Microsoft Defenderエンドポイントは、管理されていない、侵害されたWindowsデバイスを分離するようになりました。

Microsoft Defenderは、侵害され管理されていないWindowsデバイスからのすべての着信メッセージと発信メッセージをブロックするようになりました。Microsoft Defender for Endpoint（MDE）は、攻撃者が侵害された管理されていないデバイスを使用してネットワークを移動するのを遅らせ、潜在的に阻止しようとする新機能を受け取りました。

Microsoft Defender for Endpointによって保護されている場合とされていない場合があるWindowsデバイスを管理する管理者は、特定のコンピューターを「所有」できるようになります。この新機能により、ネットワーク管理者は、ハッカーによって危険にさらされる可能性のあるデバイスからのデータ、情報、およびコマンドの移動を制限することができます。興味深いことに、管理者は、MDEによって保護されていないデバイスからでも情報の流れを制限することができます。

本日より、Microsoft Defender for Endpointに登録されていないデバイスが侵害された疑いがある場合、SOCアナリストとしてのあなたはそれを「封じ込める」ことができます。その結果、Microsoft Defender for Endpointに登録されているデバイスは、疑わしいデバイスへの着信接続と発信接続をブロックするようになりました。

ハッカーが弱くて不正なデバイスを捕食することは周知の事実です。このようなデバイスが危険にさらされると、ハッカーはネットワーク内を自由に移動できるようになります。マイクロソフトは、人間が制御するランサムウェア攻撃の71％が、侵害されたデバイスから始まると主張しています。

MDE環境の一部であるWindowsデバイスは、ハッカーがネットワーク上の他のデバイスにハッキングするのを防ぐために簡単に隔離できます。ただし、MDEで保護されていないデバイスをすばやく分離することは困難な場合がよくあります。ハッカーがすでに他のデバイスを危険にさらしている可能性があるため、遅延にはコストがかかる可能性があります。

この新機能は基本的に、MDEで保護されているすべてのデバイスに、ハッキングの疑いのあるデバイスとの着信および発信通信を制限するように指示します。Microsoft Defender for Endpointがデバイスを疑わしいものとして個別にマークし、MDEに登録されている他のデバイスにデータフローをブロックするように指示できるかどうかはまだ明らかではありません。現在、管理者は侵害されたデバイスを封じ込める必要があります。

この新機能は、Microsoft DefenderforEndpointによって保護されているWindows10およびWindowsServer2019+を実行しているデバイスでのみサポートされます。