Microsoft Defender for Endpoint a introdus izolarea automată a dispozitivelor, o capacitate de izolare proactivă care deconectează stațiile de lucru compromise de la rețea în momentul în care este detectat un atac cu grad ridicat de încredere, fără a aștepta intervenția umană.
Microsoft Defender for Endpoint poate acum izola automat dispozitivele compromise ca parte a cadrului său mai larg de Întrerupere Automată a Atacurilor.
Când platforma identifică o campanie ransomware activă sau o intruziune sofisticată în desfășurare, aceasta întrerupe imediat conexiunile de rețea ale dispozitivului afectat, întrerupând accesul atacatorului, păstrând în același timp canalul de comunicare al dispozitivului cu serviciul Defender for Endpoint în sine.
Aceasta înseamnă că analiștii de securitate continuă să primească telemetrie și să mențină vizibilitatea asupra mașinii compromise chiar și atunci când aceasta este izolată.
Capacitatea vizează stațiile de lucru ale utilizatorilor finali care sunt integrate și gestionate de Microsoft Defender for Endpoint. Nu se aplică serverelor sau dispozitivelor negestionate în cadrul domeniului de aplicare actual al acestei caracteristici.
Modul de funcționare al întreruperii automate a atacului
Microsoft Defender XDR corelează milioane de semnale între endpoint-uri, identități, e-mailuri și aplicații SaaS pentru a construi o singură vizualizare a incidentelor, cu un nivel ridicat de încredere.
Odată ce un atac activ, cum ar fi propagarea ransomware sau recoltarea acreditărilor Business Email Compromise (BEC), este confirmat cu suficientă încredere, sistemul declanșează automat acțiuni de izolare la nivel de incident, nu doar la nivel de alertă.
În special pentru izolarea dispozitivului, Defender for Endpoint deconectează disozitivul compromis de la rețeaua mai largă, împiedicând atacatorul să îl folosească ca rampă de lansare pentru mișcare laterală, exfiltrare de date sau implementare ransomware pe sistemele adiacente.
Izolarea este limitată la dispozitive specifice implicate în incident, nu este aplicată pe scară largă în întregul mediu, reducând la minimum perturbările colaterale ale operațiunilor de afaceri.
Microsoft a integrat mai multe măsuri de siguranță pentru a preveni ca izolarea să devină un blocaj operațional:
- Izolare limitată în timp: Izolarea este inversată automat după o fereastră de timp definită, asigurându-se că dispozitivele nu sunt deconectate permanent.
- Suprascrierea operatorului: Echipele de securitate pot dezactiva manual izolarea în orice moment după finalizarea pașilor de investigare și remediere.
- Direcționare specifică: Doar dispozitivele implicate direct în lanțul de atac sunt izolate, nu întregul mediu.
- Suport pentru excludere: Organizațiile pot configura reguli de excludere pentru mașinile critice ale afacerii, asigurându-se că activele cu prioritate ridicată utilizează izolare selectivă pe baza unor reguli definite, mai degrabă decât deconectarea completă a rețelei.
După aplicarea izolării automate, operatorii de securitate pot audita întreaga evidență a activității direct în portalul Microsoft Defender. Fila Activități din vizualizarea incidentelor înregistrează fiecare eveniment de izolare și dezizolare, inclusiv marcajul temporal, alerta declanșatoare și executantul acțiunii automate (Întreruperea atacului).
Centrul de acțiuni oferă un jurnal istoric al tuturor acțiunilor de izolare, inclusiv starea acestora (Finalizat sau Eșuat), sursa acțiunii și entitatea decisivă.
Grupurile de ransomware se bazează în mare măsură pe viteză; cu cât se mișcă lateral mai repede, cu atât provoacă mai multe daune înainte de detectare. Prin automatizarea izolării în momentul în care este detectat un semnal de înaltă încredere, Microsoft Defender for Endpoint elimină întârzierea critică dintre detectare și răspuns.
Echipele de operațiuni de securitate păstrează controlul deplin asupra investigațiilor, în timp ce raza exploziei atacului este redusă dramatic, limitând atât impactul financiar, cât și pierderile de productivitate.
Lasă un răspuns