Novità di Microsoft Defender XDR
Elenca le nuove caratteristiche e funzionalità di Microsoft Defender XDR.
Per ulteriori informazioni sulle novità degli altri prodotti di sicurezza Microsoft Defender e di Microsoft Sentinel, vedi:
- Novità di Microsoft Defender per Office 365
- Novità di Microsoft Defender per Endpoint
- Novità di Microsoft Defender per identità
- Novità di Microsoft Defender per le app cloud
- Novità di Microsoft Sentinel
È anche possibile ottenere aggiornamenti del prodotto e notifiche importanti tramite il centro messaggi.
Novembre 2024
- (Anteprima) I percorsi di attacco nel grafico degli eventi imprevisti sono ora disponibili nel portale di Microsoft Defender. La storia dell'attacco include ora potenziali percorsi di attacco che mostrano i percorsi che gli utenti malintenzionati possono potenzialmente intraprendere dopo aver compromesso un dispositivo. Questa funzionalità consente di assegnare priorità alle attività di risposta. Per altre informazioni, vedere percorsi di attacco nella storia dell'attacco.
- (Anteprima) Microsoft Defender XDR clienti possono ora esportare i dati degli eventi imprevisti in formato PDF. Usare i dati esportati per acquisire e condividere facilmente i dati degli eventi imprevisti con altri stakeholder. Per informazioni dettagliate, vedere Esportare i dati degli eventi imprevisti in formato PDF.
- (GA) La colonna dell'ora dell'ultimo aggiornamento nella coda degli eventi imprevisti è ora disponibile a livello generale.
- (Anteprima) Le azioni di analisi e risposta native del cloud sono ora disponibili per gli avvisi correlati ai contenitori nel portale di Microsoft Defender. Gli analisti del Centro operazioni di sicurezza (SOC) possono ora analizzare e rispondere agli avvisi correlati ai contenitori quasi in tempo reale con azioni di risposta native del cloud e log di indagine per cercare le attività correlate. Per altre informazioni, vedere Analizzare e rispondere alle minacce dei contenitori nel portale di Microsoft Defender.
- (GA) L'operatore
arg()
nella ricerca avanzata nel portale di Microsoft Defender è ora disponibile a livello generale. Gli utenti possono ora usare l'operatore arg() per le query Resource Graph di Azure per eseguire ricerche nelle risorse di Azure e non è più necessario passare a Log Analytics in Microsoft Sentinel per usare questo operatore se già in Microsoft Defender. - (Anteprima) La tabella CloudProcessEvents è ora disponibile per l'anteprima nella ricerca avanzata. Contiene informazioni sugli eventi di elaborazione in ambienti ospitati multicloud. È possibile usarlo per individuare le minacce che possono essere osservate tramite i dettagli del processo, ad esempio processi dannosi o firme della riga di comando.
- (Anteprima) La migrazione delle query di rilevamento personalizzate alla frequenza continua (quasi in tempo reale o NRT) è ora disponibile per l'anteprima nella ricerca avanzata. L'uso della frequenza continua (NRT) aumenta la capacità dell'organizzazione di identificare le minacce più velocemente. Ha un impatto minimo o negativo sull'utilizzo delle risorse e deve quindi essere considerato per qualsiasi regola di rilevamento personalizzata qualificata nell'organizzazione. È possibile eseguire la migrazione di query KQL compatibili seguendo la procedura descritta in Frequenza continua (NRT).
Ottobre 2024
- I ruoli controllo degli accessi in base al ruolo di Microsoft unificato vengono aggiunti con nuovi livelli di autorizzazione per Microsoft Threat Experts clienti di usare la funzionalità di esperti di Ask Defender.
- (Anteprima) Nella ricerca avanzata, Microsoft Defender utenti del portale possono ora usare l'operatore arg() per le query di Resource Graph di Azure per eseguire ricerche nelle risorse di Azure. Non è più necessario passare a Log Analytics in Microsoft Sentinel per usare questo operatore se si è già in Microsoft Defender.
Settembre 2024
- (GA) Il ricerca globale per le entità nel portale di Microsoft Defender è ora disponibile a livello generale. La pagina dei risultati della ricerca avanzata centralizza i risultati di tutte le entità. Per altre informazioni, vedere Ricerca globale nel portale di Microsoft Defender.
- (GA) Copilot in Defender include ora la funzionalità di riepilogo delle identità, fornendo informazioni immediate sul livello di rischio di un utente, l'attività di accesso e altro ancora. Per altre informazioni, vedere Riepilogare le informazioni sull'identità con Copilot in Defender.
- Microsoft Defender Threat Intelligence clienti possono ora visualizzare gli articoli più recenti di Intelligence sulle minacce in primo piano nella home page del portale di Microsoft Defender. La pagina Intel Explorer include ora anche un digest di articoli che notifica loro il numero di nuovi articoli di Defender TI pubblicati dall'ultimo accesso al portale di Defender.
- Microsoft Defender XDR autorizzazioni controllo degli accessi in base al ruolo unificato vengono aggiunte per inviare richieste e visualizzare le risposte degli esperti Microsoft Defender. È anche possibile visualizzare le risposte alle richieste inviate a Ask Defender Experts tramite gli indirizzi di posta elettronica elencati durante l'invio della richiesta o nel portale di Defender passando ai messaggi Report>Defender Experts.
- (GA) I riquadri del contesto di ricerca avanzati sono ora disponibili in più esperienze. In questo modo è possibile accedere alla funzionalità di ricerca avanzata senza uscire dal flusso di lavoro corrente.
- Per gli eventi imprevisti e gli avvisi generati dalle regole di analisi, è possibile selezionare Esegui query per esplorare i risultati della regola di analisi correlata.
- Nel passaggio Imposta logica regola della procedura guidata regola di analisi è possibile selezionare Visualizza risultati query per verificare i risultati della query che si sta per impostare.
- Nel report delle risorse di query è possibile visualizzare una qualsiasi delle query selezionando i tre puntini nella riga di query e selezionando Apri nell'editor di query.
- Per le entità del dispositivo coinvolte in eventi imprevisti o avvisi, Go hunt è disponibile anche come una delle opzioni dopo aver selezionato i tre puntini nel pannello laterale del dispositivo.
Agosto 2024
- (Anteprima) Microsoft Sentinel dati sono ora disponibili con Defender XDR dati nella gestione Microsoft Defender multi-tenant. Nella piattaforma microsoft unified security operations è attualmente supportata una sola area di lavoro Microsoft Sentinel per tenant. Pertanto, Microsoft Defender gestione multi-tenant mostra i dati siEM (Security Information and Event Management) da un'area di lavoro Microsoft Sentinel per tenant. Per altre informazioni, vedere Microsoft Defender gestione multi-tenant e Microsoft Sentinel nel portale di Microsoft Defender.
- Per garantire un'esperienza fluida durante l'esplorazione del portale di Microsoft Defender, configurare il firewall di rete aggiungendo gli indirizzi appropriati all'elenco di indirizzi consentiti. Per altre informazioni, vedere Configurazione del firewall di rete per Microsoft Defender XDR.
Luglio 2024
Gli eventi imprevisti con avvisi in cui un dispositivo compromesso comunicato con un dispositivo OT (Operational Technology) è ora visibile nel portale di Microsoft Defender tramite la licenza Microsoft Defender per IoT e le funzionalità di individuazione dei dispositivi di Defender per endpoint. Usando i dati di Defender per endpoint, Defender XDR correla automaticamente questi nuovi avvisi OT agli eventi imprevisti per fornire una storia di attacco completa. Per filtrare gli eventi imprevisti correlati, vedere Assegnare priorità agli eventi imprevisti nel portale di Microsoft Defender.
(GA) Il filtro Microsoft Defender per gli avvisi cloud in base all'ID sottoscrizione di avviso associato nelle code eventi imprevisti e avvisi è ora disponibile a livello generale. Per altre informazioni, vedere Microsoft Defender for Cloud in Microsoft Defender XDR.
(GA) La piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender è disponibile a livello generale. Questa versione riunisce tutte le funzionalità di Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot in Microsoft Defender. Per ulteriori informazioni, vedere le seguenti risorse:
Post di blog: Disponibilità generale della piattaforma di operazioni di sicurezza unificata Microsoft
(Anteprima) È ora possibile personalizzare le colonne nelle code eventi imprevisti e avvisi nel portale di Microsoft Defender. È possibile aggiungere, rimuovere e riordinare le colonne per visualizzare le informazioni necessarie. Per altre informazioni, vedere come personalizzare le colonne nella coda degli eventi imprevisti e nella coda degli avvisi.
(Anteprima) Gli asset critici fanno ora parte dei tag nelle code degli eventi imprevisti e degli avvisi. Quando un asset critico è coinvolto in un evento imprevisto o in un avviso, il tag dell'asset critico viene visualizzato nelle code. Per altre informazioni, vedere tag degli eventi imprevisti e coda di avviso.
(Anteprima) Gli eventi imprevisti vengono ora organizzati in base agli aggiornamenti automatici o manuali più recenti apportati a un evento imprevisto. Informazioni sulla colonna dell'ora dell'ultimo aggiornamento nella coda degli eventi imprevisti.
(GA) Le risorse dell'hub di apprendimento sono state spostate dal portale di Microsoft Defender a learn.microsoft.com. Accedere Microsoft Defender XDR formazione Ninja, percorsi di apprendimento, moduli di formazione e altro ancora. Esplorare l'elenco dei percorsi di apprendimento e filtrare in base a prodotto, ruolo, livello e oggetto.
(GA) La tabella UrlClickEvents nella ricerca avanzata è ora disponibile a livello generale. Usare questa tabella per ottenere informazioni sui collegamenti sicuri dai messaggi di posta elettronica, da Microsoft Teams e dalle app Office 365 nelle app desktop, mobili e Web supportate.
(GA) È ora possibile rilasciare o spostare i messaggi di posta elettronica dalla quarantena alla posta in arrivo dell'utente direttamente da Esegui azioni nella ricerca avanzata e nei rilevamenti personalizzati. Ciò consente agli operatori di sicurezza di gestire i falsi positivi in modo più efficiente e senza perdere contesto.
Giugno 2024
(Anteprima) La distribuzione del contenuto tramite gruppi di tenant nella gestione multi-tenant è ora disponibile. La distribuzione del contenuto consente di gestire il contenuto su larga scala tra i tenant nella gestione multi-tenant in Microsoft Defender XDR. Nella distribuzione del contenuto è possibile creare gruppi di tenant per copiare il contenuto esistente, ad esempio le regole di rilevamento personalizzate, dal tenant di origine ai tenant di destinazione assegnati durante la creazione del gruppo di tenant. Il contenuto viene quindi eseguito nei dispositivi o nei gruppi di dispositivi del tenant di destinazione impostati nell'ambito del gruppo di tenant.
(Anteprima) È ora possibile filtrare la Microsoft Defender per gli avvisi cloud in base all'ID sottoscrizione di avviso associato nelle code eventi imprevisti e avvisi. Per altre informazioni, vedere Microsoft Defender for Cloud in Microsoft Defender XDR.
(GA) È ora possibile filtrare i risultati nella ricerca avanzata in modo da limitare l'analisi su dati specifici su cui si vuole concentrarsi.
Maggio 2024
(Anteprima) Gli analisti della sicurezza possono ora analizzare il rischio Insider di un utente nel portale di Microsoft Defender con gravità del rischio Insider e informazioni dettagliate disponibili per Microsoft Defender XDR utenti con accesso di cui è stato effettuato il provisioning a Gestione dei rischi Insider Microsoft Purview. Per altre informazioni, vedere i dettagli dell'entità nella pagina utente .
(GA) La pagina criteri di sicurezza degli endpoint è ora disponibile nella gestione multi-tenant in Microsoft Defender XDR. Creare, modificare ed eliminare i criteri di sicurezza per i dispositivi dei tenant dalla pagina Criteri di sicurezza degli endpoint . Per altre informazioni, vedere Criteri di sicurezza degli endpoint nella gestione multi-tenant.
Creare regole di ottimizzazione degli avvisi usando i valori Gravità avviso e Titolo avviso come condizioni. L'ottimizzazione degli avvisi consente di semplificare la coda degli avvisi, risparmiando tempo di valutazione nascondendo o risolvendo automaticamente gli avvisi, ogni volta che si verifica un determinato comportamento aziendale previsto e vengono soddisfatte le condizioni delle regole. Per altre informazioni, vedere Ottimizzare un avviso.
(Anteprima) Attivare le opzioni di anteprima nelle principali impostazioni di Microsoft 365 Defender insieme ad altre funzionalità di anteprima di Microsoft 365 Defender. I clienti che non usano ancora le funzionalità di anteprima continueranno a visualizzare le impostazioni legacy in Impostazioni >> Funzionalità avanzate Funzionalità avanzate Funzionalità > di anteprima. Per altre informazioni, vedere Funzionalità di anteprima di Microsoft 365 Defender.
(Anteprima) La pagina ottimizzazioni SOC nel portale di Microsoft Defender è ora disponibile con la piattaforma delle operazioni di sicurezza unificata. Integrare Microsoft Defender XDR e Microsoft Sentinel e usare le ottimizzazioni SOC per ottimizzare processi e risultati, senza che i team soc trascorrano tempo nell'analisi manuale e nella ricerca. Per altre informazioni, vedere:
(Anteprima) La ricerca nel portale di Microsoft Defender include ora la possibilità di cercare dispositivi e utenti in Microsoft Sentinel. Usare la barra di ricerca per cercare eventi imprevisti, avvisi e altri dati in Microsoft Defender XDR e Microsoft Sentinel. Per altre informazioni, vedere Ricerca in Microsoft Defender.
(Anteprima) La tabella CloudAuditEvents è ora disponibile nella ricerca avanzata. In questo modo è possibile individuare gli eventi di controllo cloud in Microsoft Defender per cloud e creare rilevamenti personalizzati per rilevare le attività sospette del piano di controllo di Azure Resource Manager e Kubernetes (KubeAudit).
(GA) L'eliminazione temporanea automatica della copia del mittente quando l'eliminazione temporanea è selezionata come azione per i messaggi di posta elettronica è ora disponibile nella procedura guidata Esegui azioni nella ricerca avanzata. Questa nuova funzionalità semplifica il processo di gestione degli elementi inviati, in particolare gli amministratori che usano le azioni Di eliminazione temporanea e Sposta nella posta in arrivo . Per informazioni dettagliate , vedere Eseguire azioni sui messaggi di posta elettronica .
(Anteprima) È ora possibile eseguire query sui dati Microsoft Sentinel usando l'API query di ricerca avanzata. È possibile usare il
timespan
parametro per eseguire query su Defender XDR e Microsoft Sentinel dati con conservazione dei dati più lunga rispetto al Defender XDR predefinito di 30 giorni.(Anteprima) Nel portale di Microsoft Defender unificato è ora possibile creare rilevamenti personalizzati nell'esecuzione di query sui dati che si estendono su tabelle Microsoft Sentinel e Defender XDR. Per altre informazioni, vedere Creare regole di analisi e rilevamento personalizzate .
Procedura di risoluzione dei problemi aggiornata per le autorizzazioni dell'app Microsoft Defender Experts in Microsoft Teams.
Aprile 2024
(Anteprima) La piattaforma per le operazioni di sicurezza unificata nel portale di Microsoft Defender è ora disponibile. Questa versione riunisce tutte le funzionalità di Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot in Microsoft Defender. Per ulteriori informazioni, vedere le seguenti risorse:
(GA) Microsoft Copilot in Microsoft Defender è ora disponibile a livello generale. Copilot in Defender consente di analizzare e rispondere agli eventi imprevisti in modo più rapido ed efficace. Copilot fornisce risposte guidate, riepiloghi degli eventi imprevisti e report, consente di creare query KQL per cercare minacce, fornire analisi di file e script e consentire di riepilogare informazioni sulle minacce pertinenti e interattive.
I clienti di Copilot in Defender possono ora esportare i dati degli eventi imprevisti in PDF. Usare i dati esportati per condividere facilmente i dati degli eventi imprevisti, facilitando le discussioni con i team di sicurezza e altri stakeholder. Per informazioni dettagliate, vedere Esportare i dati degli eventi imprevisti in formato PDF.
Le notifiche nel portale di Microsoft Defender sono ora disponibili. In alto a destra del portale Defender, selezionare l'icona della campanella per visualizzare tutte le notifiche attive. Altre informazioni sulle notifiche sono disponibili nel portale di Microsoft Defender.
La colonna
AzureResourceId
, che mostra l'identificatore univoco della risorsa di Azure associata a un dispositivo, è ora disponibile nella tabella DeviceInfo nella ricerca avanzata.
Febbraio 2024
(GA) La Modalità scura è ora disponibile nel portale di Microsoft Defender. Nella parte superiore destra della home page del portale di Defender selezionare Modalità scura. Selezionare Modalità chiara per ripristinare il valore predefinito della modalità colore.
(GA) L’Assegnazione della gravità agli eventi imprevisti, l’Assegnazione di un evento imprevisto a un gruppo e l'opzione go hunt dal grafico della cronologia degli attacchi sono ora generalmente disponibili. Le guide per informazioni su come assegnare o modificare la gravità degli eventi imprevisti e assegnare un evento imprevisto a un gruppo sono disponibili nella pagina Gestisci eventi imprevisti. Scopri come usare l'opzione go hunt esplorando la cronologia degli attacchi.
(Anteprima) Sono ora disponibili Regole di rilevamento personalizzate nell'API di sicurezza di Microsoft Graph. Creare regole di rilevamento personalizzate per il rilevamento avanzato, specifiche per l'organizzazione, per monitorare in modo proattivo le minacce e agire di conseguenza.
Avviso
La versione della piattaforma 2024-02 causa risultati incoerenti per i clienti che utilizzano criteri di controllo dei dispositivi con accesso solo a livello di disco/dispositivo (maschere inferiori o uguali a 7). L'imposizione potrebbe non funzionare come previsto. Per mitigare questo problema, si consiglia di eseguire il rollback alla versione precedente della piattaforma Defender.
Gennaio 2024
Defender Boxed è disponibile per un periodo di tempo limitato. Defender Boxed evidenzia i successi, i miglioramenti e le azioni di risposta dell'organizzazione in materia di sicurezza nel 2023. Prenditi un momento per celebrare i miglioramenti dell'organizzazione in termini di sicurezza, risposta complessiva alle minacce rilevate (manuali e automatiche), email bloccate e altro ancora.
- Defender Boxed si apre automaticamente quando si passa alla pagina Eventi imprevisti nel portale di Microsoft Defender.
- Se si chiude Defender Boxed e si vuole riaprirlo, nel portale di Microsoft Defender passare a Eventi imprevisti e quindi selezionare Defender Boxed.
- Agisci rapidamente! Defender Boxed è disponibile solo per un breve periodo di tempo.
Defender Experts per XDR consente ora di ricevere notifiche di risposta gestite e aggiornamenti tramite Teams. È anche possibile chattare con Defender Experts in merito agli eventi imprevisti in cui viene emessa una risposta gestita.
(GA) La nuova funzionalità nei filtri disponibili della coda degli eventi imprevisti è ora disponibili a livello generale. Assegnare priorità agli eventi imprevisti in base ai filtri preferiti creando set di filtri e salvando le query di filtro. Per altre informazioni sui filtri della coda degli eventi imprevisti, vedere Filtri disponibili.
(GA) L'integrazione degli avvisi di Microsoft Defender per il cloud con Microsoft Defender XDR è ora disponibile a livello generale. Altre informazioni sull'integrazione in Microsoft Defender per il cloud in Microsoft Defender XDR.
(GA) Il log attività è ora disponibile all'interno di una pagina degli eventi imprevisti. Usare il log attività per visualizzare tutti i controlli e i commenti e aggiungere commenti al log di un evento imprevisto. Per informazioni dettagliate, vedere Log attività.
(Anteprima) La Cronologia delle query nella ricerca avanzata è ora disponibile. È ora possibile rieseguire o perfezionare le query eseguite di recente. È possibile caricare fino a 30 query negli ultimi 28 giorni nel riquadro cronologia query.
(Anteprima) Sono ora disponibili altre funzionalità che è possibile usare per eseguire il drill-down dai risultati delle query nella ricerca avanzata.
Dicembre 2023
Il controllo degli accessi in base al ruolo (RBAC) unificato di Microsoft Defender XDR è ora disponibile a livello generale. Unified (RBAC) consente agli amministratori di gestire le autorizzazioni utente in diverse soluzioni di sicurezza da un'unica posizione centralizzata. Questa offerta è disponibile anche per i clienti GCC Moderate. Per altre informazioni, vedere Controllo degli accessi in base al ruolo (RBAC) di Microsoft Defender XDR.
Microsoft Defender Experts for XDR consente ora di escludere i dispositivi dalle azioni correttive eseguite dai nostri esperti e di ottenere invece indicazioni di correzione per tali entità.
La coda degli eventi imprevisti del portale di Microsoft Defender ha aggiornato i filtri, la ricerca e aggiunto una nuova funzione in cui è possibile creare set di filtri personalizzati. Per informazioni dettagliate, vedere Filtri disponibili.
È ora possibile assegnare eventi imprevisti a un gruppo di utenti o a un altro utente. Per informazioni dettagliate, vedere Assegnare un evento imprevisto.
Novembre 2023
Microsoft Defender Experts for Hunting consente ora di generare notifiche Defender Experts di esempio, in modo da poter iniziare a sperimentare il servizio senza dover aspettare che si verifichi un'effettiva attività critica nell’ambiente. Altre informazioni
(Anteprima) Gli avvisi di Microsoft Defender per il cloud sono ora integrati in Microsoft Defender XDR. Gli avvisi di Defender per Cloud sono automaticamente correlati agli eventi imprevisti e agli avvisi nel portale Microsoft Defender e le risorse cloud possono essere visualizzate nelle code degli eventi imprevisti e degli avvisi. Altre informazioni sull'Integrazione di Defender per Cloud in Microsoft Defender XDR.
(Anteprima) Microsoft Defender XDR ha ora una tecnologia di depistaggio integrata per proteggere l'ambiente da attacchi ad alto impatto che utilizzano il movimento orizzontale operato dall'uomo. Ulteriori informazioni sulla funzionalità di depistaggio e su come configurare la funzionalità di depistaggio.
Microsoft Defender Experts for XDR consente ora di eseguire una valutazione dell'idoneità durante la preparazione dell'ambiente per il servizio Defender Experts for XDR.
Ottobre 2023
(Anteprima) È ora possibile ricevere notifiche tramite posta elettronica per le azioni manuali o automatizzate eseguite in Microsoft Defender XDR. Informazioni su come configurare le notifiche tramite posta elettronica per le azioni di risposta manuali o automatizzate eseguite nel portale. Per informazioni dettagliate, vedere Ricevere notifiche tramite posta elettronica per le azioni di risposta in Microsoft Defender XDR.
(Anteprima) Microsoft Security Copilot in Microsoft Defender XDR è ora disponibile in anteprima. Gli utenti di Microsoft Defender XDR possono sfruttare le funzionalità di Security Copilot per riepilogare gli eventi imprevisti, analizzare script e codici, utilizzare risposte guidate per risolvere gli eventi imprevisti, generare query KQL e creare report sugli eventi all'interno del portale. Security Copilot è disponibile in un'anteprima solo invito. Altre informazioni su Security Copilot sono disponibili nelle domande frequenti sul programma di accesso anticipato Microsoft Security Copilot.
Settembre 2023
- (Anteprima) I rilevamenti personalizzati che usano dati provenienti da Microsoft Defender per identità e Microsoft Defender for Cloud Apps, in particolare le
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
eIdentityQueryEvents
le tabelle possono ora essere eseguiti con frequenza continua quasi in tempo reale (NRT).
Agosto 2023
Le guide per rispondere al primo evento imprevisto per i nuovi utenti sono ora disponibili. Comprendere gli eventi imprevisti e imparare a valutare e assegnare priorità, analizzare il primo evento imprevisto usando esercitazioni e video e correggere gli attacchi comprendendo le azioni disponibili nel portale.
(Anteprima) Gestione delle regole degli asset: le regole dinamiche per i dispositivi sono ora in anteprima pubblica. Le regole dinamiche consentono di gestire il contesto del dispositivo assegnando automaticamente tag e valori del dispositivo in base a determinati criteri.
(Anteprima) La tabella DeviceInfo nella ricerca avanzata include ora anche le colonne
DeviceManualTags
eDeviceDynamicTags
in anteprima pubblica per visualizzare i tag assegnati manualmente e dinamicamente correlati al dispositivo in esame.La funzionalità di risposta guidata in Microsoft Defender Experts for XDR è stata rinominata Risposta gestita. È stata aggiunta anche una nuova sezione domande frequenti sugli aggiornamenti degli eventi imprevisti.
Luglio 2023
(GA) La storia dell’attacco negli eventi imprevisti è ora disponibile a livello generale. La storia dell’attacco fornisce la storia completa dell'attacco e consente ai team di risposta agli eventi imprevisti di visualizzare i dettagli e applicare la correzione.
Una nuova pagina URL e dominio è ora disponibile in Microsoft Defender XDR. L'URL e la pagina di dominio aggiornati offrono un'unica posizione per visualizzare tutte le informazioni su un URL o un dominio, inclusa la reputazione, gli utenti che hanno fatto clic su di esso, i dispositivi a cui è stato eseguito l'accesso e i messaggi di posta elettronica in cui è stato visualizzato l'URL o il dominio. Per informazioni dettagliate, vedere Analizzare gli URL in Microsoft Defender XDR.
Giugno 2023
- (GA) Microsoft Defender Esperti per XDR è ora disponibile a livello generale. Defender Experts per XDR aumenta il centro operativo di sicurezza combinando l'automazione e l'esperienza degli analisti della sicurezza di Microsoft, consentendo di rilevare e rispondere alle minacce con fiducia e migliorare il comportamento di sicurezza. Microsoft Defender Experts for XDR viene venduto separatamente da altri prodotti Microsoft Defender XDR. Se sei un cliente Microsoft Defender XDR e sei interessato all'acquisto di Defender Experts for XDR, vedere Panoramica degli esperti di Microsoft Defender for XDR.
Maggio 2023
(GA) L'ottimizzazione degli avvisi è ora disponibile a livello generale. L'ottimizzazione degli avvisi consente di ottimizzare gli avvisi per ridurre i tempi di indagine e concentrarsi sulla risoluzione degli avvisi con priorità elevata. L'ottimizzazione degli avvisi sostituisce la funzionalità di eliminazione degli avvisi.
(GA) L'interruzione automatica degli attacchi è ora disponibile a livello generale. Questa funzionalità interrompe automaticamente gli attacchi ransomware gestiti dall'uomo (HumOR), la compromissione della posta elettronica aziendale (BEC) e gli attacchi antagonisti al centro (AiTM).
(Anteprima) Le funzioni personalizzate sono ora disponibili nella ricerca avanzata. È ora possibile creare funzioni personalizzate in modo da poter riutilizzare qualsiasi logica di query quando si esegue la ricerca nell'ambiente.
Aprile 2023
(GA) La scheda Asset unificati nella pagina Eventi imprevisti è ora disponibile a livello generale.
Microsoft usa una nuova tassonomia dei nomi basata sul tempo per gli attori delle minacce. Questo nuovo schema di denominazione fornirà maggiore chiarezza e sarà più facile fare riferimento. Altre informazioni sulla nuova tassonomia dell'attore di minacce.
Marzo 2023
- (Anteprima) Microsoft Defender Threat Intelligence (Defender TI) è ora disponibile nel portale di Microsoft Defender.
Questa modifica introduce un nuovo menu di spostamento all'interno del portale di Microsoft Defender denominato Threat Intelligence. Altre informazioni.
(Anteprima) I report dei dispositivi completi per la
DeviceInfo
tabella nella ricerca avanzata vengono ora inviati ogni ora (anziché la cadenza giornaliera precedente). Inoltre, i report completi dei dispositivi vengono inviati anche ogni volta che viene apportata una modifica a qualsiasi report precedente. Sono state aggiunte anche nuove colonne allaDeviceInfo
tabella, insieme a diversi miglioramenti ai dati esistenti nelleDeviceInfo
tabelle e DeviceNetworkInfo.(Anteprima) Il rilevamento personalizzato quasi in tempo reale è ora disponibile per l'anteprima pubblica nei rilevamenti personalizzati di ricerca avanzati. È disponibile una nuova frequenza continua (NRT), che controlla i dati degli eventi man mano che vengono raccolti ed elaborati quasi in tempo reale.
(Anteprima) I comportamenti in Microsoft Defender for Cloud Apps sono ora disponibili per l'anteprima pubblica. I clienti in anteprima possono ora anche cercare i comportamenti nella ricerca avanzata usando le tabelle BehaviorEntities e BehaviorInfo.
Febbraio 2023
(GA) Il report sulle risorse di query nella ricerca avanzata è ora disponibile a livello generale.
(Anteprima) La funzionalità di interruzione automatica degli attacchi ora interrompe la compromissione della posta elettronica aziendale (BEC).
Gennaio 2023
È ora disponibile la nuova versione di report di Microsoft Defender Experts for Hunting. La nuova interfaccia del report consente ora ai clienti di avere maggiori dettagli contestuali sulle attività sospette osservate da Defender Experts nei loro ambienti. Mostra anche quali attività sospette sono state continuamente in tendenza da un mese all'altro. Per informazioni dettagliate, vedere Comprendere il report Defender Experts for Hunting in Microsoft Defender XDR.
(GA) Live Response è ora disponibile a livello generale per macOS e Linux.
(GA) La sequenza temporale dell'identità è ora disponibile a livello generale come parte della nuova pagina Identità in Microsoft Defender XDR. La pagina Utente aggiornata ha un nuovo aspetto, una visualizzazione estesa degli asset correlati e una nuova scheda sequenza temporale dedicata. La sequenza temporale rappresenta le attività e gli avvisi degli ultimi 30 giorni. Unifica le voci di identità di un utente in tutti i carichi di lavoro disponibili: Microsoft Defender per identità, Microsoft Defender for Cloud Apps e Microsoft Defender per endpoint. L'uso della sequenza temporale consente di concentrarsi facilmente sulle attività (o sulle attività eseguite) di un utente in intervalli di tempo specifici.
Dicembre 2022
- (Anteprima) Il nuovo modello di controllo degli accessi basato sui ruoli (RBAC) di Microsoft Defender XDR è ora disponibile in anteprima. Il nuovo modello di controllo degli accessi in base al ruolo consente agli amministratori della sicurezza di gestire centralmente i privilegi in più soluzioni di sicurezza all'interno di un unico sistema con una maggiore efficienza, attualmente supportando Microsoft Defender per endpoint, Microsoft Defender per Office 365 e Microsoft Defender per identità. Il nuovo modello è pienamente compatibile con i singoli modelli RBAC attualmente supportati in Microsoft Defender XDR. Per ulteriori informazioni, consultare Controllo dell'accesso basato sui ruoli (RBAC) di Microsoft Defender XDR.
Novembre 2022
(Anteprima) Microsoft Defender Experts per XDR (Defender Experts for XDR) è ora disponibile per l'anteprima. Defender Experts per XDR è un servizio di rilevamento e risposta gestito che consente ai centri operativi di sicurezza (SOC) di concentrarsi e rispondere con precisione agli eventi imprevisti importanti. Fornisce rilevamento e risposta estesi per i clienti che usano carichi di lavoro Microsoft Defender XDR: Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender per identità, Microsoft Defender for Cloud Apps e Azure Active Directory (Azure AD). Per informazioni dettagliate, vedere Anteprima di Defender Experts per XDR espanso.
(Anteprima) Il report delle risorse di query è ora disponibile nella ricerca avanzata. Il report mostra l'utilizzo delle risorse CPU da parte dell'organizzazione per la ricerca in base alle query eseguite negli ultimi 30 giorni usando una qualsiasi delle interfacce di ricerca. Per trovare query inefficienti, vedere Visualizzare il report sulle risorse di query.
Ottobre 2022
- (Anteprima) La nuova funzionalità di interruzione automatica degli attacchi è ora disponibile in anteprima. Questa funzionalità combina informazioni dettagliate sulla ricerca sulla sicurezza e migliora i modelli di intelligenza artificiale per contenere automaticamente gli attacchi in corso. L'interruzione automatica degli attacchi offre anche più tempo ai centri operativi di sicurezza (SOC) per correggere completamente un attacco e limitare l'impatto di un attacco sulle organizzazioni. Questa anteprima interrompe automaticamente gli attacchi ransomware.
Agosto 2022
(GA) Microsoft Defender Experts for Hunting è ora disponibile a livello generale. Se sei un cliente di Microsoft Defender XDR con un solido centro operativo per la sicurezza, ma vuoi che Microsoft ti aiuti a cercare in modo proattivo le minacce tra endpoint, Office 365, applicazioni cloud e identità usando i dati di Microsoft Defender, scopri di più sull'applicazione, la configurazione e l'uso del servizio. Defender Experts for Hunting viene venduto separatamente dagli altri prodotti Microsoft Defender XDR.
(Anteprima) La modalità guidata è ora disponibile per l'anteprima pubblica nella ricerca avanzata. Gli analisti possono ora iniziare a eseguire query sul database per i dati di endpoint, identità, collaborazione tramite posta elettronica e dati delle app cloud senza conoscere il Linguaggio di query Kusto (KQL). La modalità guidata offre uno stile semplice e di facile utilizzo per costruire query tramite menu a discesa contenenti filtri e condizioni disponibili. Vedere Introduzione a Generatore di query.
Luglio 2022
- (Anteprima) I partecipanti all'anteprima pubblica di Microsoft Defender Experts for Hunting possono ora ricevere report mensili per aiutarli a comprendere le minacce rilevate dal servizio di ricerca nel proprio ambiente, insieme agli avvisi generati dai prodotti Microsoft Defender XDR. Per informazioni dettagliate, vedere Informazioni sul report Defender Experts for Hunting in Microsoft Defender XDR.
Giugno 2022
(Anteprima) Le tabelle DeviceTvmInfoGathering e DeviceTvmInfoGatheringKB sono ora disponibili nello schema di ricerca avanzato. Usare queste tabelle per eseguire la ricerca di eventi di valutazione in Gestione delle vulnerabilità di Defender, incluso lo stato di varie configurazioni e stati dell'area di attacco dei dispositivi.
La nuova scheda Indagine e risposta automatizzate nel portale di Microsoft Defender fornisce una panoramica delle azioni di riparazione in corso.
Il team delle operazioni di sicurezza può visualizzare tutte le azioni in attesa di approvazione e il tempo stabilito per approvare tali azioni nella scheda stessa. Il team di sicurezza può passare rapidamente al Centro notifiche ed eseguire le azioni correttive appropriate. La scheda di indagine e risposta automatizzata contiene anche un collegamento alla pagina Automazione completa. Ciò consente al team delle operazioni di sicurezza di gestire in modo efficace gli avvisi e completare le azioni di correzione in modo tempestivo.
Maggio 2022
- (Anteprima) In linea con l'espansione annunciata di recente in una nuova categoria di servizi denominata Microsoft Security Experts, verrà introdotta la disponibilità di Microsoft Defender Experts for Hunting (Defender Experts for Hunting) per l'anteprima pubblica. Defender Experts for Hunting è destinato ai clienti che dispongono di un solido centro operativo di sicurezza, ma vogliono che Microsoft li aiuti a cercare in modo proattivo le minacce nei dati Microsoft Defender, inclusi endpoint, Office 365, applicazioni cloud e identità.
Aprile 2022
(Anteprima) È ora possibile eseguire azioni sui messaggi di posta elettronica direttamente dai risultati delle query di ricerca. I messaggi di posta elettronica possono essere spostati in altre cartelle o eliminati definitivamente.
(Anteprima) La nuova
UrlClickEvents
tabella nella ricerca avanzata può essere usata per cercare minacce come campagne di phishing e collegamenti sospetti in base alle informazioni provenienti da collegamenti sicuri clic nei messaggi di posta elettronica, Microsoft Teams e App di Office 365.
Marzo 2022
- (Anteprima) La coda degli eventi imprevisti è stata migliorata con diverse funzionalità progettate per facilitare le indagini. I miglioramenti includono funzionalità come la possibilità di cercare eventi imprevisti in base all'ID o al nome, specificare un intervallo di tempo personalizzato e altri.
Dicembre 2021
- (GA) La
DeviceTvmSoftwareEvidenceBeta
tabella è stata aggiunta a breve termine nella ricerca avanzata per consentire di visualizzare la prova di dove è stato rilevato un software specifico in un dispositivo.
Novembre 2021
(Anteprima) La funzionalità di governance delle applicazioni aggiuntiva a Defender for Cloud Apps è ora disponibile in Microsoft Defender XDR. La governance delle app offre una funzionalità di sicurezza e gestione dei criteri progettata per le app abilitate per OAuth che accedono ai dati di Microsoft 365 tramite le API di Microsoft Graph. La governance delle app offre visibilità, correzione e governance complete su come queste app e i relativi utenti accedono, utilizzano e condividono i dati sensibili archiviati in Microsoft 365 tramite informazioni dettagliate di utilità pratica e avvisi e azioni automatizzati dei criteri. Altre informazioni sulla governance delle applicazioni.
(Anteprima) La pagina di rilevazione avanzata ha ora il supporto multitab, lo scorrimento intelligente, le schede dello schema semplificate, le opzioni di modifica rapida per le query, un indicatore di utilizzo delle risorse di query e altri miglioramenti per rendere le query più fluide e facili da ottimizzare.
(Anteprima) È ora possibile usare la funzionalità collegamento a evento imprevisto per includere eventi o record dei risultati della query di ricerca avanzata direttamente in un evento imprevisto nuovo o esistente che si sta analizzando.
Ottobre 2021
- (GA) Nella ricerca avanzata sono state aggiunte altre colonne nella tabella CloudAppEvents. È ora possibile includere
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
eUserAgentTags
nelle query.
Settembre 2021
(GA) I dati degli eventi di Microsoft Defender per Office 365 sono disponibili nell'API di streaming degli eventi Microsoft Defender XDR. È possibile visualizzare la disponibilità e lo stato dei tipi di eventi nella sezione Tipi di eventi Microsoft Defender XDR supportati nello streaming API.
(GA) I dati disponibili di Microsoft Defender per Office 365 nella ricerca avanzata è ora disponibile a livello generale.
(GA) Assegnare eventi imprevisti e avvisi agli account utente
È possibile assegnare un evento imprevisto e tutti gli avvisi ad esso associati a un account utente da Assegna a: nel riquadro Gestisci evento imprevisto di un evento imprevisto o nel riquadro Gestisci avviso di un avviso.
Agosto 2021
(Anteprima) Dati di Microsoft Defender per Office 365 disponibili nella ricerca avanzata
Le nuove colonne nelle tabelle di posta elettronica possono fornire maggiori informazioni sulle minacce basate sulla posta elettronica per indagini più approfondite tramite la ricerca avanzata. È ora possibile includere la
AuthenticationDetails
colonna in EmailEvents,FileSize
in EmailAttachmentInfo eThreatTypes
DetectionMethods
nelle tabelle EmailPostDeliveryEvents.(Anteprima) Grafico degli eventi imprevisti
Una nuova scheda Graph nella scheda Riepilogo di un evento imprevisto mostra l'intero ambito dell'attacco, il modo in cui l'attacco si è diffuso attraverso la rete nel tempo, dove è iniziato e fino a che punto è andato l'utente malintenzionato.
Luglio 2021
Catalogo dei servizi professionali
Ottimizzare le funzionalità di rilevamento, analisi e intelligence sulle minacce della piattaforma con le connessioni partner supportate.
Giugno 2021
(Anteprima) Visualizzare i report per tag di minaccia
I tag delle minacce consentono di concentrarsi su categorie di minacce specifiche ed esaminare i report più pertinenti.
(Anteprima) API di streaming
Microsoft Defender XDR supporta lo streaming di tutti gli eventi disponibili tramite Advanced Hunting su un account Event Hubs e/o Azure storage.
(Anteprima) Intervenire nella rilevazione avanzata
Contenere rapidamente le minacce o occuparsi delle risorse compromesse che si trovano in Rilevazione avanzata.
(Anteprima) Informazioni di riferimento sullo schema nel portale
Ottenere informazioni sulle tabelle dello schema di ricerca avanzata direttamente nel centro sicurezza. Oltre alle descrizioni di tabelle e colonne, questo pratico riferimento fornisce informazioni sui tipi di evento supportati, ossia (valori
ActionType
) e query di esempio.(Anteprima) Funzione DeviceFromIP()
Ottenere informazioni sui dispositivi a cui è stato assegnato un indirizzo IP specifico o indirizzi in un determinato intervallo di tempo.
Maggio 2021
Pagina Nuovo avviso nel portale di Microsoft Defender
Fornisce informazioni avanzate per il contesto in un attacco. È possibile vedere quali altri avvisi attivati hanno causato l'avviso corrente e tutte le entità e le attività interessate coinvolte nell'attacco, inclusi file, utenti e cassette postali. Per altre informazioni, vedere Analizzare gli avvisi.
Grafico delle tendenze per eventi imprevisti e avvisi nel portale di Microsoft Defender
Determinare se sono presenti diversi avvisi per un singolo evento imprevisto o se l'organizzazione è sotto attacco con diversi eventi imprevisti. Per altre informazioni, vedere Assegnare priorità agli eventi imprevisti.
Aprile 2021
Microsoft Defender XDR
Il nuovo portale di Microsoft Defender XDR è ora disponibile. Questa nuova esperienza riunisce Defender per endpoint, Defender per Office 365, Defender per identità e altro ancora in un unico portale. Questa è la nuova home per gestire i controlli di sicurezza. Informazioni sulle novità.
Report di analisi delle minacce di Microsoft Defender XDR
L'analisi delle minacce consente di rispondere e ridurre al minimo l'impatto degli attacchi attivi. È inoltre possibile conoscere i tentativi di attacco bloccati dalle soluzioni Microsoft Defender XDR e intraprendere azioni preventive che riducono il rischio di ulteriore esposizione e aumentano la resilienza. Nell'ambito dell'esperienza di sicurezza unificata, l'analisi delle minacce è ora disponibile per Microsoft Defender per endpoint e Microsoft Defender per i titolari di licenze di Office E5.
Marzo 2021
-
Trovare informazioni sugli eventi in varie app cloud e servizi coperti da Microsoft Defender for Cloud Apps. Questa tabella include anche le informazioni disponibili in precedenza nella tabella
AppFileEvents
.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.