Defender passe de la détection à la coupure d’urgence

Microsoft ajoute une nouvelle corde à l’arc de Defender for Endpoint. Sa solution de sécurité peut désormais isoler automatiquement un appareil suspecté d’être infecté. Ce mécanique se nomme Automatic attack disruption.

Pour le moment cette nouveauté est encore en préversion. Elle permet à l’outil de sécurité du géant d’aller plus loin que de détecter une menace. Il peut contenir l’attaque pendant qu’elle est encore en cours.

Concrètement, lorsqu’un incident est jugé sérieux par Defender XDR, l’appareil concerné peut être coupé du reste du réseau. La manœuvre limite la propagation d’un ransomware et les actions possibles en particulier la capacité d’un attaquant à passer d’une machine à une autre après une première infection. Si un terminal devient un point d’entrée d’une attaque, Defender le place en quarantaine avant que l’incident ne prenne de l’ampleur.

Defender for Endpoint isole pour limiter les dégâts

Il s’agit d’un isolement automatique et non de la disparition totalement de la machine de la supervision. L’appareil reste connecté aux services de sécurité. Defender peut ainsi continuer à communiquer avec lui, à collecter des informations et à permettre aux équipes de sécurité de suivre l’évolution de l’incident.

Microsoft explique que ce mécanisme s’appuie sur l’ensemble des signaux XDR disponibles. En clair il ne se résume pas à un seul indicateur isolé comme un fichier suspect ou à une alerte unique. Il tente de comprendre l’incident dans son ensemble avant de déclencher une action de confinement de cet ampleur.

Enfin cette nouveauté ne vise par l’antivirus Defender intégré aux PC Windows grand public. L’isolation automatique concerne Microsoft Defender for Endpoint, la solution de sécurité destinée aux entreprises et intégrée à l’écosystème Microsoft Defender XDR.