Microsoft Defender for Endpoint может автоматически изолировать скомпрометированные устройства

Устройство сохраняет связь со службой Microsoft Defender for Endpoint, которая продолжает отслеживать его состояние.

В зависимости от серьезности атаки и чувствительности устройства, может потребоваться изолировать его от сети. Это поможет предотвратить получение злоумышленником контроля над скомпрометированным устройством и дальнейшие действия, такие как утечка данных и перемещение внутри сети.

Важные моменты, которые следует учитывать :

• В средах, использующих веб-прокси (включая автоматическую настройку прокси (PAC), WPAD или статические/прямые конфигурации прокси), устройства могут не восстанавливаться после сетевой изоляции. В таких случаях используйте выборочную изоляцию. При использовании выборочной изоляции параметры исключения не требуются для предотвращения этого сценария.

• Изоляция устройств от сети поддерживается в macOS для клиентской версии 101.98.84 и выше. Вы также можете использовать функцию «Ответ в реальном времени» для выполнения этого действия. Дополнительную информацию о функции «Ответ в реальном времени» см. в разделе « Исследование объектов на устройствах с помощью функции «Ответ в реальном времени»».

• Полная изоляция доступна для устройств, работающих под управлением Windows 11, Windows 10 версии 1703 или более поздней, Windows Server 2012 R2 и более поздних версий, а также Azure Stack HCI OS версии 23H2 и более поздних версий.

• Изоляция устройств от сети поддерживается при работе Defender в пассивном режиме на всех поддерживаемых операционных системах Windows, macOS и Linux.

• Функция изоляции устройств доступна во всех поддерживаемых версиях Microsoft Defender for Endpoint для Linux, перечисленных в разделе « Системные требования» . Убедитесь, что включены следующие предварительные условия:

  • iptables
  • ip6tables
  • Ядро Linux с CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLES, и CONFIG_IP_NF_MATCH_OWNERдля версий ядра ниже 5.x и CONFIG_NETFILTER_XT_MATCH_OWNERначиная с версии 5.x.

• Выборочная изоляция доступна для устройств, работающих под управлением Windows 11, Windows 10 версии 1703 или более поздней, Windows Server 2012 R2 и более поздних версий, Azure Stack HCI OS версии 23H2 и более поздних версий, а также macOS. Дополнительную информацию о выборочной изоляции см. в разделе « Исключения изоляции» .

• При изоляции устройства разрешен доступ только к определенным процессам и адресатам. Поэтому устройства, находящиеся за полным VPN-туннелем, не смогут получить доступ к облачному сервису Microsoft Defender for Endpoint после изоляции устройства. Мы рекомендуем использовать VPN с раздельным туннелированием для трафика, связанного с облачной защитой Microsoft Defender for Endpoint и Microsoft Defender Antivirus.

• Данная функция поддерживает VPN-соединение.

• Вам должна быть назначена как минимум соответствующая Active remediation actionsроль. Для получения дополнительной информации см. раздел «Создание и управление ролями» .

• Для доступа к устройству необходимо иметь доступ в соответствии с настройками группы устройств. Дополнительную информацию см. в разделе « Создание и управление группами устройств» .

• Исключения, такие как электронная почта, мессенджеры и другие приложения, для изоляции как в macOS, так и в Linux не поддерживаются.

• Изолированное устройство выводится из изоляции, когда администратор изменяет или добавляет новое iptableправило к изолированному устройству.

• Изоляция сервера, работающего под управлением Microsoft Hyper-V, блокирует сетевой трафик ко всем дочерним виртуальным машинам этого сервера.

Функция изоляции устройства отключает скомпрометированное устройство от сети, сохраняя при этом связь со службой Defender for Endpoint, которая продолжает отслеживать устройство. В Windows 10 версии 1709 и выше можно использовать выборочную изоляцию для более точного управления уровнем изоляции сети. Также можно включить подключение к Outlook и Microsoft Teams.