Microsoft тестирует в preview‑режиме функцию Automatic Attack Disruption в Defender for Endpoint, позволяющую автоматически изолировать рабочие станции, если система определит их компрометацию. Изолированный хост отключается от корпоративной сети, но сохраняет связь с сервисом для сбора телеметрии. Цель — ограничить боковое перемещение атакующих, предотвратить утечки данных и дать ИБ‑командам время на реагирование. При необходимости изоляцию можно снять вручную.
