- A Microsoft testa, em modo de pré-visualização, uma função do Defender for Endpoint que isola automaticamente PCs comprometidos para impedir que ataques se espalhem na organização.
- O isolamento desconecta o equipamento da rede, mas mantém o dispositivo conectado aos serviços da Microsoft para monitoramento pela equipe de segurança.
- A medida cria uma barreira que reduz o movimento lateral dos atacantes, protegendo outros dispositivos e prevenindo danos como roubo de dados ou ransomware.
- O recurso funciona apenas em estações de trabalho gerenciadas pelo Defender for Endpoint; profissionais de segurança podem liberar o aparelho isolado após investigação e mitigação dos riscos.
- A Microsoft já tem histórico de recursos semelhantes, com isolamentos manuais e suporte a dispositivos Linux, além de outras novidades, como bloqueio automático de tráfego para dispositivos não descobertos na rede.
O Defender for Endpoint da Microsoft está testando uma nova funcionalidade de isolamento automático de PCs comprometidos. Em modo de pré-visualização, o recurso desconecta o dispositivo da rede para impedir que ataques se espalhem pela organização, mantendo o equipamento sob monitoramento da Microsoft.
Quando o sistema identifica um computador comprometido, ele isola o dispositivo sem interromper a conexão com os serviços da empresa. A medida cria uma barreira entre o equipamento afetado e o restante da rede, visando evitar movimentos laterais dos invasores durante a resposta ao incidente.
Essa abordagem reduz o risco de danos maiores, como roubo de dados ou propagação de ransomware, enquanto a equipe de segurança investiga. Profissionais podem liberar o isolamento a qualquer momento após a avaliação do incidente e a eliminação de riscos.
Como funciona o isolamento e quem pode usar
O recurso funciona apenas em estações de trabalho gerenciadas pelo Defender for Endpoint. A Microsoft detalha que a desconexão é parcial: o dispositivo fica separado da rede, mas continua conectado ao serviço do Defender para monitoramento.
A liberação do isolamento é feita pelo inventário de dispositivos, selecionando a opção de desbloqueio no menu de ações após a avaliação de risco. A funcionalidade mira limitar a disseminação do ataque na organização.
Histórico de evolução do recurso
A Microsoft já vinha desenvolvendo isolamentos desde 2021, com isolamento manual de dispositivos Windows não gerenciados. Em 2023, a função chegou a dispositivos Linux e saiu da fase de testes em outubro do mesmo ano, com a capacidade de isolar contas de usuários.
Dados de contexto e novidades associadas
A empresa também testa outra função que bloqueia automaticamente tráfego entre dispositivos Windows não descobertos na rede. Além disso, no início de maio foi anunciada uma pré-visualização para agendar varreduras de antivírus em Linux, com opções diárias, por intervalo e semanais pelo portal do Defender.
Entre na conversa da comunidade