Isolamento de Endpoint
O que é Isolamento de Endpoint?
Isolamento de EndpointAcao de resposta de EDR que corta a conectividade de rede de um host comprometido excepto para a plataforma de seguranca, evitando movimento lateral durante a investigacao.
O isolamento de endpoint — tambem conhecido como network containment, host quarantine ou host isolation — e uma acao de resposta com um clique disponivel nas plataformas EDR modernas (CrowdStrike Real Time Response, 'Isolate device' do Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR). O agente kernel descarta ou bloqueia todo o trafego do endpoint excepto o do plano de gestao. Isto interrompe imediatamente beacons C2, cifragem de partilhas por ransomware e movimento lateral, dando ao SOC tempo para investigar, recolher artefactos e remediar. Boa pratica: ligar o isolamento a playbooks SOAR (Tines, XSOAR, Splunk SOAR), exigir dupla aprovacao para servidores e testar regularmente o levantamento.
● Exemplos
- 01
CrowdStrike Real Time Response isolando o portatil de um executivo segundos apos a detecao de um beacon Cobalt Strike.
- 02
Acao 'Isolate device' do Microsoft Defender for Endpoint accionada por um playbook SOAR perante comportamento de ransomware confirmado.
● Perguntas frequentes
O que é Isolamento de Endpoint?
Acao de resposta de EDR que corta a conectividade de rede de um host comprometido excepto para a plataforma de seguranca, evitando movimento lateral durante a investigacao. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Isolamento de Endpoint?
Acao de resposta de EDR que corta a conectividade de rede de um host comprometido excepto para a plataforma de seguranca, evitando movimento lateral durante a investigacao.
Como funciona Isolamento de Endpoint?
O isolamento de endpoint — tambem conhecido como network containment, host quarantine ou host isolation — e uma acao de resposta com um clique disponivel nas plataformas EDR modernas (CrowdStrike Real Time Response, 'Isolate device' do Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response, Cortex XDR). O agente kernel descarta ou bloqueia todo o trafego do endpoint excepto o do plano de gestao. Isto interrompe imediatamente beacons C2, cifragem de partilhas por ransomware e movimento lateral, dando ao SOC tempo para investigar, recolher artefactos e remediar. Boa pratica: ligar o isolamento a playbooks SOAR (Tines, XSOAR, Splunk SOAR), exigir dupla aprovacao para servidores e testar regularmente o levantamento.
Como se defender contra Isolamento de Endpoint?
As defesas contra Isolamento de Endpoint costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Isolamento de Endpoint?
Nomes alternativos comuns: Contencao de rede, Isolamento de host, Quarentena de host.
● Termos relacionados
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Plataforma de segurança que unifica telemetria de endpoint, rede, identidade, e-mail e nuvem para entregar deteções correlacionadas e ações de resposta integradas.
- defense-ops№ 892
Quarentena (Endpoint)
Acao de seguranca de endpoint que move um ficheiro suspeito do local original para um armazenamento controlado e neutralizado, impedindo execucao mas mantendo a possibilidade de analise.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- malware№ 900
Ransomware
Malware que cifra os dados da vítima ou bloqueia sistemas e exige pagamento para restaurar o acesso.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.