Microsoft Defender научился автоматически изолировать взломанные устройства

Microsoft тестирует обновление для Defender for Endpoint, которое позволит автоматически изолировать устройства, обнаруженные как скомпрометированные. Новая возможность нацелена на предотвращение латерального перемещения злоумышленников внутри корпоративных сетей после первичного проникновения.

Функция сработает при выявлении подозрительной активности, блокируя сетевые подключения зараженного устройства, за исключением каналов связи с серверами Microsoft для передачи данных об угрозе. Это поможет локализовать атаку и минимизировать ущерб, не требуя ручного вмешательства администраторов.

Инструмент интегрирован в существующую экосистему Defender for Endpoint, что позволяет использовать его без дополнительных настроек. Компания подчеркивает, что автоматическая изоляция станет частью многоуровневой стратегии защиты, дополняя другие механизмы обнаружения и реагирования.

Пока функция доступна ограниченному кругу пользователей в рамках программы предварительного тестирования. Ожидается, что после завершения испытаний она будет включена в стандартный пакет обновлений для корпоративных клиентов.