Microsoft Defender for Endpoint може автоматично ізолювати компрометовані пристрої

Залежно від серйозності атаки та чутливості пристрою, може знадобитися ізолювати його від мережі. Це допоможе запобігти отриманню зловмисником контролю над скомпрометованим пристроєм та подальші дії, такі як витік даних та переміщення всередині мережі.

Важливі моменти, які слід враховувати :

• У середовищах, які використовують веб-проксі (включаючи автоматичне налаштування проксі (PAC), WPAD або статичні/прямі конфігурації проксі), пристрої можуть не відновлюватися після ізоляції мережі. У такому випадку використовуйте вибіркову ізоляцію. У разі використання вибіркової ізоляції параметри виключення не потрібні для запобігання цьому сценарію.

• Ізоляція пристроїв від мережі підтримується у macOS для клієнтської версії 101.98.84 та вище. Ви також можете використовувати функцію «Відповідь у реальному часі» для виконання цієї дії. Додаткову інформацію про функцію «Відповідь у реальному часі» див. у розділі « Дослідження об'єктів на пристроях за допомогою функції «Відповідь у реальному часі»».

• Повна ізоляція доступна для пристроїв, що працюють під керуванням Windows 11, Windows 10 версії 1703 або пізнішої, Windows Server 2012 R2 і пізнішої версії, а також Azure Stack HCI OS версії 23H2 і пізнішої версії.

• Ізоляція пристроїв від мережі підтримується при роботі Defender у пасивному режимі на всіх операційних системах Windows, macOS і Linux, що підтримуються.

• Функція ізоляції пристроїв доступна у всіх підтримуваних версіях Microsoft Defender for Endpoint для Linux, перелічених у розділі « Системні вимоги» . Переконайтеся, що включені такі умови:

  • iptables
  • ip6tables
  • Ядро Linux з CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLES, та CONFIG_IP_NF_MATCH_OWNERдля версій ядра нижче 5.x і CONFIG_NETFILTER_XT_MATCH_OWNERпочинаючи з версії 5.x.

• Вибіркова ізоляція доступна для пристроїв, що працюють під керуванням Windows 11, Windows 10 версії 1703 або пізнішої, Windows Server 2012 R2 і пізнішої версії, Azure Stack HCI OS версії 23H2 і пізнішої версії, а також macOS. Додаткову інформацію про вибіркову ізоляцію див. у розділі « Виключення ізоляції» .

• При ізоляції пристрою дозволено доступ лише до певних процесів та адресатів. Тому пристрої, що знаходяться за повним тунелем VPN, не зможуть отримати доступ до хмарного сервісу Microsoft Defender for Endpoint після ізоляції пристрою. Ми рекомендуємо використовувати VPN із роздільним тунелюванням для трафіку, пов'язаного з хмарним захистом Microsoft Defender for Endpoint та Microsoft Defender Antivirus.

• Ця функція підтримує з'єднання VPN.

• Вам має бути призначено як мінімум відповідну Active remediation actionsроль. Додаткові відомості див. у розділі «Створення та керування ролями» .

• Для доступу до пристрою необхідно мати доступ відповідно до установок групи пристроїв. Для отримання додаткових відомостей див. « Створення та керування групами пристроїв» .

• Винятки, такі як електронна пошта, месенджери та інші додатки для ізоляції як у macOS, так і в Linux не підтримуються.

• Ізольований пристрій виводиться із ізоляції, коли адміністратор змінює або додає нове iptableправило до ізольованого пристрою.

• Ізоляція сервера, що працює під керуванням Microsoft Hyper-V, блокує мережевий трафік до всіх дочірніх віртуальних машин цього сервера.

Функція ізоляції пристрою відключає скомпрометований пристрій від мережі, зберігаючи при цьому зв'язок із службою Defender for Endpoint, яка продовжує відстежувати пристрій. У Windows 10 версії 1709 та вище можна використовувати вибіркову ізоляцію для більш точного керування рівнем ізоляції мережі. Також можна увімкнути підключення до Outlook та Microsoft Teams.