**Microsoft** testet eine neue Funktion von **Defender for Endpoint**, die kompromittierte Endpunkte automatisch isoliert, um Versuche von Angreifern, sich lateral im Netzwerk zu bewegen, zu vereiteln. Diese Funktion ist jetzt im Vorschau-Modus verfügbar und funktioniert als Teil der automatischen Angriffsunterbrechung, einer Funktion, die dazu dient, Angriffe einzudämmen, deren Auswirkungen zu begrenzen und Sicherheitsteams mehr Zeit für die Behebung zu geben. Automatisch isolierte, kompromittierte Endpunkte werden vom Netzwerk getrennt, um das Risiko weiterer Auswirkungen zu reduzieren. Sie behalten jedoch die Konnektivität zum **Microsoft Defender for Endpoint**-Dienst, der das Gerät weiterhin überwacht. „Wenn ein Gerät in Ihrer Organisation als kompromittiert vermutet wird, kann **Microsoft Defender for Endpoint** das Gerät als Teil der automatischen Angriffsunterbrechung automatisch isolieren“, sagte **Microsoft**. „Die automatische Isolierung hilft, das Risiko weiterer Auswirkungen auf die Organisation zu reduzieren, die laterale Bewegung von Angreifern einzudämmen und Auswirkungen wie Datenexfiltration und die Verbreitung von Ransomware zu verhindern.“ Die automatische Geräteisolierung funktioniert nur auf Onboarding-Endbenutzer-Workstations, die von **Microsoft Defender for Endpoint** verwaltet werden. Wie **Microsoft** erklärte, können diese nach Abschluss der Vorfalluntersuchung und Risikominimierung jederzeit von Sicherheitsteams aus der Eindämmung entlassen werden. Um ein Gerät aus der automatischen Isolierung zu entlassen, wählen Sie das Gerät im „Gerätebestand“ aus oder öffnen Sie die Geräteseite und wählen Sie im Aktionsmenü „Aus der Isolierung entlassen“.  *Defender for Endpoint automatische Geräteisolierung (Microsoft)* Vor fast vier Jahren, im Juni 2022, kündigte **Microsoft** auch an, dass Administratoren kompromittierte, nicht verwaltete Windows-Geräte manuell eindämmen könnten, indem sie die ein- und ausgehende Kommunikation mit Onboarding-**Defender for Endpoint**-Endpunkten unterbinden. **Microsoft** begann im Januar 2023 auch mit dem Testen der Geräteisolierungsunterstützung für **Defender for Endpoint** auf Onboarding-Linux-Geräten, wobei die Funktion im Oktober 2023 allgemein verfügbar wurde. Im selben Monat gab das Unternehmen bekannt, dass **Defender for Endpoint** als Teil der automatischen Angriffsunterbrechung auch kompromittierte Benutzerkonten isolieren könnte, um die laterale Bewegung bei Ransomware-Angriffen mit direkter Tastaturkontrolle zu blockieren. Kürzlich begann **Microsoft** mit dem Testen einer weiteren neuen Funktion für die Enterprise-Endpoint-Security-Plattform **Defender for Endpoint**, die den Datenverkehr zu und von unentdeckten Windows-Endpunkten automatisch blockiert und so verhindert, dass Angreifer andere nicht kompromittierte Geräte im Netzwerk kompromittieren. Anfang dieses Monats stellte das Unternehmen eine weitere **Defender for Endpoint**-Vorschaufunktion vor, die es Administratoren ermöglicht, Antivirenscans auf Onboarding-Linux-Systemen über das **Microsoft Defender**-Portal, die mdatp-verwaltete JSON-Konfiguration oder das mdatp-Befehlszeilentool zu planen. „Geplante Scans unterstützen tägliche Schnellscans, Intervall-basierte Schnellscans und wöchentliche vollständige Scans mit Optionen für die Ausführung mit niedriger Priorität, die Planung während der Leerlaufzeit und zufällige Startzeiten“, hieß es.