Imagem de Gerd Altmann do Pixabay

Windows Defender isola máquinas durante ataques

Microsoft ativou funcionalidade no Defender for Endpoint que desconecta estações de trabalho comprometidas da rede no momento da detecção de campanhas de ransomware ou intrusões sofisticadas, sem aguardar ação humana.

A plataforma correlaciona sinais entre endpoints, identidades, e-mail e aplicações SaaS para formar uma visão unificada de incidentes. Quando confirma um ataque em andamento com alta confiança, o sistema dispara ações de contenção no nível do incidente, não apenas do alerta.

Isolamento reversível e com supervisão

O recurso interrompe as conexões de rede do dispositivo afetado, mas mantém o canal de comunicação com o serviço do Defender, permitindo que analistas continuem recebendo telemetria e visibilidade da máquina isolada. A medida se aplica apenas a estações de trabalho gerenciadas, não a servidores ou dispositivos não gerenciados.

O mecanismo inclui salvaguardas para evitar disrupções operacionais. O isolamento é revertido automaticamente após janela de tempo definida, e equipes de segurança podem liberar a contenção manualmente após concluir a investigação. Apenas dispositivos diretamente implicados na cadeia de ataque são isolados, e organizações podem configurar regras de exclusão para máquinas críticas.

O portal do Defender registra cada evento de isolamento e desisolamento com timestamp, alerta disparador e executor da ação automatizada. O Centro de Ações mantém histórico completo com status e fonte da decisão.

Grupos de ransomware dependem da velocidade de movimento lateral para ampliar danos. Ao automatizar a contenção no momento da detecção, a Microsoft remove o atraso entre detecção e resposta. Equipes mantêm controle investigativo enquanto o impacto do ataque é reduzido.