Aislamiento de Endpoint
¿Qué es Aislamiento de Endpoint?
Aislamiento de EndpointAccion de respuesta de EDR que corta la conectividad de red de un host comprometido (salvo con la herramienta de seguridad) para evitar movimiento lateral durante la investigacion.
El aislamiento de endpoint — tambien llamado contencion de red, host quarantine o host isolation — es una accion de un solo clic en los EDR modernos (CrowdStrike Real Time Response, Microsoft Defender for Endpoint 'Isolate device', SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR) que ordena al agente kernel descartar o bloquear todo el trafico del endpoint excepto el del plano de gestion. Detiene de inmediato beacons C2, el cifrado de recursos compartidos por ransomware y el movimiento lateral, dando tiempo al SOC para investigar, recolectar artefactos y remediar. La buena practica vincula el aislamiento a playbooks SOAR (Tines, XSOAR, Splunk SOAR), exige doble aprobacion para servidores y prueba periodicamente la salida del aislamiento.
● Ejemplos
- 01
CrowdStrike Real Time Response aislando el portatil de un directivo segundos despues de detectar un beacon Cobalt Strike.
- 02
Accion 'Isolate device' de Microsoft Defender for Endpoint disparada por un playbook SOAR ante comportamiento de ransomware confirmado.
● Preguntas frecuentes
¿Qué es Aislamiento de Endpoint?
Accion de respuesta de EDR que corta la conectividad de red de un host comprometido (salvo con la herramienta de seguridad) para evitar movimiento lateral durante la investigacion. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Aislamiento de Endpoint?
Accion de respuesta de EDR que corta la conectividad de red de un host comprometido (salvo con la herramienta de seguridad) para evitar movimiento lateral durante la investigacion.
¿Cómo funciona Aislamiento de Endpoint?
El aislamiento de endpoint — tambien llamado contencion de red, host quarantine o host isolation — es una accion de un solo clic en los EDR modernos (CrowdStrike Real Time Response, Microsoft Defender for Endpoint 'Isolate device', SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR) que ordena al agente kernel descartar o bloquear todo el trafico del endpoint excepto el del plano de gestion. Detiene de inmediato beacons C2, el cifrado de recursos compartidos por ransomware y el movimiento lateral, dando tiempo al SOC para investigar, recolectar artefactos y remediar. La buena practica vincula el aislamiento a playbooks SOAR (Tines, XSOAR, Splunk SOAR), exige doble aprobacion para servidores y prueba periodicamente la salida del aislamiento.
¿Cómo defenderse de Aislamiento de Endpoint?
Las defensas contra Aislamiento de Endpoint combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Aislamiento de Endpoint?
Nombres alternativos comunes: Contencion de red, Aislamiento de host, Cuarentena de host.
● Términos relacionados
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 1254
XDR (Detección y Respuesta Extendidas)
Plataforma de seguridad que unifica telemetría de endpoint, red, identidad, correo y nube para entregar detecciones correlacionadas y acciones de respuesta integradas.
- defense-ops№ 892
Cuarentena (Endpoint)
Accion de seguridad en endpoint que mueve un archivo sospechoso fuera de su ubicacion original a un almacen controlado y neutralizado para que no pueda ejecutarse pero si analizarse o restaurarse.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.