Defender for Endpoint : Microsoft prépare l'isolement automatique

Lorsqu'un terminal est identifié comme suspect, le système procède à un isolement immédiat et automatique. C'est la promesse d'une nouvelle fonctionnalité de Defender for Endpoint que Microsoft vient d'ouvrir en pré-version. Elle s'ajoute aux capacités d'isolement manuel existantes.

L'isolement vise à réduire le risque d'impact organisationnel et à limiter la propagation des menaces, telles que les ransomwares ou l'exfiltration de données. L'appareil est déconnecté du réseau général, mais il maintient une connectivité au service Microsoft Defender for Endpoint, assurant ainsi une surveillance continue de l'actif isolé.

Cet isolement offre une capacité de ciblage affinée, allant au-delà de la simple coupure des connexions réseau. Elle permet de contenir l'attaque en appliquant des politiques spécifiques aux flux de communication, aux adresses IP ou aux identités utilisateur. Cette granularité est essentielle pour limiter les possibilités déplacement latéral malveillant.

Par exemple, l'application d'une politique d'isolement sur une identité compromise bloque les activités sur les appareils administrés sans désactiver le compte dans le fournisseur d'identité. L'action d'isolement peut être appliquée au niveau du terminal, de l'adresse IP ou de l'identité, permettant de maintenir l'activité critique de l'actif tout en bloquant les vecteurs d'attaque spécifiques.

En matière de sécurité, l'automatisation promet de faire gagner du temps sur les menaces, mais fait souvent peur, avec la crainte d'actions bloquant des processus métiers, notamment. Microsoft a donc prévu d'encadrer cette fonctionnalité par des mécanismes de contrôle. L'isolement peut être ainsi limité dans le temps, et les administrateurs de sécurité conservent le contrôle pour révoquer l'isolement après confirmation de la remédiation.

De plus, deux types d'exclusions permettent d'affiner l'application de la politique. Les exclusions sélectives d'isolement préservent les outils d'administration nécessaires, tandis que les exclusions de perturbation automatique des attaques empêchent l'isolement de dispositifs jugés essentiels à la continuité des activités. Ces exclusions sélectives sont disponibles pour les hôtes fonctionnant sous Windows 11, Windows 10 à partir de la version 1703, Windows Server 2012 à partir de R2, Azure Stack HCI OS 23H2 et plus, ainsi que macOS.