Microsoft Defender kan automatisch gehackte apparaten isoleren

Microsoft test een nieuwe functie in Defender for Endpoint die automatisch gehackte apparaten isoleert om te voorkomen dat aanvallers zich door het netwerk kunnen verspreiden. De apparaten worden losgekoppeld van het netwerk, maar behouden de verbinding met Defender for Endpoint.

De functie is beschikbaar in previewmodus en werkt als onderdeel van de automatische aanvalsonderbreking van Microsoft Defender. Nadat een apparaat automatisch is geïsoleerd, kunnen beheerders de status ervan bekijken in het Defender-portaal, schrijft Microsoft.

De automatische apparaatisolatie werkt alleen op apparaten die zijn toegevoegd aan en worden beheerd door Microsoft Defender for Endpoint. De isolatie wordt na een ingestelde tijdperiode automatisch beëindigd. Beheerders kunnen de isolatie ook eerder opheffen wanneer zij maatregelen hebben genomen om de risico's te mitigeren.

Beheerders kunnen ervoor kiezen om bepaalde processen en netwerkbestemmingen toegankelijk te houden op een geïsoleerd apparaat. Op die manier kunnen bijvoorbeeld beheertools en bedrijfsapplicaties blijven communiceren met het geïsoleerde systeem. Apparaten kunnen ook helemaal uitgesloten worden van automatische aanvalsonderbrekingen. Hiermee kunnen beheerders voorkomen dat bedrijfskritieke apparaten worden geïsoleerd.

Automatische isolatie in Microsoft Defender
Automatische isolatie in Microsoft Defender

Door Imre Himmelbauer

Redacteur

26-05-2026 • 18:15

44

Reacties (44)

Sorteer op:

Weergave:

En hoe is dit anders dan wat dit nu al deed? https://learn.microsoft.com/en-us/defender-xdr/m365d-autoir
Dit werkt in elk geval al tijdje.
Als iemand te veel hacktools aan het testen is raakt die pc automatisch geïsoleerd. Ook de gebruiker raakt disabled dan.

[Reactie gewijzigd door telenut op 26 mei 2026 18:36]

Volgens mij beperkte MDE zich tot nu toe tot containment (gezonde hosts droppen netwerk verkeer naar het besmette device/IP). In deze device isolation (preview) grijpt MDE in op de netwerkstack en firewall van het besmette device, met uitzondering van die encrypted tunnel met de defender XDR omgeving.

Wel weer nasty dat je hier natuurlijk weer E5, Defender suite of losse P2 licenties voor nodig hebt...
Bor Coördinator Frontpage Admins / FP Powermod @grubby26 mei 2026 19:35
MDE doet al veel langer isolation en containment. Ook de (preview) van automatische isolation bij automatic attack disruption is niet nieuw. Ik vraag mij dan ook af wat er nu precies nieuw is behalve de genoemde mogelijkheid tot zelf meer te controleren waar het geisoleerde systeem nog naar mag connecteren.
Volgens mij deed attack distribution eerst onderstaand en kan het met deze preview zelf het device isoleren. Eerder waren daar automation rules of playbooks icm sentinel voor nodig dacht ik.
  • Attack Disruption
    • accounts disablede,
    • sessies terminate,
    • unmanaged devices containede,
    • critical assets granular containede
Het meer controle uitoefenen over waar een isolated device naar kan verbinden is ergens vorig jaar toegevoegd.

[Reactie gewijzigd door HKLM_ op 26 mei 2026 20:58]

Het automatisch isoleren op basis van attack disruption is weldegelijk nieuw. Voorheen beperkte dit zich tot containment waarbij de foothold zich nog bevindt op het apparaat van de aanvaller. Bij containment wordt dit apparaat in containment geplaatst omdat isolatie niet mogelijk is omdat dit apparaat niet managed is. Er wordt dan als het ware een beleidsregel gepushed naar wél managed devices die interactie met dit contained device blokkeert op basis van ip-adres of username van dit device. Hierbij spreken we dan enkel over device aspecten op het gebied van attack disruption. Attack disruption kan bijv. ook gebruikers automatisch containen of disablen.

Deze preview breidt zich uit naar isolatie waarbij de aanvaller zich dus al verplaatst heeft naar een managed device. Alle attack disruption reponse acties staan hier beschreven, inclusief isolate device wat op moment van schrijven dus in preview is: https://learn.microsoft.c...utomated-response-actions

Het aspect met meer controle bij isolatie is al langer beschikbaar maar dat staat in principe los van deze preview. Met isolation exclusions kun je tijdens handmatige of automatische isolatie bepaalde processen allowlisten als je dat nodig acht. Denk aan het draaien van forenics tooling tijdens isolatie zoals bijv. met Velociraptor.

https://learn.microsoft.c...oint/isolation-exclusions

[Reactie gewijzigd door FREAKJAM op 27 mei 2026 00:20]

voor niets gaat de zon op
AIR doet zover ik weet niet aan automatische isolatie van het device. Je kunt het vanuit AIR initieren, maar naar mijn weten gebeurt dit niet automatisch. In al die jaren dat ik het geimplementeerd heb of soc diensten draai ben ik het in ieder geval nog niet tegengekomen. Zie ook: https://learn.microsoft.c...ation#remediation-actions

Wat je aangeeft is wel mogelijk in combinatie met custom detection rules. Bij bijv. detectie van malware kun je een apparaat automatisch isoleren. https://learn.microsoft.c...n-rules#4-specify-actions

[Reactie gewijzigd door FREAKJAM op 26 mei 2026 22:03]

We hebben dat op sentionel one ook, maar heeft ook wel nadelen. Teams, mail etc werkt allemaal niet. En probeer dan de helpdesk maar te bereiken op het telefoonnummer op te zoeken. Mensen hebben die niet in hun mobiel.
Waarom moeten jullie gebruikers de helpdesk bereiken en worden ze niet door een security team bereikt op het eerst mogelijke moment? Op z’n minst een automatisch smsje.
Ja dat vraag ik me ook vaak af. Maar denk dat proactief handelen niet bij de it support desk in verwegistan in de functie omschrijving zit.
Security teams zijn niet zo gangbaar als je denkt. De IT afdelingen doen de meeste heavy lifting.
Een CERT bestaat meestal uit doodnormale IT-ers die op dat moment een andere rol hebben. Bij ons is het in elk geval alleen voor een paar van die knakkers een fulltime aanstelling, de rest doet het er eigenlijk bij. Net als de BHV-ers zeg maar.
Het maakt eigenlijk niet uit wie het moet doen. Of dat een dedicated team is of niet.

Op het moment dat Defender een bedreiging ziet die zo ernstig is dat het systeem geisoleerd moet worden, dan wil je ook dat bij de juiste IT persoon de alarmbellen gaan rinkelen en dat ie dat hoogte prioriteit geeft.

Dan wil je niet rustig zitten wachten tot iemand de helpdesk belt, maar automatisch geinformeerd worden en zo spoedig mogelijk met die gebruiker contact opnemen.

Niet omdat het zo erg is dat die ene gebruiker niet kan werken, maar omdat je wilt analyseren of er een risico is dat andere mensen ook geraakt worden.

Maar uit jezelf contact opnemen met gebruikers is iets dat veel IT-ers nogal eng vinden. Contact met de eindgebruikers laten ze altijd via de helpdesk gaan, ook al is dat inefficient.
In het geval van een security incident is initiale triage, scope bepalen en opvolging van een incident belangrijker dan de gebruiker contacteren, hoe lullig ook. Een SMS sturen naar een eindgebruiker die onderdeel is van een security incident is in mijn optiek ook niet handig, je weet namelijk in beginsel niet in welke mate de gebruiker is gecompromitteerd.

Contact opnemen met de eindgebruiker vindt pas plaats in de herstelfase als het incident grondig is beoordeeld en teminste is contained (situatie onder controle, directe maatregelen getroffen). Als meer context nodig is vanuit gebruikersperspectief (wat heeft deze ervaren of gezien) is het wel zeer zeker handig, maar dan zou ik dat uitbesteden naar een helpdeskmedewerker die bekend is met het proces. Ik vertrouw wat dat betreft het meest op securitytooling; de eindgebruiker durft vaak ook niet te vertellen wat er mogelijk heeft plaatsgevonden omdat er vaak sprake is van een angstcultuur of schaamte op dat vlak.

[Reactie gewijzigd door FREAKJAM op 27 mei 2026 22:43]

Zou je, ondanks de nadelen die je beschrijft, alsnog willen dat hij isoleert?
Ik wel, maar de remote medewerkers niet 🫣 en helaas weten ze dan mijn mobiele nummer wel. Maar het zou interessant zijn om voor telefoon service een uitzondering te maken en een popup te hebben met contact info. Wetende dat jet dan iets onveiliger is.
Ja gebruikers weten mijn nummer ook vaak genoeg te vinden, maar nummer van de helpdesk niet.

Maar goed opnemen doe ik niet, kunnen telefoonnummer krijgen via teams chat en daar blijft het bij.
Iedere computer voorzien van een mapje support op de c schijf :9
Of gewoon in je burraublad afbeelding rechtsonderin een klein vakje met broodnodige informatie plaatsen.

Hostname, ip adres en een email adres en telefoonnummer van een helpdesk.

30min werk en het staat op iedere werkplek van je omgeving.
Hahaha. Dit lijkt wel op een moderne helpdesk van een Symantec of HP inderdaad.
Er zijn ook MPS's (zoals die waar ik voor werk) waar gewoon hier in Nederland een groepje mensen zit die je kunt bellen, mailen, chatten en die je gewoon in het Nederlands te woord staan. Die nog even met je je meekijken en dan voor jou een ticket aanmaken en dit naar een oplosgroep sturen.
En probeer dan de helpdesk maar te bereiken op het telefoonnummer op te zoeken. Mensen hebben die niet in hun mobiel.
Daarom zet je die op de achtergrond van het bureaublad en laat je de gebruiker die niet aanpassen. ;)
wij hebben het op de asset tag staan, kwestie dat iemand die het toestel vindt en eerlijk is het ook kan terugbezorgen, bvb als het bij een klant of leverancier per ongeluk is achtergelaten.
Die kunnen ze toch vragen via teams op de mobiel?, of ze het helpdesk nummer op de laptop wel hebben opgeslagen ?.
hopen dat hun andere device, namelijk hun telefoon nog werkt, wat bij S1 wel lastig is als ze ook de user on prem disablen via je DC, maar dat is een zij-effect dat eerder aanvaardbaar is als je echt met wat vies op een toestel zit.
Dit bestaat al een aantal jaar als handmatige optie.
Wat ze hier lijken te doen, is meer automatisering introduceren bovenop de handmatige optie om een endpoint te isoleren. Daarnaast lijken ze ook eindelijk iets meer mogelijkheden te geven, welke verbindingen nog wel toegestaan zijn. Hoe ik het lees, is dat voor de automatische versie, niet de handmatige.

De verwarring komt denk ik omdat Microsoft hun documentatie rondom hun hele Defender platform en alle zaken die eromheen zwerven, ronduit verwarrend is. Ook is het zo dat beheer vanuit Microsoft Defender for Endpoint, vanzelfsprekend is. Dit is namelijk een MDE functionaliteit, niet iets van de Windows/Microsoft Defender/Windows Security whatever ze het dit jaar besluiten te noemen. Dat is maar een onderdeel van dit bredere geheel, namelijk de antimalware scanner. Er zit veel meer in Microsoft hun Defender platform. Microsoft lijkt verder te stellen dat dit alleen voor eindgebruiker systemen, dus niet servers. Maar ook hier lijken ze niet even duidelijk te zijn. Je zal ook hier, verschillende documentatie pagina's moeten aflopen voor een goed antwoord. Of het testen indien mogelijk. :)
Klinkt interessant. Jammer dat ik geen MS Windows heb. Alleen Apple en Linux.
Ik houd MS graag buiten de deur als je t niet erg vindt.
Maar je schrijft net dat je het jammer vindt dat je geen Windows hebt? Dat klinkt tegenstrijdig.
Misschien maar goed dat je in een bedrijf niet zoveel te willen hebt.
Er is ook Defender voor macOS
Nee dankje

[Reactie gewijzigd door FZRein op 26 mei 2026 19:06]

Je vindt het interessant, maar je wil het niet gebruiken op je systemen. Dat is toch gek...
Jammer dat dat alleen lukt met apparaten die automatisch gehackt zijn. ;-)

Maar alle gekheid op een stokje over de berichtkop...

Isoleren is isoleren, niet een klein beetje het netwerkverkeer knijpen en bepaalde "trusted" bestemmingen toch open houden. Vraag me sowieso af hoe waardevol dat gaat zijn. Het device zelf is gecompromitteerd. Hoe ga je een maatregel op het device zelf dan nog vertrouwen?
Bij ons is de regel, als je apparaat geïsoleerd is geweest dan mag je bij de servicedesk langs komen om een nieuwe laptop te halen en dan word die andere opnieuw ingericht.
Dit bestaat toch al een tijdje?
Euhm ja volgens mij ook. Destijds hebben we voor Windows 365 nog een aparte procedure moeten maken. Defender houdt namelijk je Windows 365 sessie online met MDE, zodat je nog wel bepaalde beheertaken kunt doen terwijl de rest van het OS verbroken is van het internet. Bij een normale malware trek je de machine apart en start je hem in een sandbox op. Windows 365 kun je niet op dezelfde manier offline trekken en in een sandbox opstarten, dus dan is deze functionaliteit best handig om event logs te exporteren voordat je de machine herdeployeert.

[Reactie gewijzigd door ibmpc op 26 mei 2026 21:28]

Kan het ook niet automatisch gehackte apparaten isoleren? 😋
"Microsoft Defender kan automatisch gehackte apparaten isoleren"

versus

"Microsoft Defender kan gehackte apparaten automatisch isoleren"
Ja ik zat ook al te denken wat automatisch hacken zou kunnen zijn.
Wordt dit alleen beschikbaar voor bedrijven, of ook voor de consument?

Op dit item kan niet meer gereageerd worden.