Descripción
Aísla un dispositivo comprometido de la red OT sin interrumpir el resto de la planta.
Parámetros de la Tool
| Parámetro | Tipo | Req. | Default |
|---|---|---|---|
deviceId | string | ✓ Sí | — |
isolationType | string | — | — |
| Campo | Tipo | Formato |
|---|---|---|
isolated | boolean | — |
deviceId | string | — |
isolationType | string | — |
timestamp | string | date-time |
Guía de Implementación
deviceId identifica el equipo comprometido o sospechoso (PLC, HMI, servidor industrial) que debe ser aislado para contener el incidente. isolationType permite elegir entre aislamiento completo ('full': sin ninguna comunicación) o parcial ('partial': solo bloquear tráfico externo manteniendo comunicaciones de control críticas).
Identificar todas las interfaces de red del dispositivo. Aplicar reglas de firewall/ACL en el switch adyacente para bloquear todo el tráfico hacia/desde el deviceId según el isolationType. Si es 'partial', mantener solo las comunicaciones esenciales del nivel de control. Registrar la acción con timestamp para el incidente.
isolated confirma que el dispositivo quedó efectivamente contenido. deviceId e isolationType en la salida sirven para el reporte del incidente. timestamp es el inicio del período de aislamiento para SLA de respuesta.
Mapa de planta con dispositivos representados como íconos. Dispositivos aislados con borde rojo pulsante. Panel de acciones de respuesta al incidente: Aislar / Restaurar / Analizar. Timeline del incidente con cada acción ejecutada.
Conexiones con otras Tools
Movimiento lateral detectado aísla el dispositivo origen
Evento ISO que genera esta tool
standardEvent.module.iddebe usar este nombre exacto.device_isolation_action→ se visualiza en el Dashboard ISO y Reporte de AuditoríaCláusulas ISO que cubre este evento
Aislamiento de dispositivos comprometidos para contener la propagación de amenazas.
Contención de incidentes mediante aislamiento de dispositivos afectados.
Demo en vivo
Presiona Ejecutar Demo para ver cómo actúa esta tool en tiempo real