Segundo o Cyber Security News, o Microsoft Defender para Endpoint introduziu uma nova capacidade de isolamento automático de dispositivos que desliga imediatamente estações de trabalho comprometidas da rede no momento em que é detectado um ataque com elevada confiança — sem necessidade de intervenção humana.
A funcionalidade integra-se no quadro mais alargado de Automatic Attack Disruption do Microsoft Defender XDR, que correlaciona milhões de sinais provenientes de endpoints, identidades, email e aplicações SaaS para construir uma visão consolidada de cada incidente com elevada fiabilidade.
Como funciona o isolamento automático
Quando o sistema deteta um ataque ativo em curso — como a propagação de ransomware ou a recolha de credenciais em ataques de Business Email Compromise (BEC) — desencadeia automaticamente ações de contenção ao nível do incidente, e não apenas ao nível de alertas individuais.
O dispositivo comprometido é imediatamente desligado da rede, impedindo o atacante de o usar como ponto de partida para movimentação lateral, exfiltração de dados ou propagação de ransomware para outros sistemas. Contudo, o dispositivo mantém ligação ao próprio serviço Defender para Endpoint, permitindo que as equipas de segurança continuem a receber telemetria e a monitorizar a máquina durante o período de isolamento.
A funcionalidade aplica-se exclusivamente a estações de trabalho de utilizadores finais integradas e geridas pelo Microsoft Defender para Endpoint — não abrange servidores nem dispositivos não geridos no âmbito atual da funcionalidade.
Salvaguardas integradas
A Microsoft incorporou vários mecanismos para evitar que o isolamento automático se torne um obstáculo operacional:
- Contenção limitada no tempo: o isolamento é revertido automaticamente após um período definido, garantindo que os dispositivos não ficam permanentemente desligados.
- Controlo manual: as equipas de segurança podem levantar o isolamento manualmente em qualquer momento após concluírem a investigação e remediação.
- Âmbito cirúrgico: apenas os dispositivos diretamente envolvidos na cadeia de ataque são isolados, minimizando a disrupção para o restante ambiente.
- Regras de exclusão: as organizações podem configurar exclusões para máquinas críticas, aplicando isolamento seletivo em vez de desligamento total da rede.
Rastreabilidade e auditoria
Após a aplicação do isolamento automático, os operadores de segurança podem auditar o registo completo de atividade diretamente no portal Microsoft Defender. O separador Activities no painel do incidente regista cada evento de isolamento e desisolamento, incluindo o timestamp, o alerta que o desencadeou e o executor da ação automatizada. O Action Center disponibiliza um histórico completo de todas as ações de isolamento, incluindo o estado (concluído ou falhado), a origem da ação e a entidade decisora.
Impacto estratégico
Os grupos de ransomware dependem da velocidade: quanto mais rapidamente se movem lateralmente, maior é o dano causado antes de serem detetados. Ao automatizar a contenção no momento em que um sinal de elevada confiança é detetado, o Microsoft Defender para Endpoint elimina o intervalo crítico entre deteção e resposta — um dos vetores mais explorados pelos atacantes modernos.
As equipas de operações de segurança mantêm controlo investigativo total, enquanto o raio de impacto do ataque é drasticamente reduzido, limitando tanto as perdas financeiras como a interrupção da produtividade.
Fonte: Cyber Security News
Como funciona o isolamento automático
O mecanismo de isolamento automático insere-se na funcionalidade mais alargada de interrupção automática de ataques (automated attack disruption) do Microsoft Defender para Endpoint. Quando o sistema deteta sinais de comprometimento num dispositivo — como comportamento característico de ransomware, movimento lateral suspeito ou execução de código malicioso — isola-o automaticamente da rede corporativa sem aguardar intervenção humana.
Crucialmente, o isolamento não é total: o dispositivo mantém ligação com os serviços do Microsoft Defender para Endpoint, permitindo monitorização contínua em tempo real. Os analistas de segurança podem acompanhar o estado do dispositivo no portal do Defender e liberá-lo manualmente quando a investigação forense estiver concluída. Esta abordagem reduz a janela de oportunidade dos atacantes sem comprometer a capacidade de resposta da equipa de segurança.
O problema que resolve: movimento lateral e ransomware
O movimento lateral é um dos vetores mais destrutivos dos ataques modernos. Após comprometer um primeiro dispositivo, os atacantes movem-se rapidamente pela rede para comprometer outros sistemas, escalar privilégios e, no caso do ransomware, encriptar o máximo de dados antes de serem detetados. O tempo entre a deteção inicial e a contenção manual pode ser suficiente para que um ataque afete dezenas ou centenas de máquinas adicionais.
A automatização do isolamento elimina este intervalo crítico: o sistema reage em segundos, sem depender da disponibilidade de um analista. Para as organizações portuguesas abrangidas pelo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025), esta capacidade é relevante para cumprir os requisitos de gestão de risco e de continuidade operacional exigidos pelo regime de transposição da NIS2.
