Die neue Funktion ist Teil der automatischen Angriffsunterbrechung in Defender for Endpoint. Wird ein Gerät im Unternehmen als kompromittiert eingestuft, kann Microsoft Defender for Endpoint es nach Angaben des Herstellers eigenständig isolieren. Ziel ist es, das Risiko weiterer Auswirkungen zu verringern, die seitliche Bewegung der Angreifer zu begrenzen und Folgen wie Datenabfluss und die Ausbreitung von Ransomware zu verhindern.
Isolierte Geräte werden zwar vom Netzwerk abgekoppelt, bleiben jedoch mit dem Defender-for-Endpoint-Dienst verbunden, sodass die Überwachung fortgesetzt wird. Die automatische Isolierung funktioniert nur auf eingebundenen Arbeitsplatzrechnern von Endnutzern, die über Microsoft Defender for Endpoint verwaltet werden.
Sicherheitsverantwortliche können die Eindämmung jederzeit wieder aufheben, nachdem sie die Untersuchung des Vorfalls abgeschlossen und die Risiken beseitigt haben. Dazu wählen sie das betreffende Gerät im „Device inventory" oder auf der Geräteseite aus und nutzen im Aktionsmenü die Option „Release from isolation".
Microsoft baut diesen Funktionsbereich seit Jahren aus. Im Juni 2022 kündigte das Unternehmen an, dass Administratoren kompromittierte, nicht verwaltete Windows-Geräte manuell eindämmen können, indem die ein- und ausgehende Kommunikation mit eingebundenen Defender-for-Endpoint-Endpunkten gekappt wird. Im Januar 2023 begann der Test der Geräteisolierung für eingebundene Linux-Systeme, die im Oktober 2023 allgemein verfügbar wurde. Im selben Monat teilte Microsoft mit, dass Defender for Endpoint auch kompromittierte Benutzerkonten im Rahmen der automatischen Angriffsunterbrechung isolieren kann, um die seitliche Bewegung bei manuell gesteuerten Ransomware-Angriffen zu blockieren.
Zuletzt testete Microsoft eine weitere Funktion, die den Datenverkehr von und zu nicht erfassten Windows-Endpunkten automatisch blockiert und so verhindert, dass Angreifer weitere, nicht kompromittierte Geräte im Netzwerk erreichen. In diesem Monat stellte das Unternehmen zudem eine Vorschaufunktion vor, mit der Administratoren Virenscans auf eingebundenen Linux-Systemen über das Microsoft-Defender-Portal, eine über JSON verwaltete mdatp-Konfiguration oder das Kommandozeilenwerkzeug mdatp planen können. Unterstützt werden laut Microsoft tägliche Schnellscans, intervallbasierte Schnellscans und wöchentliche vollständige Scans, mit Optionen für die Ausführung mit niedriger Priorität, die Planung in Leerlaufzeiten sowie zufällig gewählte Startzeiten.
