Одна из самых больших проблем, с которыми сегодня сталкиваются ИТ-команды, — это выявление случаев компрометации учетной записи законного пользователя и предотвращение ее использования для развертывания вредоносного ПО или кражи данных. Благодаря последнему обновлению Defender for Endpoint Майкрософт хочет помочь решить эту проблему.
В настоящее время в общедоступной предварительной версии Microsoft Defender для Endpoint есть новый инструмент под названием «contain user», который делает именно то, что заявлено, — удерживает потенциально проблемного пользователя.
Если инструмент обнаружит, что учетная запись пользователя ведет себя «подозрительно», DoE заблокирует все двери вокруг нее, отрезав ее от других. конечные точки и ресурсы. Таким образом, как надеется Microsoft, Министерство энергетики остановит злоумышленника на его пути, прежде чем он сможет нанести еще больший ущерб (например, развернуть программу-вымогатель).
Блокировка всего трафика
«Препятствование атакам достигается за счет сдерживания скомпрометированных пользователей на всех устройствах, чтобы перехитрить злоумышленников до того, как у них появится возможность действовать злонамеренно, например, использовать учетные записи для горизонтального перемещения, кражи учетных данных, кражи данных и удаленного шифрования», — сказал Роб Леффертс, корпоративный директор. Вице-президент по безопасности Microsoft 365 в Сообщение блога.
«Эта возможность, включенная по умолчанию, определит, есть ли у скомпрометированного пользователя какие-либо действия, связанные с какой-либо другой конечной точкой, и немедленно прекратит все входящие и исходящие соединения, по существу сдерживая их».
Пока подозрительная учетная запись блокируется, все остальные конечные точки будут «привиты», а весь входящий вредоносный трафик блокируется. Злоумышленнику, по сути, будет не с кем поговорить.
«Когда личность содержится, любое поддерживаемое встроенное устройство Microsoft Defender для конечной точки будет блокировать входящий трафик по определенным протоколам, связанным с атаками (вход в сеть, RPC, SMB, RDP), одновременно обеспечивая легитимный трафик», — далее заявили в Microsoft.
«Это действие может значительно помочь снизить воздействие атаки. Когда личность удерживается, у аналитиков операций безопасности появляется дополнительное время для обнаружения, идентификации и устранения угрозы скомпрометированной личности».
С помощью ПипКомпьютер
Больше от TechRadar Pro
2023-10-12 17:29:49
1697132794
#Microsoft #Defender #только #что #получил #серьезное #обновление #безопасности #направленное #на #карантин #хакеров