Microsoftは、エンドポイントセキュリティプラットフォーム「Defender for Endpoint」に、感染が疑われる端末を自動で社内ネットワークから隔離する機能を追加した。隔離中もMicrosoftのクラウドサービスへの接続は維持され、セキュリティ担当者は遠隔から端末の調査や管理を続けられる。現時点ではプレビュー提供で、対象はDefender for Endpointに登録済みのワークステーションに限られる。
Techzineの報道によると、この新機能は端末上で不審な挙動を検知すると、当該エンドポイントをただちに社内ネットワークから切り離す仕組みだ。一方でクラウド接続は維持されるため、隔離後もセキュリティチームによるリモート対応が可能になる。
Microsoftはこの機能を、「自動攻撃遮断(automatic attack disruption)」の一環と位置付ける。既存の隔離機能を拡張したもので、攻撃者が初期侵入後にランサムウェアを展開したり、データを持ち出したりする前に、管理者の操作を待たず被害の拡大を抑える狙いがある。
Microsoftは2022年、非管理のWindowsシステム向けに手動隔離機能を提供した。その後、Linuxシステムへの対応や、ランサムウェア攻撃時に侵害されたユーザーアカウントを自動で隔離する機能を追加してきた。
BleepingComputerによれば、Microsoftは非管理システムを経由したネットワーク内での拡散を防ぐため、未知のWindowsエンドポイントからのトラフィックを自動で遮断する機能も開発しているという。
著者について
Chi-gyu Hwang
delight@d-today.co.kr