Microsoft teste une nouvelle fonctionnalité de Defender for Endpoint qui permet d’isoler automatiquement un poste de travail détecté comme compromis. L’objectif est d’empêcher un attaquant de se déplacer latéralement au sein du réseau d’entreprise.
Cette capacité est disponible en préversion et s’inscrit dans le mécanisme de perturbation automatique des attaques, conçu pour contenir les incidents et laisser aux équipes de sécurité davantage de temps pour intervenir.
Un isolement réseau qui conserve la supervision
Lorsqu’un appareil est jugé suspect, Defender for Endpoint le déconnecte du réseau afin de limiter les risques de propagation. La coupure vise notamment à bloquer l’exfiltration de données et la diffusion de ransomwares vers d’autres machines.
Malgré cet isolement, l’appareil maintient sa connexion au service Defender for Endpoint. La surveillance du poste reste donc active, ce qui permet aux équipes de sécurité de continuer à observer son comportement pendant l’investigation.
La fonctionnalité ne s’applique pour l’instant qu’aux postes de travail d’utilisateurs finaux gérés par Defender for Endpoint. Les appareils non intégrés à la solution ne sont pas concernés par cette automatisation.
Une libération manuelle à la main des opérateurs
Un appareil mis en quarantaine automatiquement peut être réintégré au réseau à tout moment par un opérateur de sécurité, une fois l’incident analysé et les risques maîtrisés. La procédure passe par l’inventaire des appareils dans le portail Microsoft Defender.
Il suffit de sélectionner le poste concerné, puis de choisir l’option de libération depuis le menu d’actions disponible sur la page de l’appareil. Cette étape reste donc volontairement manuelle, pour éviter une remise en ligne prématurée.
Une évolution progressive du dispositif
Microsoft développe ces capacités d’isolement depuis plusieurs années. En juin 2022, la société avait introduit la possibilité pour les administrateurs de contenir manuellement des appareils Windows non gérés en coupant leur communication avec les points de terminaison Defender.
Le support de l’isolement pour les systèmes Linux avait quant à lui été testé en janvier 2023, avant d’atteindre la disponibilité générale en octobre de la même année. En parallèle, Microsoft avait étendu la perturbation automatique aux comptes utilisateurs compromis, pour bloquer les mouvements latéraux dans les attaques de ransomware menées manuellement.
Plus récemment, l’entreprise a commencé à tester une fonctionnalité complémentaire capable de bloquer automatiquement le trafic en provenance et à destination de postes Windows non encore découverts par Defender, afin de protéger les machines saines avant même qu’elles soient ciblées.
Des scans planifiés sur Linux aussi en préversion
Dans le même mouvement d’évolution de sa plateforme, Microsoft a annoncé une autre fonctionnalité en préversion permettant de planifier des analyses antivirus sur les systèmes Linux intégrés à Defender for Endpoint.
Les options disponibles comprennent des analyses rapides quotidiennes ou basées sur un intervalle, ainsi que des analyses complètes hebdomadaires. Des paramètres de priorité basse, de planification en période d’inactivité et de démarrage aléatoire sont également prévus pour limiter l’impact sur les performances.
L’ensemble de ces nouvelles capacités illustre une tendance de fond chez Microsoft : réduire le délai de réaction face aux incidents en automatisant les premières étapes de confinement, tout en laissant aux équipes humaines le contrôle des décisions de remédiation.
Source : Bleeping Computer
