Ir al contenido principal

Aislamiento de Dispositivos

Cómo desconectar un dispositivo comprometido de la red para contener una amenaza activa y evitar su propagación.

Actualizado hace más de un mes

¿Qué es el aislamiento de dispositivos?

El aislamiento de dispositivos es una capacidad de respuesta inmediata que permite desconectar un endpoint comprometido de la red corporativa para contener una amenaza activa y evitar su propagación a otros sistemas. El dispositivo aislado mantiene la comunicación con la plataforma de BlackfishID, lo que permite continuar investigando el incidente y aplicar acciones de remediación de forma remota.

¿Cómo funciona?

  1. Accede a la consola de BlackfishID y dirígete a Dispositivos.

  2. Selecciona el dispositivo comprometido o sospechoso.

  3. Haz clic en Aislar dispositivo en la sección de acciones disponibles.

  4. Confirma la acción. El dispositivo quedará desconectado de la red en segundos, manteniendo únicamente la conexión con la plataforma.

  5. Una vez neutralizada la amenaza, puedes restaurar la conectividad mediante la opción Restablecer conexión de red.

¿Cuándo aislar un dispositivo?

  • Cuando se detecte actividad maliciosa activa en un endpoint que no haya podido ser contenida automáticamente.

  • Cuando un dispositivo muestre indicadores de compromiso (IOC) como conexiones sospechosas, procesos no autorizados o cifrado masivo de archivos.

  • Durante la investigación de un incidente para prevenir movimientos laterales dentro de la red.

  • Como medida preventiva mientras se evalúa el alcance de una amenaza detectada.

Consideraciones importantes

  • El usuario del dispositivo aislado no podrá acceder a internet ni a recursos de red hasta que se restablezca la conexión.

  • El dispositivo seguirá siendo visible y gestionable desde la consola de BlackfishID durante el aislamiento.

  • El aislamiento queda registrado en el historial de acciones del dispositivo para su trazabilidad en auditorías.

Ejemplo real

Un dispositivo de la red comienza a realizar conexiones salientes inusuales hacia servidores externos. La plataforma genera una alerta de severidad crítica. El administrador aísla el dispositivo de inmediato desde la consola, deteniendo la actividad sospechosa. Mientras el equipo de soporte de BlackfishID investiga el incidente de forma remota, el resto de la red permanece protegida sin interrupciones.

Artículos relacionados
Protección de Dispositivos
Monitorización 24/7: Protección Continua y Respuesta Eficiente
Panel de Dispositivos en BlackfishID
Envío de Alerta de Seguridad
Capacidades de Respuesta Automatizada
¿Ha quedado contestada tu pregunta?