Segundo o Cyber Security News, o Microsoft Defender para Endpoint introduziu uma nova capacidade de isolamento automático de dispositivos que desliga imediatamente estações de trabalho comprometidas da rede no momento em que é detectado um ataque com elevada confiança — sem necessidade de intervenção humana.
A funcionalidade integra-se no quadro mais alargado de Automatic Attack Disruption do Microsoft Defender XDR, que correlaciona milhões de sinais provenientes de endpoints, identidades, email e aplicações SaaS para construir uma visão consolidada de cada incidente com elevada fiabilidade.
Como funciona o isolamento automático
Quando o sistema deteta um ataque ativo em curso — como a propagação de ransomware ou a recolha de credenciais em ataques de Business Email Compromise (BEC) — desencadeia automaticamente ações de contenção ao nível do incidente, e não apenas ao nível de alertas individuais.
O dispositivo comprometido é imediatamente desligado da rede, impedindo o atacante de o usar como ponto de partida para movimentação lateral, exfiltração de dados ou propagação de ransomware para outros sistemas. Contudo, o dispositivo mantém ligação ao próprio serviço Defender para Endpoint, permitindo que as equipas de segurança continuem a receber telemetria e a monitorizar a máquina durante o período de isolamento.
A funcionalidade aplica-se exclusivamente a estações de trabalho de utilizadores finais integradas e geridas pelo Microsoft Defender para Endpoint — não abrange servidores nem dispositivos não geridos no âmbito atual da funcionalidade.
Salvaguardas integradas
A Microsoft incorporou vários mecanismos para evitar que o isolamento automático se torne um obstáculo operacional:
- Contenção limitada no tempo: o isolamento é revertido automaticamente após um período definido, garantindo que os dispositivos não ficam permanentemente desligados.
- Controlo manual: as equipas de segurança podem levantar o isolamento manualmente em qualquer momento após concluírem a investigação e remediação.
- Âmbito cirúrgico: apenas os dispositivos diretamente envolvidos na cadeia de ataque são isolados, minimizando a disrupção para o restante ambiente.
- Regras de exclusão: as organizações podem configurar exclusões para máquinas críticas, aplicando isolamento seletivo em vez de desligamento total da rede.
Rastreabilidade e auditoria
Após a aplicação do isolamento automático, os operadores de segurança podem auditar o registo completo de atividade diretamente no portal Microsoft Defender. O separador Activities no painel do incidente regista cada evento de isolamento e desisolamento, incluindo o timestamp, o alerta que o desencadeou e o executor da ação automatizada. O Action Center disponibiliza um histórico completo de todas as ações de isolamento, incluindo o estado (concluído ou falhado), a origem da ação e a entidade decisora.
Impacto estratégico
Os grupos de ransomware dependem da velocidade: quanto mais rapidamente se movem lateralmente, maior é o dano causado antes de serem detetados. Ao automatizar a contenção no momento em que um sinal de elevada confiança é detetado, o Microsoft Defender para Endpoint elimina o intervalo crítico entre deteção e resposta — um dos vetores mais explorados pelos atacantes modernos.
As equipas de operações de segurança mantêm controlo investigativo total, enquanto o raio de impacto do ataque é drasticamente reduzido, limitando tanto as perdas financeiras como a interrupção da produtividade.
Fonte: Cyber Security News