Nouveautés de Microsoft Defender XDR
Répertorie les nouvelles fonctionnalités de Microsoft Defender XDR.
Pour plus d’informations sur les nouveautés des autres produits de sécurité Microsoft Defender et Microsoft Sentinel, consultez :
- Nouveautés de Microsoft Defender pour Office 365
- Nouveautés dans Microsoft Defender pour point de terminaison
- Nouveautés de Microsoft Defender pour l’identité
- Nouveautés de Microsoft Defender for Cloud Apps
- Quoi de neuf dans Microsoft Sentinel
Vous pouvez également obtenir des mises à jour de produit et des notifications importantes via le Centre de messages.
Novembre 2024
- (Préversion) Les chemins d’attaque dans le graphique des incidents sont désormais disponibles dans le portail Microsoft Defender. L’histoire des attaques inclut désormais des chemins d’attaque potentiels qui montrent les chemins que les attaquants peuvent potentiellement emprunter après avoir compromis un appareil. Cette fonctionnalité vous aide à hiérarchiser vos efforts de réponse. Pour plus d’informations, consultez les chemins d’attaque dans l’article sur les attaques.
- (Préversion) Microsoft Defender XDR clients peuvent désormais exporter les données d’incident au format PDF. Utilisez les données exportées pour capturer et partager facilement des données d’incident avec d’autres parties prenantes. Pour plus d’informations, consultez Exporter les données d’incident au format PDF.
- (GA) La colonne d’heure de la dernière mise à jour dans la file d’attente des incidents est désormais en disponibilité générale.
- (Préversion) Les actions d’investigation et de réponse natives cloud sont désormais disponibles pour les alertes liées aux conteneurs dans le portail Microsoft Defender. Les analystes du centre des opérations de sécurité (SOC) peuvent désormais examiner et répondre aux alertes liées aux conteneurs en quasi-temps réel avec des actions de réponse natives cloud et des journaux d’investigation pour rechercher les activités associées. Pour plus d’informations, consultez Examiner et répondre aux menaces de conteneur dans le portail Microsoft Defender.
- (GA) L’opérateur
arg()
de repérage avancé dans Microsoft Defender portail est désormais en disponibilité générale. Les utilisateurs peuvent désormais utiliser l’opérateur arg() pour les requêtes Azure Resource Graph pour effectuer des recherches sur les ressources Azure et n’ont plus besoin d’accéder à Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur s’ils sont déjà dans Microsoft Defender. - (Préversion) La table CloudProcessEvents est désormais disponible en préversion dans la chasse avancée. Il contient des informations sur les événements de processus dans les environnements hébergés multicloud. Vous pouvez l’utiliser pour découvrir les menaces qui peuvent être observées via les détails du processus, comme les processus malveillants ou les signatures de ligne de commande.
- (Préversion) La migration des requêtes de détection personnalisées vers la fréquence continue (quasiment en temps réel ou NRT) est désormais disponible en préversion dans la chasse avancée. L’utilisation de la fréquence continue (NRT) augmente la capacité de votre organization à identifier les menaces plus rapidement. Elle a un impact minime ou nul sur l’utilisation de vos ressources et doit donc être prise en compte pour toute règle de détection personnalisée qualifiée dans votre organization. Vous pouvez migrer des requêtes KQL compatibles en suivant les étapes décrites dans Fréquence continue (NRT).
Octobre 2024
- Les rôles RBAC unifiés Microsoft sont ajoutés avec de nouveaux niveaux d’autorisation permettant aux clients Spécialistes des menaces Microsoft d’utiliser la fonctionnalité Demander aux experts Defender.
- (Préversion) Dans la chasse avancée, Microsoft Defender utilisateurs du portail peuvent désormais utiliser l’opérateur arg() pour les requêtes Azure Resource Graph afin de rechercher des ressources Azure. Vous n’avez plus besoin d’accéder à Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.
Septembre 2024
- (GA) La recherche globale des entités dans le portail Microsoft Defender est désormais en disponibilité générale. La page des résultats de la recherche améliorée centralise les résultats de toutes les entités. Pour plus d’informations, consultez Recherche globale dans le portail Microsoft Defender.
- (GA) Copilot dans Defender inclut désormais la fonctionnalité de synthèse d’identité, qui fournit des insights instantanés sur le niveau de risque d’un utilisateur, l’activité de connexion et bien plus encore. Pour plus d’informations, consultez Résumer les informations d’identité avec Copilot dans Defender.
- Microsoft Defender Threat Intelligence clients peuvent désormais consulter les derniers articles de renseignement sur les menaces proposés dans la page d’accueil du portail Microsoft Defender. La page De l’Explorateur Intel contient désormais également un résumé d’article qui les informe du nombre de nouveaux articles Defender TI publiés depuis leur dernier accès au portail Defender.
- Microsoft Defender XDR des autorisations RBAC unifiées sont ajoutées pour envoyer des demandes de renseignements et afficher les réponses des experts Microsoft Defender. Vous pouvez également afficher les réponses aux demandes de renseignements envoyées aux experts Defender via vos adresses e-mail répertoriées lors de l’envoi de votre demande ou dans le portail Defender en accédant aux messages rapports>Defender Experts.
- (GA) Les volets de contexte de chasse avancés sont désormais disponibles dans d’autres expériences. Cela vous permet d’accéder à la fonctionnalité de chasse avancée sans quitter votre workflow actuel.
- Pour les incidents et les alertes générés par les règles d’analyse, vous pouvez sélectionner Exécuter la requête pour explorer les résultats de la règle d’analyse associée.
- Dans l’étape logique Définir la règle de l’Assistant Règle d’analyse, vous pouvez sélectionner Afficher les résultats de la requête pour vérifier les résultats de la requête que vous êtes sur le point de définir.
- Dans le rapport des ressources de requête, vous pouvez afficher l’une des requêtes en sélectionnant les trois points sur la ligne de requête et en sélectionnant Ouvrir dans l’éditeur de requête.
- Pour les entités d’appareil impliquées dans des incidents ou des alertes, la recherche Go est également disponible en tant qu’une des options après avoir sélectionné les trois points dans le panneau latéral de l’appareil.
Août 2024
- (Préversion) Microsoft Sentinel données sont désormais disponibles avec les données Defender XDR dans Microsoft Defender gestion multilocataire. Un seul espace de travail Microsoft Sentinel par locataire est actuellement pris en charge dans la plateforme d’opérations de sécurité unifiée de Microsoft. Ainsi, Microsoft Defender gestion multilocataire affiche les données SIEM (Security Information and Event Management) à partir d’un espace de travail Microsoft Sentinel par locataire. Pour plus d’informations, consultez Microsoft Defender gestion multilocataire et Microsoft Sentinel dans le portail Microsoft Defender.
- Pour garantir une expérience fluide lors de la navigation dans le portail Microsoft Defender, configurez votre pare-feu réseau en ajoutant les adresses appropriées à votre liste verte. Pour plus d’informations, consultez Configuration du pare-feu réseau pour Microsoft Defender XDR.
Juillet 2024
Les incidents avec des alertes où un appareil compromis communique avec un appareil de technologie opérationnelle (OT) sont désormais visibles dans le portail Microsoft Defender via la licence Microsoft Defender pour IoT et les fonctionnalités de découverte d’appareils de Defender pour point de terminaison. À l’aide des données defender pour point de terminaison, Defender XDR met automatiquement en corrélation ces nouvelles alertes OT aux incidents afin de fournir un article complet sur les attaques. Pour filtrer les incidents associés, consultez Hiérarchiser les incidents dans le portail Microsoft Defender.
(GA) Le filtrage des Microsoft Defender pour les alertes cloud par l’ID d’abonnement d’alerte associé dans les files d’attente Incidents et Alertes est désormais en disponibilité générale. Pour plus d’informations, consultez Microsoft Defender pour le cloud dans Microsoft Defender XDR.
(GA) La plateforme d’opérations de sécurité unifiée microsoft dans le portail Microsoft Defender est en disponibilité générale. Cette version regroupe toutes les fonctionnalités de Microsoft Sentinel, de Microsoft Defender XDR et de Microsoft Copilot dans Microsoft Defender. Pour plus d’informations, consultez les ressources suivantes :
Billet de blog : Disponibilité générale de la plateforme d’opérations de sécurité unifiée Microsoft
(Préversion) Vous pouvez désormais personnaliser les colonnes dans les files d’attente Incidents et Alertes dans le portail Microsoft Defender. Vous pouvez ajouter, supprimer, réorganiser des colonnes pour afficher les informations dont vous avez besoin. Pour plus d’informations, consultez comment personnaliser les colonnes dans la file d’attente d’incidents et la file d’attente d’alerte.
(Préversion) Les ressources critiques font désormais partie des balises dans les files d’attente d’incident et d’alerte. Lorsqu’une ressource critique est impliquée dans un incident ou une alerte, la balise de ressource critique s’affiche dans les files d’attente. Pour plus d’informations, consultez Balises d’incident et file d’attente d’alerte.
(Préversion) Les incidents sont désormais organisés en fonction des dernières mises à jour automatiques ou manuelles apportées à un incident. En savoir plus sur la colonne heure de la dernière mise à jour dans la file d’attente des incidents.
(GA) Les ressources du hub d’apprentissage ont été déplacées du portail Microsoft Defender vers learn.microsoft.com. Accédez Microsoft Defender XDR formation Ninja, aux parcours d’apprentissage, aux modules de formation et bien plus encore. Parcourez la liste des parcours d’apprentissage et filtrez par produit, rôle, niveau et sujet.
(GA) La table UrlClickEvents dans la chasse avancée est désormais en disponibilité générale. Utilisez ce tableau pour obtenir des informations sur les clics de liens fiables à partir de messages électroniques, de Microsoft Teams et d’applications Office 365 dans les applications de bureau, mobiles et web prises en charge.
(GA) Vous pouvez désormais libérer ou déplacer les messages électroniques de la mise en quarantaine vers la boîte de réception de l’utilisateur directement à partir de Effectuer des actions dans la chasse avancée et dans les détections personnalisées. Cela permet aux opérateurs de sécurité de gérer les faux positifs plus efficacement et sans perdre de contexte.
Juin 2024
(Préversion) La distribution de contenu via des groupes de locataires dans la gestion multilocataire est désormais disponible. La distribution de contenu vous permet de gérer le contenu à grande échelle entre les locataires dans la gestion multilocataire dans Microsoft Defender XDR. Dans la distribution de contenu, vous pouvez créer des groupes de locataires pour copier le contenu existant, comme les règles de détection personnalisées, du locataire source vers les locataires cibles que vous affectez lors de la création du groupe de locataires. Le contenu s’exécute ensuite sur les appareils ou groupes d’appareils du locataire cible que vous définissez dans l’étendue du groupe de locataires.
(Préversion) Vous pouvez désormais filtrer votre Microsoft Defender pour les alertes cloud en fonction de l’ID d’abonnement d’alerte associé dans les files d’attente Incidents et Alertes. Pour plus d’informations, consultez Microsoft Defender pour le cloud dans Microsoft Defender XDR.
(GA) Vous pouvez désormais filtrer vos résultats dans la chasse avancée afin de pouvoir affiner votre investigation sur des données spécifiques sur lesquelles vous souhaitez vous concentrer.
Mai 2024
(Préversion) Les analystes de sécurité peuvent désormais examiner le risque interne d’un utilisateur dans le portail Microsoft Defender avec la gravité des risques internes et les insights disponibles pour Microsoft Defender XDR utilisateurs disposant d’un accès provisionné à Gestion des risques internes Microsoft Purview. Pour plus d’informations, consultez les détails de l’entité dans la page utilisateur .
(GA) La page stratégies de sécurité de point de terminaison est désormais disponible dans la gestion multilocataire dans Microsoft Defender XDR. Créez, modifiez et supprimez des stratégies de sécurité pour les appareils de vos locataires à partir de la page Stratégies de sécurité des points de terminaison. Pour plus d’informations, consultez Stratégies de sécurité de point de terminaison dans la gestion multilocataire.
Créez des règles de réglage des alertes à l’aide de la gravité de l’alerte et des valeurs de titre d’alerte comme conditions. Le réglage des alertes peut vous aider à rationaliser la file d’attente des alertes, ce qui permet d’économiser le temps de triage en masquant ou en résolvant automatiquement les alertes, chaque fois qu’un certain comportement organisationnel attendu se produit et que les conditions de règle sont remplies. Pour plus d’informations, consultez Régler une alerte.
(Préversion) Activez les options d’aperçu dans le main paramètres Microsoft 365 Defender avec d’autres fonctionnalités de la préversion de Microsoft 365 Defender. Les clients qui n’utilisent pas encore les fonctionnalités en préversion continueront à voir les paramètres hérités sous Paramètres > Points de terminaison Fonctionnalités > avancées > Fonctionnalités en préversion. Pour plus d’informations, consultez Fonctionnalités de Microsoft 365 Defender en préversion.
(Préversion) La page Optimisations SOC du portail Microsoft Defender est désormais disponible avec la plateforme unifiée des opérations de sécurité. Intégrez Microsoft Defender XDR et Microsoft Sentinel et utilisez les optimisations SOC pour optimiser les processus et les résultats, sans que vos équipes SOC consacrent du temps à l’analyse et à la recherche manuelles. Pour plus d’informations, reportez-vous aux rubriques suivantes :
(Préversion) La recherche dans le portail Microsoft Defender permet désormais de rechercher des appareils et des utilisateurs dans Microsoft Sentinel. Utilisez la barre de recherche pour rechercher des incidents, des alertes et d’autres données sur Microsoft Defender XDR et Microsoft Sentinel. Pour plus d’informations, consultez Rechercher dans Microsoft Defender.
(Préversion) La table CloudAuditEvents est désormais disponible dans la chasse avancée. Cela vous permet de parcourir les événements d’audit cloud dans Microsoft Defender pour le cloud et de créer des détections personnalisées pour détecter les activités suspectes du plan de contrôle Azure Resource Manager et Kubernetes (KubeAudit).
(GA) La suppression réversible automatique de la copie de l’expéditeur lorsque la suppression réversible est sélectionnée en tant qu’action pour les messages électroniques est désormais disponible dans l’Assistant Effectuer des actions dans la chasse avancée. Cette nouvelle fonctionnalité simplifie le processus de gestion des éléments envoyés, en particulier les administrateurs qui utilisent les actions Suppression réversible et Déplacer vers la boîte de réception . Pour plus d’informations, consultez Effectuer des actions sur les e-mails .
(Préversion) Vous pouvez désormais interroger Microsoft Sentinel données à l’aide de l’API de requête de repérage avancée. Vous pouvez utiliser le
timespan
paramètre pour interroger Defender XDR et Microsoft Sentinel données dont la conservation des données est plus longue que la valeur par défaut Defender XDR de 30 jours.(Préversion) Dans le portail de Microsoft Defender unifié, vous pouvez désormais créer des détections personnalisées dans l’interrogation des données qui s’étendent sur des tables Microsoft Sentinel et Defender XDR. Pour plus d’informations, consultez Créer des règles d’analyse et de détection personnalisées .
Avril 2024
(Aperçu) La plateforme d'opérations de sécurité unifiée dans le portail Microsoft Defender est désormais disponible. Cette version regroupe toutes les fonctionnalités de Microsoft Sentinel, de Microsoft Defender XDR et de Microsoft Copilot dans Microsoft Defender. Pour plus d’informations, consultez les ressources suivantes :
(GA) Microsoft Copilot dans Microsoft Defender est désormais en disponibilité générale. Copilot dans Defender vous aide à examiner les incidents et à y répondre plus rapidement et plus efficacement. Copilot fournit des réponses guidées, des résumés d’incidents et des rapports, vous aide à créer des requêtes KQL pour rechercher les menaces, à fournir des analyses de fichiers et de scripts, et à résumer les informations pertinentes et exploitables sur les menaces.
Les clients Copilot dans Defender peuvent désormais exporter les données d’incident au format PDF. Utilisez les données exportées pour partager facilement les données d’incident, facilitant ainsi les discussions avec vos équipes de sécurité et d’autres parties prenantes. Pour plus d’informations, consultez Exporter les données d’incident au format PDF.
Les notifications sur le portail Microsoft Defender sont désormais disponibles. En haut à droite du portail Defender, sélectionnez l’icône en forme de cloche pour afficher toutes vos notifications actives. En savoir plus sur les notifications dans le portail Microsoft Defender.
La colonne
AzureResourceId
, qui affiche l’identificateur unique de la ressource Azure associée à un appareil, est désormais disponible dans la table DeviceInfo dans le repérage avancé.
Février 2024
(GA) Le mode sombre est désormais disponible sur le portail Microsoft Defender. Dans le portail Defender, en haut à droite de la page d’accueil, sélectionnez mode Sombre. Sélectionnez mode Clair pour rétablir le mode couleur par défaut.
(GA) L’affectation de la gravité aux incidents, l’affectation d’un incident à un groupeet l’option go hunt du graphique des récits d’attaques sont désormais généralement disponibles. Des guides pour découvrir comment affecter ou modifier la gravité de l’incident et affecter un incident à un groupe se trouvent dans la page Gérer les incidents . Découvrez comment utiliser l’option go hunt en explorant récit d’attaque.
(Préversion) des règles de détection personnalisées dans Microsoft Graph d’API de sécurité sont désormais disponibles. Créez des règles de détection personnalisée de repérage avancées spécifiques à votre organisation pour surveiller de manière proactive les menaces et prendre des mesures.
Avertissement
La version de la plateforme 2024-02 entraîne des résultats incohérents pour les clients de contrôle d’appareil utilisant des stratégies de média amovibles avec accès au niveau du disque/de l’appareil uniquement (masques inférieurs à 7). L’application peut ne pas fonctionner comme prévu. Pour atténuer ce problème, il est recommandé de revenir à la version précédente de la plateforme Defender.
Janvier 2024
Defender Boxed est disponible pendant une période limitée. Defender Boxed met en évidence les réussites en matière de sécurité, les améliorations et les actions de réponse de votre organisation en 2023. Prenez un moment pour marquer les améliorations apportées à la posture de sécurité de votre organisation, la réponse globale aux menaces détectées (manuelles et automatiques), les e-mails bloqués, etc.
- Defender Boxed s’ouvre automatiquement lorsque vous accédez à la page Incidents du portail Microsoft Defender.
- Si vous fermez Defender Boxed et souhaitez le rouvrir, dans le portail Microsoft Defender, accédez à Incidents, puis sélectionnez Votre défenseur en boîte.
- Agissez rapidement ! Defender Boxed est disponible uniquement pendant une courte période.
Defender Experts pour XDR vous permet désormais de recevoir des notifications de réponse gérée et des mises à jour à l’aide de Teams. Vous pouvez également discuter avec les experts Defender concernant les incidents où une réponse gérée est émise.
(GA) Une nouvelle fonctionnalité dans les filtres disponibles de la file d’attente des incidents est désormais généralement disponible. Hiérarchisez les incidents en fonction de vos filtres préférés en créant des ensembles de filtres et en enregistrant les requêtes de filtre. En savoir plus sur les filtres de file d’attente des incidents dans Filtres disponibles.
(GA) L’intégration des alertes Microsoft Defender pour le cloud à Microsoft Defender XDR est désormais en disponibilité générale. Apprenez-en davantage sur l’intégration de Microsoft Defender pour le cloud dans Microsoft Defender XDR.
(GA) Le journal d'activité est désormais disponible dans une page d'incident. Utilisez le journal d’activité pour afficher tous les audits et commentaires, et ajoutez des commentaires au journal d’un incident. Pour plus d’informations, consultez journal d’activité.
(Aperçu) L'historique des requêtes dans la recherche avancée est désormais disponible. Vous pouvez maintenant réexécuter ou affiner les requêtes que vous avez exécutées récemment. Jusqu’à 30 requêtes au cours des 28 derniers jours peuvent être chargées dans le volet historique des requêtes.
(Aperçu) Des fonctionnalités supplémentaires que vous pouvez utiliser pour approfondir les résultats de votre requête dans la recherche avancée sont désormais disponibles.
Décembre 2023
Le contrôle d’accès basé sur les rôles (RBAC) unifié Microsoft Defender XDR est désormais disponible pour tous. Unified (RBAC) permet aux administrateurs de gérer les autorisations utilisateur sur différentes solutions de sécurité à partir d’un emplacement centralisé unique. Cette offre est également disponible pour les clients GCC Moderate. Pour en savoir plus, consultez Contrôle d'accès unifié en fonction du rôle (RBAC) Microsoft Defender XDR.
Microsoft Defender Experts pour XDR vous permet désormais d’exclure des appareils des actions correctives prises par nos experts et d’obtenir à la place des conseils de correction pour ces entités.
La file d’attente des incidents du portail Microsoft Defender a mis à jour les filtres, la recherche et ajouté une nouvelle fonction dans laquelle vous pouvez créer vos propres jeux de filtres. Pour plus d’informations, consultez Filtres disponibles.
Vous pouvez désormais affecter des incidents à un groupe d’utilisateurs ou à un autre utilisateur. Pour plus d’informations, consultez Affecter un incident.
Novembre 2023
Microsoft Defender Experts for Hunting vous permet désormais de générer des exemples de notifications d’experts Defender afin de pouvoir commencer à rencontrer le service sans avoir à attendre qu’une activité critique réelle se produise dans votre environnement. En savoir plus
(Préversion) Les alertes Microsoft Defender pour le cloud sont désormais intégrées à Microsoft Defender XDR. Les alertes Defender pour cloud sont automatiquement corrélées aux incidents et les alertes dans le portail Microsoft Defender et les ressources de ressources cloud peuvent être affichées dans les files d’attente d’incidents et d’alertes. Apprenez-en davantage sur l’intégration de Defender pour Cloud dans Microsoft Defender XDR.
(Préversion) Microsoft Defender XDR intègre désormais technologie d’exception pour protéger votre environnement contre les attaques à fort impact qui utilisent le mouvement latéral géré par l’homme. En savoir plus sur la fonctionnalité d’exception et sur la façon de configurer la fonctionnalité d’exception.
Microsoft Defender Experts pour XDR vous permet désormais d’effectuer votre propre évaluation de préparation lors de la préparation de l’environnement pour le service Defender Experts pour XDR.
Octobre 2023
(Préversion) Vous pouvez désormais recevoir des notifications par e-mail pour les actions manuelles ou automatisées effectuées dans Microsoft Defender XDR. Découvrez comment configurer des notifications par e-mail pour les actions de réponse manuelles ou automatisées effectuées dans le portail. Pour plus d’informations, consultez Recevoir des notifications par e-mail pour les actions de réponse dans Microsoft Defender XDR.
(Aperçu) Microsoft Copilot pour la sécurité dans Microsoft Defender XDR est désormais en aperçu. Les utilisateurs de Microsoft Defender XDR peuvent tirer parti des fonctionnalités de Security Copilot pour résumer les incidents, analyser les scripts et les codes, utiliser des réponses guidées pour résoudre les incidents, générer des requêtes KQL et créer des rapports d’incidents dans le portail. Sécurité Copilot est disponible en préversion sur invitation uniquement. Pour en savoir plus sur Sécurité Copilot, consultez le forum aux questions sur le programme d’accès anticipé de la sécurité Microsoft Copilot.
Septembre 2023
- (Préversion) Les détections personnalisées à l’aide des données de Microsoft Defender pour l’identité et de Microsoft Defender for Cloud Apps, en particulier les valeurs
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
, et lesIdentityQueryEvents
tables peuvent désormais être exécutées à une fréquence proche du temps réel Continu (NRT).
Août 2023
Les guides de réponse à votre premier incident pour les nouveaux utilisateurs sont désormais disponibles. Comprendre les incidents et apprendre à trier et hiérarchiser, analyser votre premier incident à l’aide de didacticiels et de vidéos, et corriger les attaques en comprenant les actions disponibles dans le portail.
(Préversion) Gestion des règles de ressources : les règles dynamiques pour les appareils désormais disponible préversion publique . Les règles dynamiques peuvent aider à gérer le contexte de l’appareil en affectant automatiquement des balises et des valeurs d’appareil en fonction de certains critères.
(Préversion) La table DeviceInfo dans la chasse avancée inclut désormais également les colonnes
DeviceManualTags
etDeviceDynamicTags
en préversion publique pour exposer les étiquettes affectées manuellement et dynamiquement liées à l’appareil que vous examinez.La fonctionnalité Réponse guidée dans Experts Microsoft Defender pour XDR a été renommée Réponse gérée. Nous avons également ajouté une nouvelle section de FAQ sur les mises à jour des incidents.
Juillet 2023
(GA) L’histoire des attaques dans les incidents est désormais en disponibilité générale. L’histoire de l’attaque fournit l’intégralité de l’attaque et permet aux équipes de réponse aux incidents d’afficher les détails et d’appliquer la correction.
Une nouvelle URL et une nouvelle page de domaine sont désormais disponibles dans Microsoft Defender XDR. La page d’URL et de domaine mise à jour fournit un emplacement unique pour afficher toutes les informations sur une URL ou un domaine, y compris sa réputation, les utilisateurs qui l’ont cliqué, les appareils qui y ont accédé et les e-mails où l’URL ou le domaine a été vu. Pour plus d’informations, consultez Examiner les URL dans Microsoft Defender XDR.
Juin 2023
- (GA) L’offre Experts Microsoft Defender pour XDR est désormais mise à la disposition générale. L’offre Experts Defender pour XDR augmente votre centre des opérations de sécurité en combinant l’automatisation et l’expertise de Microsoft en matière d’analystes de sécurité, ce qui vous aide à détecter et à répondre aux menaces en toute confiance et à améliorer votre posture de sécurité. Microsoft Defender Experts pour XDR est vendu séparément des autres produits Microsoft Defender XDR. Si vous êtes un client Microsoft Defender XDR et que vous souhaitez acheter Defender Experts pour XDR, consultez Présentation de Microsoft Defender Experts pour XDR.
Mai 2023
(GA) Le réglage des alertes est désormais en disponibilité générale. Le réglage des alertes vous permet d’affiner les alertes afin de réduire le temps d’examen et de vous concentrer sur la résolution des alertes de haute priorité. Le réglage des alertes remplace la fonctionnalité de suppression d’alerte.
(GA) L’interruption automatique des attaques est désormais en disponibilité générale. Cette fonctionnalité interrompt automatiquement les attaques par rançongiciel (HumOR), la compromission de la messagerie professionnelle (BEC) et les attaques d’adversaires au milieu (AiTM).
(Préversion) Les Fonctions personnalisées sont désormais disponibles dans le repérage avancé. Vous pouvez maintenant créer vos propres fonctions personnalisées afin de pouvoir réutiliser n’importe quelle logique de requête lorsque vous chassez dans votre environnement.
Avril 2023
(GA) L’onglet des Ressources unifiées de la page Incidents est désormais en disponibilité générale.
Microsoft utilise une nouvelle taxonomie d’affectation de noms basée sur la météo pour les acteurs des menaces. Ce nouveau schéma de nommage apporte plus de clarté et est plus facile à référencer. En savoir plus sur la nouvelle taxonomie d’acteur de menace.
Mars 2023
- (Préversion) Microsoft Defender Threat Intelligence (Defender TI) est désormais disponible dans le portail Microsoft Defender.
Cette modification introduit un nouveau menu de navigation dans le portail Microsoft Defender nommé Threat Intelligence. En savoir plus.
(Préversion) Les rapports d’appareil complets pour la
DeviceInfo
table dans le repérage avancé sont désormais envoyés toutes les heures (au lieu de la cadence quotidienne précédente). En outre, des rapports complets sur les appareils sont également envoyés chaque fois qu’une modification est apportée à un rapport précédent. De nouvelles colonnes ont également été ajoutées à la tableDeviceInfo
, ainsi que plusieurs améliorations apportées aux données existantes dans les tablesDeviceInfo
et DeviceNetworkInfo .(Préversion) La détection personnalisée en quasi temps réel est désormais disponible en préversion publique dans les détections personnalisées du repérage avancé. Il existe une nouvelle fréquence continue (NRT), qui vérifie les données des événements à mesure qu’ils sont collectés et traités en quasi-temps réel.
(Préversion) Comportements dans Microsoft Defender for Cloud Apps est désormais disponible en préversion publique. Les clients de la préversion peuvent désormais également rechercher des comportements dans le repérage avancé à l’aide des tables BehaviorEntities et BehaviorInfo .
Février 2023
(GA) Le rapport des ressources de requête dans le repérage avancé est désormais en disponibilité générale.
(Préversion) La fonctionnalité d’interruption automatique des attaques interrompt désormais la compromission des e-mails professionnels (CEP).
Janvier 2023
La nouvelle version du rapport d’Experts Microsoft Defender pour la détection est désormais disponible. La nouvelle interface du rapport permet désormais aux clients d’avoir plus de détails contextuels sur les activités suspectes observées par les Experts Defender dans leurs environnements. Il indique également quelles activités suspectes ont été continuellement tendances d’un mois à l’autre. Pour plus d’informations, consultez Comprendre le rapport Defender Experts for Hunting dans Microsoft Defender XDR.
(GA) Réponse en direct est désormais en disponibilité générale pour macOS et Linux.
(GA) La chronologie des identités est désormais généralement disponible dans le cadre de la nouvelle page Identité dans Microsoft Defender XDR. La page Utilisateur mise à jour a une nouvelle apparence, une vue étendue des ressources associées et un nouvel onglet chronologie dédié. La chronologie représente les activités et les alertes des 30 derniers jours. Il unifie les entrées d'identité d'un utilisateur sur toutes les charges de travail disponibles : Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps et Microsoft Defender for Endpoint. L’utilisation de la chronologie vous permet de vous concentrer facilement sur les activités d’un utilisateur (ou les activités qui y sont effectuées) dans des périodes spécifiques.
Décembre 2022
- (Préversion) Le nouveau modèle de contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR est désormais disponible en préversion. Le nouveau modèle CAFR permet aux administrateurs de sécurité de gérer de manière centralisée les privilèges de plusieurs solutions de sécurité au sein d’un même système avec une efficacité accrue, prenant actuellement en charge Microsoft Defender for Endpoint, Microsoft Defender pour Office 365 et Microsoft Defender pour l’identité. Le nouveau modèle est entièrement compatible avec les modèles RBAC individuels existants actuellement pris en charge dans Microsoft Defender XDR. Pour plus d’informations, consultez contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender.
Novembre 2022
(Préversion) L’offre Experts Microsoft Defender pour XDR (Experts Defender pour XDR) est désormais disponible en préversion. L’offre Experts Defender pour XDR est un service de détection et de réponse géré qui permet à vos centres d’opérations de sécurité (COS) de se concentrer et de répondre avec précision aux incidents importants. Il fournit une détection et une réponse étendues aux clients qui utilisent les charges de travail Microsoft Defender XDR : Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps et Azure Active Directory Domain Services (Azure AD). Pour plus d’informations, reportez-vous à la Préversion développée d’Experts Microsoft Defender pour XDR.
(Préversion) Le rapport de ressource de requête est désormais disponible dans le repérage avancé. Le rapport indique la consommation par votre organisation de ressources d’UC pour le repérage en fonction des requêtes exécutées au cours des 30 derniers jours à l’aide de l’une des interfaces de repérage. Consultez Afficher le rapport des ressources de requête pour rechercher des requêtes inefficaces.
Octobre 2022
- (Préversion) La nouvelle fonctionnalité d’interruption automatique des attaques est désormais disponible en préversion. Cette fonctionnalité combine des informations de recherche de sécurité et fait progresser les modèles IA pour contenir automatiquement les attaques en cours. L’interruption automatique des attaques offre également plus de temps aux centres d’opérations de sécurité (COS) pour corriger complètement une attaque et limiter l’impact d’une attaque sur les organisations. Cette préversion interrompt automatiquement les attaques par rançongiciel.
Août 2022
(GA) L’offre Experts Microsoft Defender pour la détection est désormais en disponibilité générale. Si vous êtes un client Microsoft Defender XDR disposant d’un centre d’opérations de sécurité robuste, mais que vous souhaitez que Microsoft vous aide à rechercher de manière proactive les menaces sur les points de terminaison, Office 365, les applications cloud et l’identité à l’aide des données Microsoft Defender, apprenez-en davantage sur l’application, la configuration et l’utilisation du service. Defender Experts for Hunting est vendu séparément des autres produits Microsoft Defender XDR.
(Préversion) Le Mode guidé est désormais disponible en préversion publique dans le domaine du repérage avancé. Les analystes peuvent désormais commencer à interroger leur base de données à la recherche de données de point de terminaison, d’identités, d’e-mails et de collaboration et d’applications cloud sans connaître le langage de requête Kusto (KQL). Le mode guidé offre un style de bloc de construction convivial, simple d’utilisation, qui permet de construire des requêtes via des menus déroulants contenant des filtres et des conditions disponibles. Consultez Démarrage avec le générateur de requêtes.
Juillet 2022
- (Préversion) Les participants à la préversion publique de Microsoft Defender Experts for Hunting peuvent désormais avoir hâte de recevoir des rapports mensuels pour les aider à comprendre les menaces que le service de chasse a exposées dans leur environnement, ainsi que les alertes générées par leurs produits Microsoft Defender XDR. Pour plus de détails, reportez-vous à Comprendre le rapport Defender Experts for Hunting dans Microsoft Defender XDR.
Juin 2022
(Préversion) Les tables DeviceTvmInfoGathering et DeviceTvmInfoGatheringKB sont désormais disponibles dans le schéma de repérage avancé. Utilisez ces tableaux pour parcourir les événements d’évaluation dans la gestion des vulnérabilités de Defender, notamment l’état des différentes configurations et les états de la surface d’attaque des appareils.
La nouvelle carte Examen automatisé et réponse du portail Microsoft Defender fournit une vue d’ensemble des actions de correction en attente.
L’équipe des opérations de sécurité peut afficher toutes les actions en attente d’approbation, ainsi que le temps imparti pour approuver ces actions dans la carte elle-même. L’équipe de sécurité peut accéder rapidement au centre de notifications et prendre les mesures de correction appropriées. La carte Examen automatisé et réponse contient également un lien vers la page Automation complète. Cela permet à l’équipe des opérations de sécurité de gérer efficacement les alertes et d’effectuer des actions de correction en temps voulu.
Mai 2022
- (Préversion) Conformément à l’extension récemment annoncée dans une nouvelle catégorie de service appelée Experts sécurité Microsoft, nous introduisons la disponibilité d’Experts Microsoft Defender pour la détection (Experts Defender pour la détection) pour la préversion publique. L’offre Experts Defender pour la détection s’adresse aux clients qui disposent d’un centre d’opérations de sécurité robuste, mais qui souhaitent que Microsoft les aide à rechercher de manière proactive les menaces sur Microsoft Defender données, y compris les points de terminaison, Office 365, les applications cloud, et l’identité.
Avril 2022
(Préversion) Les Actions peuvent désormais être effectuées sur les messages par e-mail directement à partir des résultats de requête de repérage. Les e-mails peuvent être déplacés vers d’autres dossiers ou supprimés définitivement.
(Préversion) La nouvelle
UrlClickEvents
table du repérage avancé peut être utilisée pour rechercher des menaces telles que les campagnes de hameçonnage et les liens suspects en fonction des informations provenant des clics de liens fiables dans les messages par e-mail, Microsoft Teams et les applications Office 365.
Mars 2022
- (Préversion) La file d’attente des incidents a été améliorée avec plusieurs fonctionnalités conçues pour faciliter vos analyses. Les améliorations incluent des fonctionnalités telles que la possibilité de rechercher des incidents par ID ou nom, de spécifier un intervalle de temps personnalisé, etc.
Décembre 2021
- (GA) La table
DeviceTvmSoftwareEvidenceBeta
a été ajoutée à court terme dans le repérage avancé pour vous permettre d’afficher la preuve de l’emplacement où un logiciel spécifique a été détecté sur un appareil.
Novembre 2021
(Préversion) La fonctionnalité de module complémentaire de gouvernance des applications pour Defender for Cloud Apps est désormais disponible dans Microsoft Defender XDR. La gouvernance des applications fournit une fonctionnalité de gestion de la sécurité et des stratégies conçue pour les applications compatibles OAuth qui accèdent aux données Microsoft 365 via les API Microsoft Graph. La gouvernance des applications offre une visibilité, une correction et une gouvernance complètes sur la façon dont ces applications et leurs utilisateurs accèdent, utilisent et partagent vos données sensibles stockées dans Microsoft 365 par le biais d’insights actionnables et d’alertes et d’actions de stratégie automatisées. En savoir plus sur la gouvernance des applications.
(Préversion) La page de repérage avancé dispose désormais d’une prise en charge à plusieurs onglets, d’un défilement intelligent, d’onglets de schéma simplifiés, d’options de modification rapide pour les requêtes, d’un indicateur d’utilisation des ressources de requête et d’autres améliorations pour rendre l’interrogation plus fluide et plus facile à affiner.
(Préversion) Vous pouvez maintenant utiliser la fonctionnalité lien vers un incident pour inclure des événements ou des enregistrements des résultats de la requête de repérage avancé directement dans un incident nouveau ou existant que vous examinez.
Octobre 2021
- (GA) Dans le repérage avancé, d’autres colonnes ont été ajoutées dans la table CloudAppEvents . Vous pouvez désormais inclure
AccountType
,IsExternalUser
,IsImpersonated
IPTags
,IPCategory
, etUserAgentTags
à vos requêtes.
Septembre 2021
(GA) Les données d’événements Microsoft Defender for Office 365 sont disponibles dans l’API de streaming d’événements Microsoft Defender XDR. Vous pouvez voir la disponibilité et l'état des types d'événements dans Types d'événements Microsoft Defender XDR pris en charge dans l'API de streaming.
(GA) Les données Microsoft Defender pour Office 365 disponibles dans le repérage avancé sont désormais généralement disponibles.
(GA) Attribuer des incidents et des alertes aux comptes d’utilisateur
Vous pouvez affecter un incident et toutes les alertes qui lui sont associées à un compte d’utilisateur à partir de la fonction Affecter à : dans le volet Gérer l’incident d’un incident ou le volet Gérer l’alerte d’une alerte.
Août 2021
(Préversion) Données Microsoft Defender pour Office 365 disponibles dans le repérage avancé
Les nouvelles colonnes des tables d’e-mail peuvent fournir plus d’informations sur les menaces basées sur l’e-mail pour des analyses plus approfondies à l’aide du repérage avancé. Vous pouvez désormais inclure la colonne
AuthenticationDetails
dans EmailEvents,FileSize
dans EmailAttachmentInfo,ThreatTypes
etDetectionMethods
dans les tables EmailPostDeliveryEvents.(Préversion) Graphique des incidents
Un nouvel onglet Graphique sous l’onglet Résumé d’un incident affiche l’étendue complète de l’attaque, la façon dont l’attaque s’est propagée sur votre réseau au fil du temps, l’endroit où elle a démarré et la progression de l’attaquant.
Juillet 2021
Catalogue de services professionnels
Améliorez les fonctionnalités de détection, d’analyse et de renseignement sur les menaces de la plateforme avec les connexions de partenaires prises en charge.
Juin 2021
(Préversion) Afficher les rapports par balises de menace
Les balises de menace vous aident à vous concentrer sur des catégories de menaces spécifiques et à passer en revue les rapports les plus pertinents.
(Préversion) API de diffusion en continu
Microsoft Defender XDR prend en charge la diffusion en continu de tous les événements disponibles via Le repérage avancé vers un compte de stockage Event Hubs et/ou Azure.
(Préversion) Prendre des mesures dans le repérage avancé
Contenir rapidement des menaces ou traiter les ressources compromises que vous trouvez dans le repérage avancé.
(Préversion) Référence de schéma dans le portail
Obtenez des informations sur les tables de schéma du repérage avancé directement dans le centre de sécurité. Outre les descriptions de table et de colonne, cette référence inclut les types d’événements pris en charge (valeurs
ActionType
) et les exemples de requêtes.(Préversion) fonction DeviceFromIP()
Obtenez des informations sur les appareils auxquels une adresse IP spécifique a été attribuée à un intervalle de temps donné.
Mai 2021
Nouvelle page d'alerte dans le portail Microsoft Defender
Fournit des informations améliorées pour le contexte dans une attaque. Vous pouvez voir quelle autre alerte déclenchée a provoqué l’alerte actuelle et toutes les entités et activités affectées impliquées dans l’attaque, y compris les fichiers, les utilisateurs et les boîtes aux lettres. Pour plus d’informations, consultez Analyser les alertes.
Graphique de tendance pour les incidents et les alertes dans le portail Microsoft Defender
Déterminez s’il existe plusieurs alertes pour un seul incident ou si votre organisation est attaquée avec plusieurs incidents différents. Pour plus d’informations, consultez Hiérarchiser les incidents .
Avril 2021
Microsoft Defender XDR
Le portail Microsoft Defender XDR amélioré est désormais disponible. Cette nouvelle expérience regroupe Defender for Endpoint, Defender pour Office 365, Defender pour l’identité et bien plus encore dans un portail unique. Il s’agit de la nouvelle page d’accueil pour gérer vos contrôles de sécurité. Découvrir les nouveautés.
Rapport d’analyse des menaces Microsoft Defender XDR
Les analyses de menaces vous aide à répondre aux attaques actives et à les réduire. Vous pouvez également en savoir plus sur les tentatives d’attaque bloquées par les solutions Microsoft Defender XDR et prendre des mesures préventives qui atténuent le risque d’exposition supplémentaire et augmentent la résilience. Dans le cadre de l’expérience de sécurité unifiée, les analyses de menaces sont désormais disponibles pour les détenteurs de licences Microsoft Defender for Endpoint et Microsoft Defender pour Office E5.
Mars 2021
-
Trouvez des informations sur les événements dans différentes applications et services cloud couverts par Microsoft Defender for Cloud Apps. Cette table inclut également des informations précédemment disponibles dans la table
AppFileEvents
.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.