Isolation d'endpoint
Qu'est-ce que Isolation d'endpoint ?
Isolation d'endpointAction de reponse EDR qui coupe la connectivite reseau d'un poste compromis (sauf vers l'outil de securite) pour empecher le mouvement lateral pendant l'investigation.
L'isolation d'endpoint — aussi appelee network containment, host quarantine ou host isolation — est une action de reponse en un clic offerte par les EDR modernes (CrowdStrike Real Time Response, l'action 'Isolate device' de Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR). L'agent noyau bloque ou ignore tout trafic reseau du poste hormis vers le plan de management. Cela stoppe immediatement les beacons C2, le chiffrement de partages par ransomware et les deplacements lateraux, donnant au SOC le temps d'investiguer, de collecter des artefacts et de remediation. Bonne pratique : connecter l'isolation a des playbooks SOAR (Tines, XSOAR, Splunk SOAR), exiger une double approbation pour les serveurs et tester regulierement la levee d'isolation.
● Exemples
- 01
CrowdStrike Real Time Response isolant le portable d'un dirigeant en quelques secondes apres la detection d'un beacon Cobalt Strike.
- 02
Action 'Isolate device' de Microsoft Defender for Endpoint declenchee automatiquement par un playbook SOAR sur comportement ransomware confirme.
● Questions fréquentes
Qu'est-ce que Isolation d'endpoint ?
Action de reponse EDR qui coupe la connectivite reseau d'un poste compromis (sauf vers l'outil de securite) pour empecher le mouvement lateral pendant l'investigation. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Isolation d'endpoint ?
Action de reponse EDR qui coupe la connectivite reseau d'un poste compromis (sauf vers l'outil de securite) pour empecher le mouvement lateral pendant l'investigation.
Comment fonctionne Isolation d'endpoint ?
L'isolation d'endpoint — aussi appelee network containment, host quarantine ou host isolation — est une action de reponse en un clic offerte par les EDR modernes (CrowdStrike Real Time Response, l'action 'Isolate device' de Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR). L'agent noyau bloque ou ignore tout trafic reseau du poste hormis vers le plan de management. Cela stoppe immediatement les beacons C2, le chiffrement de partages par ransomware et les deplacements lateraux, donnant au SOC le temps d'investiguer, de collecter des artefacts et de remediation. Bonne pratique : connecter l'isolation a des playbooks SOAR (Tines, XSOAR, Splunk SOAR), exiger une double approbation pour les serveurs et tester regulierement la levee d'isolation.
Comment se défendre contre Isolation d'endpoint ?
Les défenses contre Isolation d'endpoint combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Isolation d'endpoint ?
Noms alternatifs courants : Mise en quarantaine reseau, Isolation d'hote, Quarantaine d'hote.
● Termes liés
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Plateforme de sécurité qui unifie la télémétrie des postes, du réseau, de l'identité, de la messagerie et du cloud pour fournir des détections corrélées et des actions de réponse intégrées.
- defense-ops№ 892
Quarantaine (Endpoint)
Action de securite endpoint qui deplace un fichier suspect de son emplacement d'origine vers un magasin controle et neutralise pour qu'il ne puisse pas s'executer mais reste analysable.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
- malware№ 900
Rançongiciel
Logiciel malveillant qui chiffre les données de la victime ou verrouille ses systèmes et exige une rançon pour rétablir l'accès.
- defense-ops№ 298
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.