Компания Microsoft тестирует новую функцию для Defender for Endpoint, которая автоматически изолирует скомпрометированные устройства при обнаружении угрозы. Механизм работает в рамках системы Automatic attack disruption и помогает сдерживать распространение атак внутри корпоративной сети.
При срабатывании защиты устройство отключается от общей сети, но сохраняет связь с сервисом Defender для продолжения мониторинга. Это позволяет ограничить боковое перемещение злоумышленников и снизить риск утечки данных или заражения программами-вымогателями.
Функция доступна в режиме предварительного просмотра и работает только на пользовательских рабочих станциях. Специалисты по безопасности могут в любой момент вывести устройство из изоляции после завершения расследования и устранения угроз.
Подобные автоматические сценарии становятся стандартом для современных платформ защиты конечных точек. Microsoft последовательно расширяет возможности Defender, добавляя поддержку изоляции для Linux-систем и необнаруженных устройств.
Для администраторов это означает меньше ручной работы при реагировании на инциденты. Однако важно тонко настраивать правила автоматизации, чтобы защита не мешала легитимным бизнес-процессам в разгар рабочего дня.
