Microsoft a ajouté des capacités de détection du trafic de commande et de contrôle à sa plateforme de sécurité des terminaux d’entreprise Microsoft Defender for Endpoint.
Les connexions C2 sont détectées par l’agent Network Protection de Defender for Endpoint en mettant en correspondance l’adresse IP, le port, le nom d’hôte et d’autres valeurs de la connexion sortante avec les données de Microsoft Cloud.
Une fois la connexion malveillante détectée, une alerte «Network Protection blocked a potential C2 connection» sera ajoutée au portail Microsoft 365 Defender, fournissant aux membres de l’équipe SecOps des détails, y compris le niveau de gravité et les actifs impactés, ainsi que la durée de l’activité.
«Grâce aux nouvelles fonctionnalités de Microsoft Defender for Endpoint, les équipes SecOps peuvent détecter les attaques C2 du réseau plus tôt dans la chaîne d’attaque, minimiser la propagation en bloquant rapidement toute nouvelle propagation de l’attaque, et réduire le temps nécessaire à l’atténuation en supprimant facilement les binaires malveillants.»
Les conditions préalables sont les suivantes : Microsoft Defender Antivirus avec protection active en temps réel et protection fournie dans le nuage, MDE en mode actif, protection du réseau en mode bloqué et version 1.1.17300 du moteur.
Le mois dernier, Microsoft a également annoncé que la protection contre l’altération serait bientôt activée par défaut dans Microsoft Defender for Endpoint pour une meilleure défense contre les attaques de ransomware.