マイクロソフトは、侵害されたエンドポイントを自動的に分離し、攻撃者がネットワーク全体に横移動しようとする試みを阻止する新しい Defender for Endpoint 機能をテストしています。
これはプレビューモードで利用可能で、攻撃を封じ込め、その影響を制限し、セキュリティチームにより多くの修復時間を提供するために設計された自動攻撃中断機能の一部として機能します。
自動的に分離されたエンドポイントはネットワークから切断されて、さらなる影響のリスクを軽減しますが、Microsoft Defender for Endpoint サービスへの接続は保持され、デバイスを継続的に監視します。
広告主のウェブサイトにアクセスページへ移動
「組織内のデバイスが侵害されていると疑われる場合、Microsoft Defender for Endpoint は自動攻撃中断の一部としてデバイスを自動的に分離できます」とマイクロソフトは述べています。
「自動分離は、組織への影響を軽減するリスクを削減し、攻撃者の横移動を制限し、データ流出やランサムウェア拡散などの影響を防ぐのに役立ちます。」
自動デバイス分離は、Microsoft Defender for Endpoint によって管理されているオンボードされたエンドユーザーワークステーションでのみ機能します。
マイクロソフトが説明したように、セキュリティオペレータはインシデント調査を完了してリスクを軽減した後、いつでも封じ込めから解放することができます。
自動分離からデバイスを解放するには、「デバイスインベントリ」からデバイスを選択するか、デバイスページを開いて、アクションメニューから「分離から解放」を選択します。
約4年前の2022年6月、マイクロソフトは管理者がオンボードされた Defender for Endpoint エンドポイントとの着信・発信通信を遮断することで、侵害された管理されていない Windows デバイスを手動で封じ込めることができることを発表しました。
マイクロソフトはまた、2023年1月にオンボードされた Linux デバイス上の Defender for Endpoint のデバイス分離サポートのテストを開始し、この機能は2023年10月に一般公開に達しました。
同月、Defender for Endpoint は自動攻撃中断の一部として侵害されたユーザーアカウントを分離してハンズオンキーボードランサムウェア攻撃での横移動をブロックすることもできることが明らかになりました。
より最近に、マイクロソフトは Defender for Endpoint エンタープライズエンドポイントセキュリティプラットフォーム用の別の新機能のテストを開始し、この機能は検出されていない Windows エンドポイントへのトラフィックとからのトラフィックを自動的にブロックして、攻撃者がネットワーク上の他の非侵害デバイスに侵入することを防ぎます。
今月初め、Microsoft Defender ポータル、mdatp マネージド JSON 構成、または mdatp コマンドラインツールを使用して管理者がオンボードされた Linux システムでアンチウイルススキャンをスケジュールできるようにする別の Defender for Endpoint プレビュー機能が明らかになりました。
「スケジュール済みスキャンは、低優先度実行、アイドル時間スケジューリング、およびランダム化開始時間のオプション付きで、日次クイックスキャン、インターバルベースのクイックスキャン、および週次フルスキャンをサポートしています」と述べました。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたには6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者がネットワークを通じて移動できるか?それらは、制御がリスクをブロックするかどうか、検出ルールが機能するかどうか、またはクラウド構成が保持されるかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
