Microsoft está probando una nueva función de Defender for Endpoint que aislará
automáticamente los dispositivos comprometidos para frustrar los intentos de
los atacantes de propagarse lateralmente por la red.
Esta función ya
está disponible en versión preliminar
y forma parte de la interrupción automática de ataques, una característica
diseñada para contener los ataques, limitar su impacto y brindar a los equipos
de seguridad más tiempo para solucionarlos.
Los dispositivos comprometidos que se aíslan automáticamente se desconectan
de la red para reducir el riesgo de un mayor impacto,
pero mantienen la conectividad con el servicio Microsoft Defender for
Endpoint, que seguirá supervisando el dispositivo.
«Cuando se sospecha que un dispositivo de su organización está
comprometido, Microsoft Defender for Endpoint puede aislarlo automáticamente
como parte de la interrupción automática de ataques»,
declaró Microsoft.
El aislamiento automático ayuda a reducir el riesgo de un mayor impacto en la
organización, limita el movimiento lateral del atacante y previene impactos
como la exfiltración de datos y la propagación de ransomware.
El aislamiento automático de dispositivos solo funciona en estaciones de
trabajo de usuarios finales incorporadas y administradas por Microsoft
Defender for Endpoint.
Como explicó Microsoft, los operadores de seguridad también pueden liberarlas
del aislamiento en cualquier momento después de completar la investigación del
incidente y mitigar los riesgos.
Para liberar un dispositivo del aislamiento automático, selecciónelo en el
«Inventario de dispositivos» o abra la página del dispositivo y seleccione
«Liberar del aislamiento» en el menú de acciones.
Hace casi cuatro años, en junio de 2022, Microsoft también anunció que los
administradores podían aislar manualmente los dispositivos Windows
comprometidos y no administrados interrumpiendo la comunicación entrante y
saliente con los puntos finales incorporados a Defender for Endpoint.
Microsoft también comenzó a probar la compatibilidad con el aislamiento de
dispositivos para Defender for Endpoint en dispositivos Linux integrados en
enero de 2023, y esta funcionalidad estuvo disponible para el público general
en octubre de 2023.
Ese mismo mes, reveló que Defender for Endpoint también podía aislar las
cuentas de usuario comprometidas como parte de la interrupción automática de
ataques para bloquear el movimiento lateral en ataques de ransomware que
utilizan el teclado.
Más recientemente, Microsoft comenzó a probar otra nueva función para la
plataforma de seguridad empresarial Defender for Endpoint que bloquea
automáticamente el tráfico hacia y desde terminales Windows no detectados,
impidiendo que los atacantes accedan a otros dispositivos no comprometidos en
la red.
A principios de este mes, reveló otra función de vista previa de Defender for
Endpoint que permitirá a los administradores programar análisis antivirus en
sistemas Linux incorporados mediante el portal de Microsoft Defender, la
configuración JSON administrada por mdatp o la herramienta de línea de
comandos mdatp.
«Los análisis programados admiten análisis rápidos diarios, análisis
rápidos basados en intervalos y análisis completos semanales, con opciones
para ejecución de baja prioridad, programación en tiempo de inactividad y
horarios de inicio aleatorios», indicó.
Fuente:
BC