Microsoft ativou funcionalidade no Defender for Endpoint que desconecta estações de trabalho comprometidas da rede no momento da detecção de campanhas de ransomware ou intrusões sofisticadas, sem aguardar ação humana.
A plataforma correlaciona sinais entre endpoints, identidades, e-mail e aplicações SaaS para formar uma visão unificada de incidentes. Quando confirma um ataque em andamento com alta confiança, o sistema dispara ações de contenção no nível do incidente, não apenas do alerta.
Isolamento reversível e com supervisão
O recurso interrompe as conexões de rede do dispositivo afetado, mas mantém o canal de comunicação com o serviço do Defender, permitindo que analistas continuem recebendo telemetria e visibilidade da máquina isolada. A medida se aplica apenas a estações de trabalho gerenciadas, não a servidores ou dispositivos não gerenciados.
O mecanismo inclui salvaguardas para evitar disrupções operacionais. O isolamento é revertido automaticamente após janela de tempo definida, e equipes de segurança podem liberar a contenção manualmente após concluir a investigação. Apenas dispositivos diretamente implicados na cadeia de ataque são isolados, e organizações podem configurar regras de exclusão para máquinas críticas.
O portal do Defender registra cada evento de isolamento e desisolamento com timestamp, alerta disparador e executor da ação automatizada. O Centro de Ações mantém histórico completo com status e fonte da decisão.
Grupos de ransomware dependem da velocidade de movimento lateral para ampliar danos. Ao automatizar a contenção no momento da detecção, a Microsoft remove o atraso entre detecção e resposta. Equipes mantêm controle investigativo enquanto o impacto do ataque é reduzido.






