Microsoft тестирует новую возможность для Microsoft Defender for Endpoint, которая позволяет автоматически изолировать скомпрометированные конечные устройства, чтобы помешать злоумышленникам распространяться по сети.
Сейчас функция доступна в режиме предварительного просмотра и работает как часть механизма Automatic attack disruption («автоматическое прерывание атак») – функции, предназначенной для сдерживания атак, ограничения их последствий и предоставления командам безопасности дополнительного времени на устранение угроз.
Скомпрометированные устройства, которые автоматически изолируются, отключаются от сети для снижения риска дальнейшего воздействия. При этом они сохраняют подключение к сервису Microsoft Defender for Endpoint, который продолжит отслеживать состояние устройства.
Microsoft заявила:
Если устройство в вашей организации подозревается в компрометации, Microsoft Defender for Endpoint может автоматически изолировать его в рамках функции Automatic attack disruption.
Автоматическая изоляция помогает снизить риск дальнейшего ущерба для организации, ограничить боковое перемещение злоумышленников по сети и предотвратить такие последствия, как утечка данных и распространение программ-вымогателей.
Автоматическая изоляция устройств работает только на пользовательских рабочих станциях, подключенных к Microsoft Defender for Endpoint. Специалисты по безопасности могут в любой момент вывести устройства из режима изоляции после завершения расследования инцидента и устранения рисков.
Функция Automatic Device Isolation в Microsoft Defender for Endpoint автоматически отключает скомпрометированные устройства от сети для предотвращения распространения атак.
Чтобы снять автоматическую изоляцию с устройства, нужно выбрать его в разделе Инвентаризация устройств либо открыть страницу устройства и выбрать пункт Освободить из изоляции в меню действий.
Почти четыре года назад, в июне 2022 года, Microsoft также объявила, что администраторы смогут вручную изолировать скомпрометированные неуправляемые устройства Windows, блокируя входящие и исходящие соединения с конечными точками, подключенными к Defender for Endpoint.
В январе 2023 года Microsoft начала тестирование поддержки изоляции устройств для Defender for Endpoint на подключенных Linux-системах, а в октябре 2023 года эта возможность стала общедоступной.
В том же месяце компания сообщила, что Defender for Endpoint также может изолировать скомпрометированные пользовательские учетные записи в рамках механизма Automatic attack disruption, чтобы блокировать боковое перемещение при атаках шифровальщиками с ручным управлением.
Недавно Microsoft начала тестировать еще одну новую функцию для корпоративной платформы защиты конечных точек Defender for Endpoint, которая автоматически блокирует входящий и исходящий трафик для необнаруженных Windows-устройств, предотвращая компрометацию других устройств в сети.
Ранее в этом месяце компания представила еще одну предварительную функцию Defender for Endpoint, которая позволит администраторам планировать антивирусные проверки на подключенных Linux-системах через портал Microsoft Defender, JSON-конфигурацию mdatp managed или инструмент командной строки mdatp.
Microsoft пояснила:
Запланированные проверки поддерживают ежедневные быстрые сканирования, быстрые сканирования по интервалу и еженедельные полные проверки, а также параметры запуска с низким приоритетом, выполнения в период простоя системы и случайного времени старта.
Последние статьи #Windows
• Microsoft Defender теперь может автоматически изолировать взломанные устройства
• Windows 11 получила крупное обновление с улучшениями производительности
• Microsoft встроит Copilot в панель задач Windows 11 летом 2026 года
• Обновление KB5089570 (Build 28000.2179) Preview для Windows 11, версия 26H1
• Обновление KB5089573 (Build 26100.8524) Preview для Windows 11, версия 24H2
• Обновление KB5089573 (Build 26200.8524) Preview для Windows 11, версия 25H2