A Microsoft está testando um novo recurso do Defender for Endpoint que bloqueará o tráfego de e para endpoints não descobertos para impedir tentativas de movimentação lateral da rede por invasores.
Como a empresa revelou no início desta semana , isso é obtido ao conter os endereços IP de dispositivos que ainda não foram descobertos ou integrados ao Defender for Endpoint.
Redmond diz que o novo recurso impedirá que agentes de ameaças se espalhem para outros dispositivos não comprometidos, bloqueando a comunicação de entrada e saída com dispositivos que usam endereços IP contidos.
“A contenção de um endereço IP associado a dispositivos não descobertos ou a dispositivos não integrados ao Defender for Endpoint é feita automaticamente por meio da interrupção automática de ataques . A política Contain IP bloqueia automaticamente um endereço IP malicioso quando o Defender for Endpoint detecta que o endereço IP está associado a um dispositivo não descoberto ou a um dispositivo não integrado”, explica a Microsoft .
Por meio da interrupção automática de ataques, o Defender for Endpoint incrimina um dispositivo malicioso, identifica a função do dispositivo e aplica uma política correspondente para conter automaticamente um ativo crítico. A contenção granular é feita bloqueando apenas portas e direções de comunicação específicas.
Este novo recurso estará disponível em dispositivos com o Defender for Endpoint executando Windows 10, Windows 2012 R2, Windows 2016 e Windows Server 2019+.
Os administradores também podem interromper a contenção de um endereço IP restaurando sua conexão com a rede a qualquer momento, selecionando a ação “Conter IP
“ na “Central de Ações” e selecionando “Desfazer” no menu suspenso.
Desde junho de 2022, o Defender for Endpoint também consegue isolar dispositivos Windows hackeados e não gerenciados , bloqueando toda a comunicação de e para os dispositivos comprometidos para impedir que invasores se espalhem pelas redes das vítimas.
A Microsoft também começou a testar o suporte ao isolamento de dispositivos para o Defender for Endpoint em dispositivos Linux integrados, com o recurso chegando à disponibilidade geral no macOS e Linux em outubro de 2023.
No mesmo mês, a empresa revelou que o Defender for Endpoint também poderia isolar contas de usuários comprometidas para bloquear movimentos laterais em ataques de ransomware com uso de interrupção automática de ataques.
