A Microsoft está testando uma nova capacidade do Defender for Endpoint que isola automaticamente endpoints comprometidos para impedir que invasores se movam lateralmente pela rede.
A função já está disponível em modo de prévia e faz parte da interrupção automática de ataques, um recurso criado para conter incidentes, limitar seus impactos e dar mais tempo para que as equipes de segurança atuem na remediação.
Os endpoints comprometidos que são isolados automaticamente são desconectados da rede para reduzir o risco de novos danos, mas continuam com conexão ao serviço Microsoft Defender for Endpoint, que segue monitorando o dispositivo.
“Quando há suspeita de que um dispositivo de uma organização foi comprometido, o Microsoft Defender for Endpoint pode isolar automaticamente esse dispositivo como parte da interrupção automática de ataques”, informou a Microsoft.
“O isolamento automático ajuda a reduzir o risco de novos impactos para a organização, limitar o movimento lateral do invasor e evitar efeitos como exfiltração de dados e propagação de ransomware.”
O isolamento automático de dispositivos funciona apenas em estações de trabalho de usuários finais integradas e gerenciadas pelo Microsoft Defender for Endpoint.
Como explicou a Microsoft, esses dispositivos também podem ser retirados da contenção a qualquer momento pelos operadores de segurança, depois que a investigação do incidente for concluída e os riscos forem mitigados.
Para liberar um dispositivo do isolamento automático, basta selecioná-lo no inventário de dispositivos ou abrir a página do dispositivo e escolher a opção “Liberar do isolamento” no menu de ações.
Quase quatro anos atrás, em junho de 2022, a Microsoft também anunciou que administradores poderiam conter manualmente dispositivos Windows comprometidos e não gerenciados, cortando a comunicação de entrada e saída com endpoints integrados ao Defender for Endpoint.
Em janeiro de 2023, a empresa também começou a testar o suporte ao isolamento de dispositivos no Defender for Endpoint para dispositivos Linux integrados.
A capacidade chegou à disponibilidade geral em outubro de 2023.
No mesmo mês, a Microsoft revelou que o Defender for Endpoint também poderia isolar contas de usuário comprometidas como parte da interrupção automática de ataques, bloqueando o movimento lateral em ataques de ransomware conduzidos manualmente pelo invasor.
Mais recentemente, a Microsoft começou a testar outro novo recurso da plataforma de segurança de endpoints corporativos Defender for Endpoint, que bloqueia automaticamente o tráfego de e para endpoints Windows ainda não descobertos, impedindo que invasores comprometam outros dispositivos da rede que não tenham sido afetados.
No início deste mês, a empresa revelou ainda outra funcionalidade em prévia do Defender for Endpoint que permitirá aos administradores agendar varreduras antivírus em sistemas Linux integrados usando o portal Microsoft Defender, a configuração JSON gerenciada pelo mdatp ou a ferramenta de linha de comando mdatp.
“As varreduras agendadas oferecem suporte a varreduras rápidas diárias, varreduras rápidas em intervalos e varreduras completas semanais, com opções de execução em baixa prioridade, agendamento em períodos de inatividade e horários de início aleatórios”, informou a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...