Microsoft Defender отримав функцію автоматичної ізоляції хакнутих пристроїв

Компанія Microsoft запустила в режимі попереднього тестування нову функцію «автоматичної ізоляції» (Automatic Device Isolation) у своєму продукті для корпоративних замовників Microsoft Defender for Endpoint.

Коли система з високою впевненістю виявляє компрометацію пристрою, Defender автоматично ізолює його від мережі. Це запобігає подальшому поширенню атаки, блокуючи бічне переміщення (lateral movement) зловмисника, викрадення даних та поширення ransomware.

Ізольований пристрій повністю від’єднується від корпоративної мережі, але зберігає з’єднання з сервісом Microsoft Defender для продовження моніторингу та розслідування. Функція є частиною технології Automatic Attack Disruption. Адміністратори в будь-який момент можуть вручну зняти ізоляцію після завершення перевірки.

Автоматична ізоляція працює тільки на пристроях, які підключені до Defender for Endpoint (onboarded endpoints). Раніше подібні дії були доступні лише в ручному режимі. Нова можливість значно прискорює реакцію на інциденти та зменшує потенційну шкоду від кібератак, даючи командам безпеки більше часу на повне розслідування.

Зазначимо, що Microsoft Defender for Endpoint — це платний продукт корпоративного рівня. На відміну від звичайного антивірусу Microsoft Defender, який безкоштовно вбудований у кожну Windows 10 та Windows 11 для домашніх користувачів, версія for Endpoint розроблена спеціально для бізнесу та організацій. Цей продукт розповсюджується за моделлю підписки (ліцензується окремо на кожного користувача або пристрій) і входить до складу дорожчих корпоративних тарифних планів Microsoft, або купується як окрема ліцензія.

Зазначимо, що кілька тижнів тому Microsoft Defender викликав паніку серед користувачів, помилково видаляючи дійсні сертифікати.