Microsoft test nieuwe beveiligingsfunctie voor Defender

Microsoft test een nieuwe functie binnen Defender for Endpoint die automatisch gecompromitteerde apparaten isoleert, om te voorkomen dat aanvallers hun acties binnen het netwerk kunnen verspreiden.

Deze functie is nu beschikbaar in preview-modus als onderdeel van automatische aanvalsonderbreking. Het doel is om aanvallen in te dammen en beveiligingsteams meer tijd te geven voor herstel.

Gecompromitteerde apparaten worden van het netwerk losgekoppeld om verdere schade te beperken, maar blijven verbonden met de Microsoft Defender for Endpoint-dienst voor doorlopend toezicht.

"Als er een vermoeden is dat een apparaat is gecompromitteerd, kan Microsoft Defender for Endpoint het automatisch isoleren," aldus Microsoft.

"Automatische isolatie helpt de impact op de organisatie te minimaliseren, verdere laterale beweging van de aanvaller te beperken en schadelijke effecten zoals datadiefstal en ransomware te voorkomen."

Deze functie is alleen beschikbaar voor werkstations die door Microsoft Defender for Endpoint worden beheerd.

Veiligheidsoperators kunnen apparaten altijd weer vrijgeven na een onderzoek en risicobeheersing.

Om een apparaat uit isolatie te halen, kies je het apparaat uit de "Apparaatinventaris" of via de apparaatpagina en selecteer "Vrijgeven uit isolatie" in het actiemenu.

Vier jaar geleden, in juni 2022, kondigde Microsoft aan dat beheerders handmatig gecompromitteerde, onbeheerde Windows-apparaten konden isoleren door communicatie met Defender for Endpoint-werkstations af te sluiten.

In januari 2023 begon Microsoft met testen van isolatiesteun voor Defender for Endpoint op Linux-apparaten, met volledige beschikbaarheid vanaf oktober 2023.

Ook kunnen nu gecompromitteerde gebruikersaccounts geïsoleerd worden als onderdeel van automatische aanvalsonderbreking om beweging van ransomware-aanvallen te blokkeren.

Onlangs test Microsoft een andere nieuwe functionaliteit voor Defender for Endpoint, die automatisch verkeer naar en van nog niet ontdekte Windows-apparaten blokkeert, om te voorkomen dat niet-gecompromitteerde apparaten binnen het netwerk worden aangetast.

Deze maand kondigde Microsoft een nieuwe preview-functie aan waarmee beheerders antivirus-scans kunnen inplannen op Linux-systemen, via het Microsoft Defender-portaal, JSON-configuraties of commandoregeltools.

"Gezcheduled scans ondersteunen dagelijkse snelle scans, interval-gebaseerde snelle scans en wekelijkse volledige scans," aldus Microsoft, met opties voor lage prioriteit, inactieve planning en willekeurige starttijden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.