Wenn es Ransomware gelingt, auf einem Arbeitsplatzrechner in Ihrem Unternehmen ausgeführt zu werden, ist die Reaktionsgeschwindigkeit der einzige Faktor, der einen geringfügigen Vorfall von einer industriellen Katastrophe unterscheidet. Sobald die Malware implantiert ist, wird sie versuchen, das lokale Netzwerk zu scannen, um auf andere Ziele (Dateiserver, Domänencontroller) zuzugreifen. Dies nennt manseitliche Bewegung.
Um diese schnelle Ausbreitung zu stoppen, ist Ausgangssperre die absolute Notmaßnahme. Erfahren Sie, wie der Akuity SOC Orchestrator mit Microsoft Intune und Defender for Endpoint interagiert, um eine sofortige Netzwerkisolierung einer gefährdeten Maschine aus der Ferne und mit einem einzigen Klick auszulösen.
Der Netzwerkisolationsmechanismus (Isolate Device)
Was ist Netzwerkisolation im Microsoft-Ökosystem? Im Gegensatz zum einfachen Trennen der WLAN-Verbindung oder dem Abziehen eines Ethernet-Kabels (was physische Anwesenheit oder Benutzereingriff erfordert) aktiviert die Isolierung eine äußerst restriktive Software-Firewall direkt am Windows Defender-Kernel.
Wenn der Isolationsbefehl von der Maschine empfangen wird:
- Der gesamte Netzwerkverkehr, der in die Workstation ein- und ausgeht, wird sofort unterbrochen.
- Der Angreifer, der die Maschine über ein Befehlstool (Reverse Shell) ferngesteuert hat, verliert sofort den Zugriff.
- Die Ransomware kann nicht mehr mit ihrem C2-Server kommunizieren, um den Verschlüsselungsschlüssel wiederherzustellen, und auch nicht das interne Netzwerk des Unternehmens scannen.
Die Sicherheitsausnahme
Entscheidend ist, dass durch die Isolation eine einzige Kommunikationslinie offen bleibt: die kryptografisch sichere Verbindung zu Microsoft Defender- und Intune-Cloudservern. Dadurch kann Ihr Sicherheitsteam die Maschine aus der Ferne kontrollieren, Prozesse analysieren und Untersuchungen durchführen, ohne dass die Position eine Gefahr für den Rest der Organisation darstellt.
Durchführen von Abhilfemaßnahmen über das Akuity SOC Cockpit
In einer herkömmlichen SOC-Konsole erfordert die Isolierung eines Geräts das Öffnen des Microsoft Intune-Administratorportals, die Suche nach der Maschine anhand ihrer Seriennummer oder ihres Namens, die Validierung mehrerer Menüs und das Warten auf die Synchronisierung. Inmitten einer Cyberkrise erzeugen diese Manipulationen kritische Latenzzeiten.
Die Schnittstelle von Akuity SOC eliminiert diese Zwischenschritte durch direkte API-Integration.
Schritt 1: Risikoidentifizierung
Der SOC-Analyst oder IT-Manager navigiert durch die Registerkarte„Gefährdete Geräte“der Plattform. In diesem Bereich werden zentral alle von Intune verwalteten Maschinen im Arbeitsbereich (Windows-Workstations, macOS, Server) zusammengefasst, die Gegenstand aktiver Bedrohungs- oder Nichteinhaltungswarnungen sind. Mit einer einheitlichen Suchmaschine können Sie mit einem Schnell-Reset-System sofort nach Maschinennamen oder Betriebssystem filtern.
Schritt 2: Die MFA-Pflicht (AAL2 Security)
Das Isolieren des PCs eines Benutzers (z. B. des Finanzdirektors) ist eine schwerwiegende Maßnahme, die dessen Arbeitstool abschneidet. Um zu verhindern, dass ein Hacker diese Funktionalität ausnutzt, wendet Akuity strenge Sicherheitsmaßnahmen an. Die Wirkung der Isolation (isolateDevice) erfordert eine Zwei-Faktor-Authentifizierung (MFA). Der Analyst muss den 6-stelligen Code eingeben, der von seiner Google- oder Microsoft Authenticator-Anwendung generiert wurde. Ohne diese Erhöhung auf SitzungsebeneAAL2, lehnt der Next.js-Server den Befehl ab.
Schritt 3: Der asynchrone API-Aufruf
Sobald der MFA-Code validiert ist, sendet das Akuity-Backend eine asynchrone Anfrage an den Microsoft Graph-Behebungsendpunkt:/microsoft.graph.isolate. Am unteren Rand der Benutzeroberfläche erscheint sofort ein Popup-Benachrichtigungs-Toast, der das erfolgreiche Senden des Sicherheitsbefehls bestätigt. Die Maschine ist in wenigen Sekunden gesperrt, und der Analyst kann dann, immer noch über die Schnittstelle, eine startenSchneller Antiviren-Scanaus der Ferne, um die Station zu reinigen.
Fazit: Gewinnen Sie den Wettlauf gegen die Verschlüsselung
Wenn es um Ransomware geht, tendiert die betriebliche Asymmetrie zu Gunsten desjenigen, der am schnellsten agiert. Indem Sie die Verwaltung Ihrer gefährdeten Geräte zentralisieren und eine sekundengenaue Netzwerkeindämmung ermöglichen, ohne Ihr Überwachungs-Cockpit zu verlassen, neutralisieren Sie die Ausbreitung von Bedrohungen, bevor diese Ihre Geschäftsaktivitäten lahmlegen.
Stoppen Sie die Verbreitung von Ransomware in Ihrem Netzwerk.> Entdecken Sie die Kraft unsererAgentenloser Microsoft Security SOAR Orchestratorund testen Sie die Netzwerkisolation in einer sicheren Umgebung.