Microsoft Defender for Endpointは、侵害されたデバイスをネットワークからリアルタイムで遮断する機能を導入し、ランサムウェアによる横断的な移動をブロックすることで、高度な攻撃が組織全体に拡散するのを防ぎます。
Microsoft Defender for Endpointがデバイスの侵害を検知すると、自動攻撃妨害機能の一環として、そのデバイスを自動的に隔離することができます。
侵害されたデバイスは即座にネットワークから切断され、組織へのさらなる影響リスクを低減しながら、隔離期間中もデバイスを継続的に監視するMicrosoft Defender for Endpointサービスへの接続は維持されます。
この自動隔離は、Microsoft Defender for Endpointにオンボードされて管理されているエンドユーザーのワークステーションに限定されています。環境全体を広範囲にスキャンするのではなく、アクティブなインシデントに関与している特定のデバイスのみを対象とします。
Microsoftによると、Microsoft Defender XDRはエンドポイント、ID、メールおよびコラボレーションツール、SaaSアプリケーションから数百万の個別シグナルを相関分析し、対応を実行する前に単一の高信頼度インシデントとして統合します。
このプラットフォームは3つの主要なステージで動作します。複数のソースからのシグナルを統合されたインシデントビューに相関させるステージ、攻撃者が制御し攻撃の伝播に使用している資産を特定するステージ、そしてデバイス隔離を含む対応アクションを統合されたDefender製品全体でリアルタイムに自動実行するステージです。
重要な点として、このアプローチは単一の侵害指標(IOC)に基づいてブロックする従来の防御手法とは異なります。
代わりに、Defender XDRは攻撃の全体的なコンテキストを評価し、高信頼度のしきい値に達した場合にのみ自動封じ込めをトリガーすることで、誤検知のリスクを大幅に低減します。
Microsoft Defenderポータルのライブインシデントデータに示されているように、攻撃妨害エンジンはデバイスの隔離と隔離解除を自動的に繰り返します。
インシデントID 27121のアクティビティタブには、2026年1月27日の午後3時10分から3時51分の間に、デバイスdesktop-elak59mが複数回にわたって隔離および隔離解除されており、すべて自動的にトリガーされ、ステータスは「完了」となっていることが示されています。
アクションセンターの履歴でも、繰り返し実行された隔離アクションが確認されており、一部はDisruptionによって開始され、その他はポータル経由で開始されており、大多数が正常に完了しています。
Microsoftは、過剰な隔離による業務への支障を防ぐために、複数の安全策を設計しています。
Microsoftによると、自動攻撃妨害は攻撃の最初期段階における横断的な移動を制限するよう設計されており、財務コストから生産性の損失に至るまで、全体的な影響を劇的に低減します。
2025年4月、Microsoftはさらにこの機能を拡張し、重要な資産に対する詳細な封じ込めや、管理外または未発見のデバイスに対するIPアドレスの封じ込めを追加することで、シャドーITのエンドポイントでさえ攻撃者の侵入口として悪用されないようにしました。
セキュリティチームはプロセス全体を通じて完全な制御を維持し、脅威が無力化された後は、隔離された資産を調査・修復して安全にオンラインに戻すことができます。
この自律的なスピードと人間による監視の組み合わせにより、Microsoft Defenderの攻撃妨害機能は、今日のエンタープライズ環境で活動するランサムウェアキャンペーンに対する最も堅牢な自動防御の一つとして位置づけられています。
翻訳元: https://cyberpress.org/microsoft-defender-auto-isolates-devices/
