Microsoft Defender aisla automáticamente los endpoints infectados

Microsoft está probando una nueva función de Defender for Endpoint que aislará automáticamente los dispositivos comprometidos para frustrar los intentos de los atacantes de propagarse lateralmente por la red.

Esta función ya está disponible en versión preliminar y forma parte de la interrupción automática de ataques, una característica diseñada para contener los ataques, limitar su impacto y brindar a los equipos de seguridad más tiempo para solucionarlos.

Los dispositivos comprometidos que se aíslan automáticamente se desconectan de la red para reducir el riesgo de un mayor impacto, pero mantienen la conectividad con el servicio Microsoft Defender for Endpoint, que seguirá supervisando el dispositivo.

"Cuando se sospecha que un dispositivo de su organización está comprometido, Microsoft Defender for Endpoint puede aislarlo automáticamente como parte de la interrupción automática de ataques", declaró Microsoft.

El aislamiento automático ayuda a reducir el riesgo de un mayor impacto en la organización, limita el movimiento lateral del atacante y previene impactos como la exfiltración de datos y la propagación de ransomware.

El aislamiento automático de dispositivos solo funciona en estaciones de trabajo de usuarios finales incorporadas y administradas por Microsoft Defender for Endpoint.

Como explicó Microsoft, los operadores de seguridad también pueden liberarlas del aislamiento en cualquier momento después de completar la investigación del incidente y mitigar los riesgos.

Para liberar un dispositivo del aislamiento automático, selecciónelo en el "Inventario de dispositivos" o abra la página del dispositivo y seleccione "Liberar del aislamiento" en el menú de acciones.

Hace casi cuatro años, en junio de 2022, Microsoft también anunció que los administradores podían aislar manualmente los dispositivos Windows comprometidos y no administrados interrumpiendo la comunicación entrante y saliente con los puntos finales incorporados a Defender for Endpoint.

Microsoft también comenzó a probar la compatibilidad con el aislamiento de dispositivos para Defender for Endpoint en dispositivos Linux integrados en enero de 2023, y esta funcionalidad estuvo disponible para el público general en octubre de 2023.

Ese mismo mes, reveló que Defender for Endpoint también podía aislar las cuentas de usuario comprometidas como parte de la interrupción automática de ataques para bloquear el movimiento lateral en ataques de ransomware que utilizan el teclado.

Más recientemente, Microsoft comenzó a probar otra nueva función para la plataforma de seguridad empresarial Defender for Endpoint que bloquea automáticamente el tráfico hacia y desde terminales Windows no detectados, impidiendo que los atacantes accedan a otros dispositivos no comprometidos en la red.

A principios de este mes, reveló otra función de vista previa de Defender for Endpoint que permitirá a los administradores programar análisis antivirus en sistemas Linux incorporados mediante el portal de Microsoft Defender, la configuración JSON administrada por mdatp o la herramienta de línea de comandos mdatp.

"Los análisis programados admiten análisis rápidos diarios, análisis rápidos basados ​​en intervalos y análisis completos semanales, con opciones para ejecución de baja prioridad, programación en tiempo de inactividad y horarios de inicio aleatorios", indicó.

Fuente: BC

Suscríbete a nuestro Boletín