Microsoft teste une nouvelle fonctionnalité pour son service Defender pour les terminaux. Celle-ci a pour but d’isoler automatiquement les appareils compromis. Cette mesure vise à contrer les tentatives des pirates de se déplacer latéralement au sein du réseau.
La fonction est actuellement disponible en mode préversion. Elle s’active dans le cadre d’un mécanisme plus large nommé arrêt automatique des attaques. Ce système cherche à contenir les intrusions, à en limiter les effets et à donner plus de temps aux équipes de sécurité pour intervenir.
Les appareils isolés de cette manière sont déconnectés du réseau. Cette coupure a pour objectif de réduire le risque d’une aggravation de l’incident. Cependant, ils conservent une connexion avec le service Microsoft Defender pour les terminaux, ce qui permet une surveillance continue de l’appareil.
Microsoft indique que son service peut isoler automatiquement un appareil dès qu’il est soupçonné d’être compromis.
L’isolement automatique aide à réduire le risque d’un impact plus large pour l’organisation. Il limite les déplacements latéraux de l’attaquant et empêche des actions comme l’exfiltration de données ou la propagation d’un rançongiciel.
Cette fonction d’isolement automatique fonctionne uniquement sur les postes de travail d’utilisateurs finaux qui sont intégrés au service et gérés par Defender pour les terminaux.
Les opérateurs de sécurité peuvent à tout moment libérer un appareil de cet isolement. Pour ce faire, ils doivent d’abord terminer l’enquête sur l’incident et atténuer les risques.
La procédure de libération s’effectue à partir de l’inventaire des appareils ou de la page de l’appareil concerné, où une option dédiée est disponible.
En juin 2022, Microsoft avait déjà annoncé que les administrateurs pouvaient contenir manuellement des appareils Windows non gérés et compromis. La méthode consistait alors à couper toute communication entrante et sortante avec les terminaux intégrés à Defender pour les terminaux.
Le support de l’isolement pour les appareils Linux intégrés a été testé à partir de janvier 2023. Il a atteint la disponibilité générale en octobre de la même année.
Au même moment, Microsoft a révélé que Defender pour les terminaux pouvait aussi isoler des comptes d’utilisateurs compromis. Cette action faisait partie de l’arrêt automatique des attaques et visait à bloquer les mouvements latéraux lors d’attaques de rançongiciel manuelles.
Plus récemment, la firme a commencé à tester une autre nouveauté pour sa plateforme de sécurité. Cette fonction bloque automatiquement le trafic vers et depuis les terminaux Windows non découverts. Elle empêche ainsi les attaquants de compromettre d’autres appareils sur le réseau.
Début mai, Microsoft a dévoilé une autre fonctionnalité en préversion. Elle permettra aux administrateurs de planifier des analyses antivirus sur les systèmes Linux intégrés. La configuration peut se faire via le portail Microsoft Defender, un fichier JSON de configuration géré par mdatp ou l’outil en ligne de commande mdatp.
Les analyses planifiées prennent en charge les analyses rapides quotidiennes, les analyses rapides à intervalle régulier et les analyses complètes hebdomadaires. Des options existent pour une exécution en basse priorité, une planification en période d’inactivité et des heures de début aléatoires.