add Exclusions.
Exclusion Type: Chọn Computer Isolation (Windows)
Direction: Bạn có thể chọn Both, Inbound Connection hoặc Outbound Connection.
Nhập Local Port và Remote Port bạn muốn: ví dụ RDP là port 3389.
Remote Address: Điền địa chỉ IP của máy tính bạn muốn remote. Hoặc bạn bỏ trống thì bạn có thể remote vào bất kì máy nào trong mạng.
Click Add.
6. Cách tạm thời gỡ bỏ cô lập cục bộ trên computer/server.
Cách này sẽ xóa máy tính / máy chủ khỏi trạng thái cô lập trong tối đa 4 giờ. Nếu quản trị viên vẫn bật tính năng cô lập hoặc tình trạng của máy tính / máy chủ vẫn còn là red heatlh , sẽ trở về trạng thái cô lập.
Thực hiện theo các bước sau:
+ Tắt Tamper Protection (nếu enabled) trên computer/server bạn muốn gỡ bỏ cô lập tạm thời. Lấy Tamper Protection Password.
+ Mở Sophos Endpoint Agent. Click Admin sign-in và paste password vừa lấy ở bước trên. Click Settings
+ Tick chọn Override Sophos Central Policy for up to 4 hours to troubleshoot
+ Tắt Network Threat Protection.
