Novedades de Microsoft Defender XDR
Enumere las nuevas características y funcionalidades de Microsoft Defender XDR.
Para obtener más información sobre las novedades de otros productos de seguridad de Microsoft Defender y Microsoft Sentinel, consulte:
- Novedades de la plataforma de operaciones de seguridad unificadas de Microsoft
- Novedades de Microsoft Defender para Office 365
- Novedades de Microsoft Defender para punto de conexión
- Novedades de Microsoft Defender for Identity
- Novedades de Microsoft Defender for Cloud Apps
- Novedades de Microsoft Sentinel
También puede recibir actualizaciones de productos y notificaciones importantes a través del centro de mensajes.
Diciembre de 2024
- Expertos de Microsoft Defender para XDR ahora ofrece cobertura con ámbito para los clientes que desean definir un conjunto específico de dispositivos o usuarios, en función de la geografía, la subsidiaria o la función, para los que les gustaría que los expertos de Defender proporcionaran soporte técnico.
- (versión preliminar) La característica Vincular a incidentes en Microsoft Defender búsqueda avanzada ahora permite vincular los resultados de Microsoft Sentinel consulta. Tanto en la Microsoft Defender experiencia unificada como en Defender XDR búsqueda avanzada, ahora puede especificar si una entidad es un recurso afectado o una evidencia relacionada.
- (versión preliminar) En la búsqueda avanzada, los usuarios de Microsoft Defender portal ahora pueden usar el
adx()
operador para consultar las tablas almacenadas en Azure Data Explorer. Ya no es necesario ir a Log Analytics en Microsoft Sentinel para usar este operador si ya está en Microsoft Defender. - Nueva biblioteca de documentación para la plataforma de operaciones de seguridad unificada de Microsoft. Busque documentación centralizada sobre la plataforma unificada de SecOps de Microsoft en el portal de Microsoft Defender. La plataforma secops unificada de Microsoft reúne todas las funcionalidades de Microsoft Sentinel, Microsoft Defender XDR, Administración de exposición de seguridad Microsoft e inteligencia artificial generativa en el portal de Defender. Obtenga información sobre las características y la funcionalidad disponibles con la plataforma unificada de SecOps de Microsoft y, a continuación, empiece a planear la implementación.
Noviembre de 2024
- Hemos actualizado los pasos para crear grupos de inquilinos en la administración multiinquilino. Obtenga información sobre los nuevos pasos de la distribución de contenido mediante grupos de inquilinos en la administración multiinquilino.
- (versión preliminar) Las rutas de acceso de ataque en el gráfico de incidentes ahora están disponibles en el portal de Microsoft Defender. La historia de ataque ahora incluye posibles rutas de ataque que muestran las rutas de acceso que los atacantes pueden tomar potencialmente después de poner en peligro un dispositivo. Esta característica le ayuda a priorizar los esfuerzos de respuesta. Para obtener más información, consulte rutas de ataque en el artículo sobre ataques.
- (versión preliminar) Microsoft Defender XDR clientes ahora pueden exportar datos de incidentes a PDF. Use los datos exportados para capturar y compartir fácilmente datos de incidentes con otras partes interesadas. Para obtener más información, consulte Exportar datos de incidentes a PDF.
- (GA) La última columna de hora de actualización de la cola de incidentes ahora está disponible con carácter general.
- (versión preliminar) Las acciones de investigación y respuesta nativas en la nube ahora están disponibles para las alertas relacionadas con contenedores en el portal de Microsoft Defender. Los analistas del Centro de operaciones de seguridad (SOC) ahora pueden investigar y responder a alertas relacionadas con contenedores casi en tiempo real con acciones de respuesta nativas de la nube y registros de investigación para buscar actividades relacionadas. Para obtener más información, vea Investigar y responder a amenazas de contenedor en el portal de Microsoft Defender.
- (GA) El
arg()
operador de búsqueda avanzada en Microsoft Defender portal ya está disponible con carácter general. Los usuarios ahora pueden usar el operador arg() para las consultas de Azure Resource Graph para buscar en los recursos de Azure y ya no es necesario ir a Log Analytics en Microsoft Sentinel para usar este operador si ya está en Microsoft Defender. - (versión preliminar) La tabla CloudProcessEvents ya está disponible para la versión preliminar en la búsqueda avanzada. Contiene información sobre eventos de proceso en entornos hospedados en varias nubes. Puede usarlo para detectar amenazas que se pueden observar a través de los detalles del proceso, como procesos malintencionados o firmas de línea de comandos.
- (versión preliminar) La migración de consultas de detección personalizadas a la frecuencia continua (casi en tiempo real o NRT) ya está disponible para la versión preliminar en la búsqueda avanzada. El uso de la frecuencia continua (NRT) aumenta la capacidad de su organización para identificar las amenazas más rápido. Tiene un impacto mínimo o nulo en el uso de los recursos y, por tanto, debe tenerse en cuenta para cualquier regla de detección personalizada calificada en su organización. Puede migrar consultas KQL compatibles siguiendo los pasos descritos en Frecuencia continua (NRT).
Octubre de 2024
- Los roles RBAC unificados de Microsoft se agregan con nuevos niveles de permisos para que los clientes Expertos en amenazas de Microsoft usen la funcionalidad de expertos de Ask Defender.
- (versión preliminar) En la búsqueda avanzada, los usuarios de Microsoft Defender portal ahora pueden usar el
arg()
operador para las consultas de Azure Resource Graph para buscar en los recursos de Azure. Ya no es necesario ir a Log Analytics en Microsoft Sentinel para usar este operador si ya está en Microsoft Defender.
Septiembre de 2024
- (GA) El búsqueda global para las entidades del portal de Microsoft Defender ya está disponible con carácter general. La página de resultados de búsqueda mejorada centraliza los resultados de todas las entidades. Para obtener más información, consulte Búsqueda global en el portal de Microsoft Defender.
- (GA) Copilot en Defender ahora incluye la funcionalidad de resumen de identidad, lo que proporciona información instantánea sobre el nivel de riesgo de un usuario, la actividad de inicio de sesión y mucho más. Para obtener más información, vea Resumir información de identidad con Copilot en Defender.
- Inteligencia contra amenazas de Microsoft Defender clientes ahora pueden ver los artículos de inteligencia sobre amenazas destacados más recientes en la página principal del portal de Microsoft Defender. La página del Explorador de Intel ahora también tiene un resumen de artículo que les notifica el número de nuevos artículos de TI de Defender que se publicaron desde que accedieron por última vez al portal de Defender.
- Microsoft Defender XDR se agregan permisos de RBAC unificados para enviar consultas y ver respuestas de expertos de Microsoft Defender. También puede ver las respuestas a las consultas enviadas a expertos de Defender a través de las direcciones de correo electrónico enumeradas al enviar la consulta o en el portal de Defender. Para ello, vaya a Informes>de los mensajes de expertos de Defender.
- (GA) Los paneles de contexto de búsqueda avanzada ahora están disponibles en más experiencias. Esto le permite acceder a la característica de búsqueda avanzada sin salir del flujo de trabajo actual.
- Para incidentes y alertas generados por reglas de análisis, puede seleccionar Ejecutar consulta para explorar los resultados de la regla de análisis relacionada.
- En el paso Establecer lógica de regla del Asistente para reglas de análisis, puede seleccionar Ver resultados de consulta para comprobar los resultados de la consulta que va a establecer.
- En el informe de recursos de consulta, puede ver cualquiera de las consultas seleccionando los tres puntos de la fila de consulta y seleccionando Abrir en el editor de consultas.
- En el caso de las entidades de dispositivo implicadas en incidentes o alertas, La búsqueda de Go también está disponible como una de las opciones después de seleccionar los tres puntos en el panel lateral del dispositivo.
Agosto de 2024
- (versión preliminar) Microsoft Sentinel datos ahora están disponibles con datos de Defender XDR en Microsoft Defender administración multiinquilino. Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en la plataforma de operaciones de seguridad unificada de Microsoft. Por lo tanto, Microsoft Defender administración multiinquilino muestra datos de administración de eventos e información de seguridad (SIEM) de una Microsoft Sentinel área de trabajo por inquilino. Para obtener más información, consulte Microsoft Defender administración multiinquilino y Microsoft Sentinel en el portal de Microsoft Defender.
- Para garantizar una experiencia fluida al navegar por el portal de Microsoft Defender, configure el firewall de red agregando las direcciones adecuadas a la lista de permitidos. Para obtener más información, consulte Configuración del firewall de red para Microsoft Defender XDR.
Julio de 2024
Los incidentes con alertas en los que un dispositivo en peligro se comunica con un dispositivo de tecnología operativa (OT) ahora están visibles en el portal de Microsoft Defender a través de la Microsoft Defender para la licencia de IoT y las funcionalidades de detección de dispositivos de Defender para punto de conexión. Con los datos de Defender para punto de conexión, Defender XDR correlaciona automáticamente estas nuevas alertas de OT con incidentes para proporcionar una historia de ataque completa. Para filtrar incidentes relacionados, consulte Priorización de incidentes en el portal de Microsoft Defender.
(GA) El filtrado de Microsoft Defender para las alertas en la nube por el identificador de suscripción de alerta asociado en las colas de incidentes y alertas ya está disponible con carácter general. Para obtener más información, consulte Microsoft Defender for Cloud in Microsoft Defender XDR.
(GA) La plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender está disponible con carácter general. Esta versión reúne todas las funcionalidades de Microsoft Sentinel, de Microsoft Defender XDR y Microsoft Copilot en Microsoft Defender. Para obtener más información, consulte los recursos siguientes:
Entrada de blog: Disponibilidad general de la plataforma de operaciones de seguridad unificada de Microsoft
(versión preliminar) Ahora puede personalizar las columnas de las colas incidentes y alertas en el portal de Microsoft Defender. Puede agregar, quitar y reordenar columnas para mostrar la información que necesita. Para obtener más información, consulte cómo personalizar las columnas de la cola de incidentes y la cola de alertas.
(versión preliminar) Los recursos críticos ahora forman parte de las etiquetas de las colas de incidentes y alertas. Cuando un recurso crítico está implicado en un incidente o una alerta, la etiqueta de recurso crítico se muestra en las colas. Para obtener más información, consulte etiquetas de incidentes y la cola de alertas.
(versión preliminar) Los incidentes ahora se organizan según las últimas actualizaciones automáticas o manuales realizadas a un incidente. Obtenga información sobre la última columna de hora de actualización en la cola de incidentes.
(GA) Los recursos del centro de aprendizaje se han movido del portal de Microsoft Defender a learn.microsoft.com. Acceda a Microsoft Defender XDR entrenamiento ninja, rutas de aprendizaje, módulos de entrenamiento y mucho más. Examine la lista de rutas de aprendizaje y filtre por producto, rol, nivel y asunto.
(GA) La tabla UrlClickEvents de la búsqueda avanzada ya está disponible con carácter general. Use esta tabla para obtener información sobre los clics de vínculos seguros de mensajes de correo electrónico, Microsoft Teams y Office 365 aplicaciones en aplicaciones de escritorio, móviles y web compatibles.
(GA) Ahora puede liberar o mover mensajes de correo electrónico de la cuarentena a la bandeja de entrada del usuario directamente desde Realizar acciones en la búsqueda avanzada y en detecciones personalizadas. Esto permite a los operadores de seguridad administrar los falsos positivos de forma más eficaz y sin perder contexto.
Junio de 2024
(versión preliminar) La distribución de contenido a través de grupos de inquilinos en la administración multiinquilino ya está disponible. La distribución de contenido le ayuda a administrar el contenido a escala entre inquilinos en la administración multiinquilino en Microsoft Defender XDR. En la distribución de contenido, puede crear grupos de inquilinos para copiar contenido existente, como reglas de detección personalizadas, desde el inquilino de origen a los inquilinos de destino que asigne durante la creación del grupo de inquilinos. A continuación, el contenido se ejecuta en los dispositivos o grupos de dispositivos del inquilino de destino que establezca en el ámbito del grupo de inquilinos.
(versión preliminar) Ahora puede filtrar las alertas de Microsoft Defender for Cloud por el identificador de suscripción de alerta asociado en las colas incidentes y alertas. Para obtener más información, consulte Microsoft Defender for Cloud in Microsoft Defender XDR.
(GA) Ahora puede filtrar los resultados en la búsqueda avanzada para que pueda restringir la investigación en datos específicos en los que desea centrarse.
Mayo de 2024
(versión preliminar) Los analistas de seguridad ahora pueden investigar el riesgo interno de un usuario en el portal de Microsoft Defender con la gravedad del riesgo interno y la información disponible para Microsoft Defender XDR usuarios con acceso aprovisionado a Administración de riesgos internos de Microsoft Purview. Consulte los detalles de la entidad en la página de usuario para obtener más información.
(GA) La página directivas de seguridad de punto de conexión ahora está disponible en la administración multiinquilino en Microsoft Defender XDR. Cree, edite y elimine directivas de seguridad para los dispositivos de los inquilinos desde la página Directivas de seguridad de punto de conexión . Para obtener más información, consulte Directivas de seguridad de puntos de conexión en la administración multiinquilino.
Cree reglas de optimización de alertas con los valores De gravedad de alerta y Título de alerta como condiciones. El ajuste de alertas puede ayudarle a simplificar la cola de alertas, lo que ahorra tiempo de evaluación de la evaluación de prioridades ocultando o resolviendo alertas automáticamente, cada vez que se produce un determinado comportamiento organizativo esperado y se cumplen las condiciones de regla. Para obtener más información, vea Optimizar una alerta.
(versión preliminar) Active las opciones de vista previa en la configuración principal de Microsoft 365 Defender junto con otras características de la versión preliminar de Microsoft 365 Defender. Los clientes que aún no usan características en versión preliminar seguirán viendo la configuración heredada en Configuración > Puntos de conexión Características avanzadas > Características > en versión preliminar. Para obtener más información, consulte Características de la versión preliminar de Microsoft 365 Defender.
(versión preliminar) La página optimizaciones de SOC del portal de Microsoft Defender ya está disponible con la plataforma de operaciones de seguridad unificada. Integre Microsoft Defender XDR y Microsoft Sentinel y use optimizaciones de SOC para optimizar tanto los procesos como los resultados, sin que los equipos de SOC dediquen tiempo al análisis manual y a la investigación. Para más información, vea:
(versión preliminar) La búsqueda en el portal de Microsoft Defender ahora incluye la capacidad de buscar dispositivos y usuarios en Microsoft Sentinel. Use la barra de búsqueda para buscar incidentes, alertas y otros datos en Microsoft Defender XDR y Microsoft Sentinel. Para obtener más información, vea Buscar en Microsoft Defender.
(versión preliminar) La tabla CloudAuditEvents ya está disponible en la búsqueda avanzada. Esto le permite buscar eventos de auditoría en la nube en Microsoft Defender for Cloud y crear detecciones personalizadas para exponer actividades sospechosas del plano de control de Azure Resource Manager y Kubernetes (KubeAudit).
(GA) La eliminación temporal automática de la copia del remitente cuando la eliminación temporal está seleccionada como una acción para los mensajes de correo electrónico ahora está disponible en el Asistente para realizar acciones en la búsqueda avanzada. Esta nueva característica simplifica el proceso de administración de elementos enviados, especialmente los administradores que usan las acciones Eliminar temporalmente y Mover a la bandeja de entrada . Lea Realizar acciones en los correos electrónicos para obtener más información.
(versión preliminar) Ahora puede consultar Microsoft Sentinel datos mediante la API de consulta de búsqueda avanzada. Puede usar el
timespan
parámetro para consultar Defender XDR y Microsoft Sentinel datos que tienen una retención de datos más larga que la Defender XDR valor predeterminado de 30 días.(versión preliminar) En el portal de Microsoft Defender unificado, ahora puede crear detecciones personalizadas en la consulta de datos que abarcan Microsoft Sentinel y Defender XDR tablas. Lea Creación de reglas de análisis y detección personalizadas para obtener más información.
Se han actualizado los pasos de solución de problemas para los permisos de aplicación de expertos de Microsoft Defender en Microsoft Teams.
Abril de 2024
(Versión preliminar) La plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender ya está disponible. Esta versión reúne todas las funcionalidades de Microsoft Sentinel, de Microsoft Defender XDR y Microsoft Copilot en Microsoft Defender. Para obtener más información, consulte los recursos siguientes:
(GA) Microsoft Copilot en Microsoft Defender ya está disponible con carácter general. Copilot en Defender le ayuda a investigar y responder a incidentes de forma más rápida y eficaz. Copilot proporciona respuestas guiadas, resúmenes de incidentes e informes, le ayuda a crear consultas KQL para buscar amenazas, proporcionar análisis de archivos y scripts y le permite resumir la inteligencia de amenazas pertinente y accionable.
Los clientes de Copilot en Defender ahora pueden exportar datos de incidentes a PDF. Use los datos exportados para compartir fácilmente los datos de incidentes, facilitando las conversaciones con los equipos de seguridad y otras partes interesadas. Para obtener más información, consulte Exportar datos de incidentes a PDF.
Las notificaciones en el portal de Microsoft Defender ya están disponibles. En la parte superior derecha del portal de Defender, seleccione el icono de campana para ver todas las notificaciones activas. Obtenga más información sobre las notificaciones en el portal de Microsoft Defender.
La columna
AzureResourceId
, que muestra el identificador único del recurso de Azure asociado a un dispositivo, ahora está disponible en la tabla DeviceInfo en la búsqueda avanzada.
Febrero de 2024
(GA) El modo oscuro ya está disponible en el portal de Microsoft Defender. En el portal de Defender, en la parte superior derecha de la página principal, seleccione Modo oscuro. Seleccione Modo claro para volver a cambiar el modo de color al predeterminado.
(GA) La asignación de gravedad a incidentes, la asignación de un incidente a un grupo, y la opción go hunt del gráfico de casos de ataque ya están disponibles con carácter general. Guías para aprender a asignar o cambiar la gravedad de los incidentes y asignar un incidente a un grupo se encuentran en la página Administrar incidentes. Obtenga información sobre cómo puede usar la opción go hunt explorando caso de ataque.
(Versión preliminar) ya están disponibles lasLas reglas de detección personalizadas en Microsoft Graph api de seguridad. Cree reglas de detección personalizadas de búsqueda avanzada específicas de su organización para supervisar de forma proactiva las amenazas y tomar medidas.
Advertencia
La versión de la plataforma 2024-02 produce resultados incoherentes para los clientes de control de dispositivos que usan directivas de medios extraíbles solo con acceso de nivel de disco o dispositivo (máscaras que son menores que 7). Es posible que la aplicación no funcione según lo previsto. Para mitigar este problema, se recomienda revertir a la versión anterior de la plataforma Defender.
Enero de 2024
Defender Boxed está disponible durante un período de tiempo limitado. Defender Boxed resalta los éxitos de seguridad, las mejoras y las acciones de respuesta de su organización durante 2023. Tómese un momento para celebrar las mejoras de la organización en la posición de seguridad, la respuesta general a las amenazas detectadas (manual y automática), los correos electrónicos bloqueados y mucho más.
- Defender Boxed se abre automáticamente al ir a la página Incidentes en el portal de Microsoft Defender.
- Si cierra Defender Boxed y desea volver a abrirlo, en el portal de Microsoft Defender, vaya a Incidentes, y luego seleccione Su Defender Boxed.
- ¡Actúe rápidamente! Defender Boxed solo está disponible durante un breve período de tiempo.
Los expertos de Defender para XDR ahora le permiten recibir notificaciones y actualizaciones de respuesta administradas con Teams. También puede chatear con expertos de Defender sobre incidentes en los que se emite una respuesta administrada.
(GA) La nueva funcionalidad de los filtros disponibles de la cola de incidentes ya está disponible con carácter general. Dé prioridad a los incidentes según sus filtros preferidos mediante la creación de conjuntos de filtros y el guardado de consultas de filtro. Obtenga más información sobre los filtros de cola de incidentes en Filtros disponibles.
(GA) La integración de alertas de Microsoft Defender for Cloud con Microsoft Defender XDR ya está disponible con carácter general. Obtenga más información acerca de la integración en Microsoft Defender for Cloud en Microsoft Defender XDR.
(GA) El registro de actividad ahora está disponible en una página de incidentes. Use el registro de actividad para ver todas las auditorías y comentarios, y agregue comentarios al registro de un incidente. Para obtener más información, consulte Registro de actividad.
(Versión preliminar) El historial de consultas en la de búsqueda avanzada ya está disponible. Ahora puede volver a ejecutar o refinar las consultas que ha ejecutado recientemente. Se pueden cargar hasta 30 consultas en los últimos 28 días en el panel del historial de consultas.
(Versión preliminar) Ya están disponibles características adicionales que puede usar para explorar en profundidad los resultados de la consulta en la búsqueda avanzada.
Diciembre de 2023
Control de acceso basado en rol (RBAC) unificado de Microsoft Defender XDR ya está disponible con carácter general. Unified (RBAC) permite a los administradores administrar los permisos de usuario en diferentes soluciones de seguridad desde una única ubicación centralizada. Esta oferta también está disponible para los clientes de GCC Moderate. Para obtener más información, consulte Control de acceso basado en rol (RBAC) unificado de Microsoft Defender XDR.
Los expertos de Microsoft Defender para XDR ahora le permiten excluir dispositivos de las acciones de corrección realizadas por nuestros expertos y en su lugar, obtener instrucciones de corrección para esas entidades.
La cola de incidentes del portal de Microsoft Defender ha actualizado los filtros, la búsqueda y ha agregado una nueva función en la que puede crear sus propios conjuntos de filtros. Para obtener más información, consulte Filtros disponibles.
Ahora puede asignar incidentes a un grupo de usuarios u otro usuario. Para obtener más información, consulte Asignar un incidente.
Noviembre de 2023
Los Expertos de detección de Microsoft Defender para la búsqueda ahora le permiten generar notificaciones de Expertos de detección de Defender de ejemplo para que pueda empezar a experimentar el servicio sin tener que esperar a que se produzca una actividad crítica real en su entorno. Más información
(Versión preliminar) Las alertas de Microsoft Defender for Cloud ahora están integradas en Microsoft Defender XDR. Las alertas de Defender para la nube se correlacionan automáticamente con los incidentes y las alertas del portal de Microsoft Defender y los recursos de recursos en la nube se pueden ver en las colas de incidentes y alertas. Obtenga más información acerca de la Integración de Defender para la nube en Microsoft Defender XDR.
(Versión preliminar) Ahora, Microsoft Defender XDR cuenta con tecnología integrada para proteger su entorno frente a ataques de alto impacto que usan el movimiento lateral operado por personas. Obtenga más información acerca de la característica de colección y cómo configurar la característica de colección.
Los expertos de Microsoft Defender para XDR ahora le permiten realizar su propia evaluación de preparación al preparar el entorno para el servicio Defender Experts for XDR.
Octubre de 2023
(Versión preliminar) Ahora puede recibir notificaciones por correo electrónico de acciones manuales o automatizadas realizadas en Microsoft Defender XDR. Obtenga información sobre cómo configurar notificaciones por correo electrónico para acciones de respuesta manuales o automatizadas realizadas en el portal. Para obtener más información, consulte Obtener notificaciones por correo electrónico para acciones de respuesta en Microsoft Defender XDR.
(Versión preliminar) Ya está disponible la versión preliminar de Microsoft Copilot para seguridad de Microsoft en Microsoft Defender XDR. Los usuarios de Microsoft Defender XDR pueden aprovechar las funcionalidades de Copilot de seguridad para resumir incidentes, analizar scripts y códigos, usar respuestas guiadas para resolver incidentes, generar consultas KQL y crear informes de incidentes en el portal. Seguridad de Copilot está en fase de versión preliminar por invitación. Obtenga más información sobre Seguridad de Copilot en las Preguntas frecuentes sobre el programa de acceso anticipado de Microsoft Security Copilot
Septiembre de 2023
- (versión preliminar) Las detecciones personalizadas que utilizan datos de Microsoft Defender for Identity y Microsoft Defender for Cloud Apps, concretamente las tablas
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
,IdentityQueryEvents
, y ahora se pueden ejecutar con una frecuencia casi cotinua en tiempo real (NRT).
Agosto de 2023
Ya están disponibles las guías de respuesta a la primera incidencia para nuevos usuarios. Comprenda los incidentes y aprenda a clasificar y priorizar, analice su primer incidente mediante tutoriales y vídeos, y corrija los ataques conociendo las acciones disponibles en el portal.
(versión preliminar) Administración de reglas de activos: las reglas dinámicas para dispositivos ya están en versión preliminar pública. Las reglas dinámicas pueden ayudar a administrar el contexto de los dispositivos mediante la asignación automática de etiquetas y valores de dispositivo en función de determinados criterios.
(versión preliminar) La tabla DeviceInfo de búsqueda avanzada ahora también incluye las columnas
DeviceManualTags
yDeviceDynamicTags
en versión preliminar pública para mostrar etiquetas asignadas de forma manual y dinámica relacionadas con el dispositivo que está investigando.La función Respuesta guiada de Microsoft Defender Experts para XDR ha pasado a llamarse Respuesta administrada. También hemos agregado una nueva sección de preguntas frecuentes sobre actualizaciones de incidentes.
Julio de 2023
(GA) La historia de Ataque en incidentes ya está disponible de forma general. La historia del ataque proporciona la historia completa del ataque y permite a los equipos de respuesta a incidentes ver los detalles y aplicar soluciones.
Ahora está disponible una nueva dirección URL y página de dominio en Microsoft Defender XDR. La página de URL y dominio actualizada ofrece un único lugar para ver toda la información sobre una URL o un dominio, incluida su reputación, los usuarios que hicieron clic en él, los dispositivos que accedieron a él y los correos electrónicos en los que se vio la URL o el dominio. Para obtener más información, consulte Investigar direcciones URL en Microsoft Defender XDR.
Junio de 2023
- (GA) Microsoft Defender Experts para XDR ya está disponible de forma general. Defender Experts para XDR aumenta su centro de operaciones de seguridad combinando la automatización y la experiencia de los analistas de seguridad de Microsoft, lo que le ayuda a detectar y responder a las amenazas con confianza y a mejorar su postura de seguridad. Los expertos de Microsoft Defender para XDR se venden por separado de otros productos de Microsoft Defender XDR. Si es cliente de XDR de Microsoft Defender y está interesado en comprar expertos de Defender para XDR, consulte Información general de expertos de Microsoft Defender XDR.
Mayo de 2023
(GA) El ajuste de alertas ya está disponible de forma generalizada. El ajuste de alertas le permite afinar las alertas para reducir el tiempo de investigación y centrarse en la resolución de alertas de alta prioridad. La sintonización de alertas sustituye a la función de supresión de alertas.
(GA) La interrupción automática de ataques ya está disponible de forma generalizada. Esta capacidad interrumpe automáticamente los ataques de ransomware operado por humanos (HumOR), de correo electrónico empresarial comprometido (BEC) y de adversario en el medio (AiTM).
(versión preliminar) Las funciones personalizadas ya están disponibles en la búsqueda avanzada. Ahora puede crear sus propias funciones personalizadas para poder reutilizar cualquier lógica de consulta cuando cace en su entorno.
Abril de 2023
(GA) La pestaña Activos unificados de la página Incidentes ya está disponible de forma general.
Microsoft está utilizando una nueva taxonomía de nombres basada en el tiempo para los actores de amenazas. Este nuevo esquema de nomenclatura aportará más claridad y será más fácil de consultar. Obtenga más información sobre la nueva taxonomía del actor de amenazas.
Marzo de 2023
- (Versión preliminar) Inteligencia contra amenazas de Microsoft Defender (TI de Defender) ya está disponible en el portal de Microsoft Defender.
Este cambio introduce un nuevo menú de navegación en el portal de Microsoft Defender denominado Inteligencia sobre amenazas. Más información.
(versión preliminar) Los informes completos de los dispositivos para la
DeviceInfo
tabla en búsqueda avanzada se envían ahora cada hora (en lugar de la cadencia diaria anterior). Además, los informes de dispositivo completos también se envían siempre que haya un cambio en cualquier informe anterior. También se han agregado nuevas columnas a la tablaDeviceInfo
, junto con varias mejoras de los datos existentes en las tablasDeviceInfo
y DeviceNetworkInfo.(versión preliminar) La detección personalizada casi en tiempo real ya está disponible para su versión preliminar pública en las detecciones personalizadas de búsqueda avanzada Hay una nueva frecuencia continua (NRT), que comprueba los datos de los eventos a medida que se recopilan y procesan casi en tiempo real.
(versión preliminar) Comportamientos en Microsoft Defender for Cloud Apps ya está disponible para la versión preliminar pública. Los clientes de la versión preliminar ahora también pueden buscar comportamientos en la búsqueda avanzada mediante las tablas BehaviorEntities y BehaviorInfo.
Febrero de 2023
(GA) El informe de recursos de consulta en la búsqueda avanzada ya está disponible de forma general.
(versión preliminar) La funcionalidad de interrupción automática de ataques ahora interrumpe el compromiso del correo electrónico empresarial (BEC).
Enero de 2023
Ya está disponible la nueva versión del informe de Expertos de Microsoft Defender para la búsqueda. La nueva interfaz del informe permite ahora a los clientes disponer de más detalles contextuales sobre las actividades sospechosas que los Expertos de Defender han observado en sus entornos. También muestra qué actividades sospechosas han seguido una tendencia continua de un mes a otro. Para obtener más información, Consulte Comprender el informe de Expertos de Defender para la búsqueda en Microsoft Defender XDR.
(GA) La Respuesta inmediata ya está disponible para macOS y Linux.
(GA) La escala de tiempo de identidad ya está disponible de forma general como parte de la nueva página de Identidad en Microsoft Defender XDR. La página de usuario actualizada tiene un nuevo aspecto, una vista ampliada de los activos relacionados y una nueva pestaña dedicada a la escala de tiempo. La escala de tiempo representa las actividades y alertas de los últimos 30 días. Unifica las entradas de identidad de un usuario en todas las cargas de trabajo disponibles: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión. El uso de la escala de tiempo le ayuda a centrarse fácilmente en las actividades de un usuario (o en las actividades realizadas sobre él) en periodos de tiempo específicos.
Diciembre de 2022
- (Versión preliminar) El nuevo modelo de control de acceso basado en roles (RBAC) de Microsoft Defender XDR ya está disponible en versión preliminar. El nuevo modelo RBAC permite a los administradores de seguridad administrar de forma centralizada los privilegios a través de múltiples soluciones de seguridad dentro de un único sistema con una mayor eficiencia, actualmente compatible con Microsoft Defender para Punto de conexión, Microsoft Defender para Office 365 y Microsoft Defender for Identity. El nuevo modelo es totalmente compatible con los modelos RBAC individuales existentes admitidos actualmente de Microsoft Defender XDR. Para obtener más información, consulte Control de acceso basado en rol (RBAC) de Microsoft Defender XDR.
Noviembre de 2022
(versión preliminar) Expertos de Microsoft Defender para XDR (Expertos de Defender para XDR) ya está disponible en versión preliminar. Expertos de Defender para XDR es un servicio administrado de detección y respuesta que ayuda a sus centros de operaciones de seguridad (SOC) a centrarse y responder con precisión a los incidentes que importan. Proporciona detección y respuesta extendidas para los clientes que usan cargas de trabajo Microsoft Defender XDR: Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Azure Active Directory (Azure AD). Para más detalles, consulte Expertos de Microsoft Defender para la versión preliminar expandida de XDR.
(versión preliminar) El informe de recursos de consulta ya está disponible en la búsqueda avanzada El informe muestra el consumo de recursos de CPU de su organización para la búsqueda basado en las consultas que se ejecutaron en los últimos 30 días utilizando cualquiera de las interfaces de búsqueda. Consulte el informe Ver recursos de consulta para encontrar consultas ineficaces.
Octubre de 2022
- (versión preliminar) La nueva funcionalidad de interrupción automática de ataques ya está en versión preliminar. Esta funcionalidad combina los conocimientos de la investigación sobre seguridad y los avances de los modelos de IA para contener automáticamente los ataques en curso. La interrupción automática de ataques también proporciona más tiempo a los centros de operaciones de seguridad (SOC) para remediar completamente un ataque y limita el impacto de un ataque en las organizaciones. Esta versión preliminar interrumpe automáticamente los ataques de ransomware.
Agosto de 2022
(GA) Expertos de Microsoft Defender para la búsqueda ya está disponible de forma general. Si es cliente de Microsoft Defender XDR con un centro de operaciones de seguridad sólido, pero quiere que Microsoft le ayude a buscar amenazas de forma proactiva entre puntos de conexión, Office 365, aplicaciones en la nube e identidad con datos de Microsoft Defender, obtenga más información acerca de cómo aplicar, configurar y usar el servicio. Los Expertos en Defender para la búsqueda se venden por separado de otros productos Microsoft Defender XDR.
(versión preliminar) El modo guiado ya está disponible para su versión preliminar pública en la búsqueda avanzada. Los analistas ya pueden comenzar a consultar en su base de datos los datos de puntos de conexión, identidades, correo electrónico y colaboración, y aplicaciones en la nube Sin necesidad de conocer Kusto Query Language (KQL). El modo guiado presenta un estilo de construcción de bloques amigable y fácil de usar para crear consultas a través de menús desplegables que contienen filtros y condiciones disponibles. Consulte Introducción al creador de consultas.
Julio de 2022
- (Versión preliminar) Los participantes de la versión preliminar pública de Expertos de detección de Microsoft Defender para la búsqueda ahora pueden esperar recibir informes mensuales para ayudarles a comprender las amenazas que el servicio de búsqueda ha expuesto en su entorno, junto con las alertas generadas por sus productos de Microsoft Defender XDR. Para obtener más información, consulte Comprender el informe de Expertos en búsqueda de Defender en Microsoft Defender XDR.
Junio de 2022
(versión preliminar) Las tablas DeviceTvmInfoGathering y DeviceTvmInfoGatheringKB ya están disponibles en el esquema de búsqueda avanzada. Utilice estas tablas para buscar eventos de evaluación en Administración de vulnerabilidades de Defender, incluido el estado de varias configuraciones y los estados de superficie de ataque de los dispositivos.
La tarjeta de investigación automatizada y respuesta recientemente introducida en el portal de Microsoft Defender proporciona una información general sobre las acciones de corrección pendientes.
El equipo de operaciones de seguridad puede ver todas las acciones pendientes de aprobación y el tiempo estipulado para aprobar dichas acciones en la propia tarjeta. El equipo de seguridad puede navegar rápidamente al Centro de Acción y tomar las medidas de corrección adecuadas. La tarjeta investigación automatizada y respuesta también tiene un vínculo a la página Automatización completa. De este modo, el equipo de operaciones de seguridad puede administrar eficazmente las alertas y completar a tiempo las medidas correctoras.
Mayo de 2022
- (versión preliminar) En línea con la recientemente anunciada expansión a una nueva categoría de servicios denominada Expertos en seguridad de Microsoft, presentamos la disponibilidad de Expertos de Microsoft Defender para la búsqueda (Expertos de Defender para la búsqueda) para la versión preliminar pública. Expertos de Defender para la búsqueda es para clientes que tienen un sólido centro de operaciones de seguridad, pero quieren que Microsoft les ayude a buscar amenazas de forma proactiva en Microsoft Defender datos, incluidos puntos de conexión, Office 365, aplicaciones en la nube e identidad.
Abril de 2022
(versión preliminar) Ahora se pueden realizar acciones en los mensajes de correo electrónico directamente desde los resultados de la consulta de búsqueda. Los correos electrónicos pueden moverse a otras carpetas o eliminarse definitivamente.
(versión preliminar) La nueva
UrlClickEvents
tabla de búsqueda avanzada se puede utilizar para buscar amenazas como campañas de suplantación de identidad y vínculos sospechosos basándose en la información procedente de los clics de Vínculos seguros en mensajes de correo electrónico, Microsoft Teams y aplicaciones de Office 365.
Marzo de 2022
- (versión preliminar) La cola de incidentes se ha mejorado con varias funciones diseñadas para ayudarle en sus investigaciones. Las mejoras incluyen funciones como la posibilidad de buscar incidentes por ID o nombre, especificar un intervalo de tiempo personalizado y otras.
Diciembre de 2021
- (GA) La tabla
DeviceTvmSoftwareEvidenceBeta
se agregó a corto plazo en la búsqueda avanzada para permitirle ver pruebas de dónde se detectó un software específico en un dispositivo.
Noviembre de 2021
(Versión preliminar) La característica de complemento de gobernanza de aplicaciones de Defender para aplicaciones en la nube ya está disponible en Microsoft Defender XDR. El gobierno de aplicaciones proporciona una capacidad de administración de directivas y seguridad diseñada para aplicaciones habilitadas para OAuth que acceden a datos de Microsoft 365 a través de las API de Microsoft Graph. La gobernanza de aplicaciones ofrece visibilidad, corrección y gobernanza completas sobre cómo estas aplicaciones y sus usuarios acceden, usan y comparten sus datos confidenciales almacenados en Microsoft 365 a través de información útil, y alertas y acciones de directivas automatizadas. Obtenga más información sobre la gobernanza de las aplicaciones.
(versión preliminar) La página de búsqueda avanzada ahora admite varias pestañas, desplazamiento inteligente, pestañas de esquema simplificadas, opciones de edición rápida de consultas, un indicador de uso de recursos de consulta y otras mejoras para que las consultas sean más fluidas y fáciles de ajustar.
(versión preliminar) Ahora puede usar el vínculo a la característica de incidente para incluir eventos o registros de los resultados de la consulta de búsqueda avanzada directamente en un incidente nuevo o existente que está investigando.
Octubre de 2021
- (GA) En la búsqueda avanzada, se han agregado más columnas en la tabla CloudAppEvents. Ahora puede incluir
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
yUserAgentTags
en las consultas.
Septiembre de 2021
(GA) Los datos de eventos de Microsoft Defender para Office 365 están disponibles en la API de streaming de eventos de Microsoft Defender XDR. Puede ver la disponibilidad y el estado de los tipos de evento en los Tipos de eventos de Microsoft Defender XDR admitidos en la API de streaming.
(GA) Los datos de Microsoft Defender para Office 365 disponibles en la búsqueda avanzada ya están disponibles de forma general.
(GA) Asignar incidentes y alertas a cuentas de usuario
Puede asignar un incidente, y todas las alertas asociadas a él, a una cuenta de usuario desde Asignar a: en el panel Administrar incidente de un incidente o en el panel Administrar alerta de una alerta.
Agosto de 2021
(versión preliminar) Datos de Microsoft Defender para Office 365 disponibles en la búsqueda avanzada
Las nuevas columnas de las tablas de correo electrónico pueden proporcionar más información sobre las amenazas basadas en el correo electrónico para realizar investigaciones más exhaustivas mediante la búsqueda avanzada. Ahora puede incluir la columna
AuthenticationDetails
en las tablas EmailEvents,FileSize
en EmailAttachmentInfo,ThreatTypes
yDetectionMethods
en EmailPostDeliveryEvents.(versión preliminar) Gráfico de incidentes
Una nueva pestaña Gráfico en la pestaña Resumen de un incidente muestra el alcance completo del ataque, cómo se propagó por su red a lo largo del tiempo, dónde empezó y hasta dónde llegó el atacante.
Julio de 2021
Catálogo de servicios profesionales
Mejore las capacidades de detección, investigación e inteligencia de amenazas de la plataforma con conexiones de socios compatibles.
Junio de 2021
(versión preliminar) Ver informes por etiquetas de amenaza
Las etiquetas de amenazas le ayudan a centrarse en categorías de amenazas específicas y a revisar los informes más relevantes.
(versión preliminar) API de streaming
Microsoft Defender XDR admite el streaming de todos los eventos disponibles mediante Advanced Hunting a una cuenta de almacenamiento Event Hubs y/o Azure.
(versión preliminar) Tomar medidas en la búsqueda avanzada
Contenga rápidamente las amenazas o haga frente a los activos comprometidos que encuentre en la búsqueda avanzada
(versión preliminar) Referencia del esquema en el portal
Obtenga información sobre las tablas del esquema de búsqueda avanzada directamente en el centro de seguridad. Además de las descripciones de tablas y columnas, esta referencia incluye los tipos de eventos (
ActionType
valores) admitidos y ejemplos de consultas.(versión preliminar) Función DeviceFromIP()
Obtenga información sobre qué dispositivos tienen asignada una o varias direcciones IP específicas en un intervalo de tiempo determinado.
Mayo de 2021
Nueva página de alertas en el portal de Microsoft Defender
Proporciona información mejorada para el contexto en un ataque. Puede ver qué otra alerta desencadenada provocó la alerta actual y todas las entidades y actividades afectadas implicadas en el ataque, incluidos archivos, usuarios y buzones. Consulte Investigar alertas para obtener más información.
Gráfico de tendencias para incidentes y alertas en el portal de Microsoft Defender
Determine si hay varias alertas para un solo incidente o que su organización está siendo atacada con varios incidentes diferentes. Consulte Priorización de incidentes para obtener más información.
Abril de 2021
Microsoft Defender XDR
Ya está disponible el portal mejorado de Microsoft Defender XDR. Esta nueva experiencia reúne Defender para Puntos de conexión, Defender para Office 365, Defender for Identity y mucho más en un único portal. Este es el nuevo inicio para administrar sus controles de seguridad. Ver las novedades.
Informe de análisis de amenazas de Microsoft Defender XDR
El análisis de amenazas le ayuda a responder y minimizar el impacto de los ataques activos. También puede obtener información acerca de los intentos de ataque bloqueados por las soluciones de Microsoft Defender XDR y tomar medidas preventivas que mitiguen el riesgo de exposición adicional y aumenten la resistencia. Como parte de la experiencia de seguridad unificada, el análisis de amenazas ya está disponible para los titulares de licencias de Microsoft Defender para Puntos de conexión y Microsoft Defender para Office E5.
Marzo de 2021
-
Encuentre información sobre eventos en varias aplicaciones y servicios en la nube cubiertos por Microsoft Defender for Cloud Apps. Esta tabla también incluye información disponible anteriormente en la tabla
AppFileEvents
.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.