Microsoft Defender for Endpoint lanza una nueva herramienta para contener usuarios sospechosos
En un esfuerzo por abordar uno de los desafíos más importantes que enfrentan los equipos de TI en la actualidad, Microsoft ha lanzado una nueva actualización para Defender for Endpoint. Esta actualización presenta una herramienta llamada «contener usuario» que tiene como objetivo identificar y contener cuentas de usuarios legítimos comprometidas.
La herramienta, que actualmente se encuentra en versión preliminar pública, funciona detectando comportamientos sospechosos en las cuentas de usuario. Si se detecta actividad sospechosa, el Departamento de Energía (DoE) intervendrá y aislará la cuenta comprometida de otros puntos finales y recursos. El objetivo es detener al actor de amenazas antes de que pueda causar más daños, como implementar ransomware.
Bloqueando todo el tráfico
La interrupción del ataque se logra al contener a los usuarios comprometidos en todos los dispositivos, superando a los atacantes antes de que tengan la oportunidad de actuar maliciosamente. Esto implica cerrar todas las comunicaciones entrantes y salientes de la cuenta sospechosa, bloqueando así todo el tráfico malicioso.
Microsoft ha explicado que cuando se contiene una identidad, todos los dispositivos compatibles con Microsoft Defender para Endpoint bloquearán el tráfico entrante relacionado con ataques, al tiempo que permitirán el tráfico legítimo. Esta acción proporciona a los analistas de operaciones de seguridad tiempo adicional para localizar, identificar y remediar la amenaza.
Esta nueva herramienta de Microsoft Defender for Endpoint representa un avance significativo en la lucha contra el malware y el robo de datos a través de cuentas de usuario comprometidas. Con su capacidad para detectar y contener usuarios sospechosos, los equipos de TI podrán proteger de manera más efectiva sus sistemas y datos.
Fuente: Bleeping Computer