Microsoft Defender XDR の新機能
Microsoft Defender XDR の新しい特徴と機能を一覧で示します。
その他の Microsoft Defender セキュリティ製品と Microsoft Sentinel の新機能に関する詳細情報は、以下で参照してください。
- Microsoft の統合セキュリティ運用プラットフォームの新機能
- Microsoft Defender for Office 365 の新機能
- Microsoft Defender for Endpoint の新機能
- Microsoft Defender for Identity の新機能
- Microsoft Defender for Cloud Apps の新機能
- Microsoft Sentinel の新着情報
製品の更新プログラムや重要な通知は、メッセージ センターで受け取ることもできます。
2024 年 12 月
- Microsoft Defender Experts for XDRでは、Defender Experts がサポートを提供する地域、子会社、または機能に基づいて、特定のデバイスやユーザーのセットを定義する必要があるお客様に対して、スコープを設定した対象範囲が提供されるようになりました。
- (プレビュー)高度なハンティングのインシデントへのリンク機能Microsoft Defender、クエリ結果Microsoft Sentinelリンクできるようになりました。 Microsoft Defender統合エクスペリエンスと高度なハンティングDefender XDR両方で、エンティティが影響を受ける資産か関連する証拠かを指定できるようになりました。
- (プレビュー)高度なハンティングでは、Microsoft Defenderポータル ユーザーが
adx()
演算子を使用して、Azure Data Explorerに格納されているテーブルにクエリを実行できるようになりました。 既にMicrosoft Defenderしている場合は、この演算子を使用するために、Microsoft Sentinelのログ分析に移動する必要がなくなりました。 - Microsoft の統合セキュリティ運用プラットフォーム用の新しいドキュメント ライブラリ。 Microsoft Defender ポータルで、Microsoft の統合 SecOps プラットフォームに関する一元化されたドキュメントをご覧ください。 Microsoft の統合 SecOps プラットフォームは、Microsoft Sentinel、Microsoft Defender XDR、Microsoft セキュリティ露出管理、および生成型 AI の完全な機能を Defender ポータルにまとめます。 Microsoft の統合 SecOps プラットフォームで利用できる機能について説明し、デプロイの計画を開始します。
- (GA)高度なハンティングでは、頻繁に使用されるスキーマ テーブル、関数、クエリ、検出ルールを各タブの下の [お気に入り ] セクションに追加して、すばやくアクセスできるようになりました。
2024 年 11 月
- マルチテナント管理でテナント グループを作成する手順を更新しました。 マルチテナント管理のテナント グループを使用したコンテンツ配布の新しい手順について説明します。
- (プレビュー)インシデント グラフの攻撃パスは、Microsoft Defender ポータルで使用できるようになりました。 攻撃ストーリーには、デバイスを侵害した後に攻撃者が実行できる可能性のあるパスを示す潜在的な攻撃パスが含まれるようになりました。 この機能は、対応作業に優先順位を付けるのに役立ちます。 詳細については、 攻撃ストーリーの攻撃パスに関するページを参照してください。
- (プレビュー)Microsoft Defender XDRお客様は、インシデント データを PDF にエクスポートできるようになりました。 エクスポートされたデータを使用して、インシデント データを簡単にキャプチャし、他の関係者と共有します。 詳細については 「インシデント データを PDF にエクスポートする」を参照してください。
- (GA)インシデント キューの最後の更新時刻列が一般公開されました。
- (プレビュー)Microsoft Defender ポータルで、コンテナー関連のアラートに対してクラウドネイティブの調査と応答アクションを使用できるようになりました。 セキュリティ オペレーション センター (SOC) アナリストは、コンテナー関連のアラートをほぼリアルタイムで調査し、クラウドネイティブの応答アクションと調査ログを使用して、関連するアクティビティを検索できるようになりました。 詳細については、「Microsoft Defender ポータルでコンテナーの脅威を調査して対応する」を参照してください。
- (GA)Microsoft Defenderポータルの高度なハンティングの
arg()
演算子が一般公開されました。 ユーザーは Azure Resource Graph クエリの arg() 演算子を使用して Azure リソースを検索できるようになりました。また、Microsoft Defenderに既に存在する場合は、Microsoft Sentinelで Log Analytics に移動してこの演算子を使用する必要がなくなりました。 - (プレビュー) CloudProcessEvents テーブルを高度なハンティングでプレビューできるようになりました。 これには、マルチクラウドホスト環境でのプロセス イベントに関する情報が含まれています。 これを使用して、悪意のあるプロセスやコマンド ライン署名など、プロセスの詳細を通じて観察できる脅威を検出できます。
- (プレビュー)カスタム検出クエリを 継続的 (ほぼリアルタイムまたは NRT) 頻度 に移行し、高度なハンティングでプレビューできるようになりました。 継続的 (NRT) 頻度を使用すると、脅威をより迅速に特定するorganizationの能力が向上します。 リソースの使用状況への影響は最小限からまったくないため、organization内の修飾されたカスタム検出ルールについて考慮する必要があります。 互換性のある KQL クエリは、「 継続的 (NRT) 頻度」の手順に従って移行できます。
2024 年 10 月
- Microsoft Unified RBAC ロールは、Microsoft 脅威エキスパートのお客様が Ask Defender エキスパート機能を使用するための新しいアクセス許可レベルで追加されます。
- (プレビュー)高度なハンティングでは、Microsoft Defender ポータル ユーザーは、Azure Resource Graph クエリの
arg()
演算子を使用して Azure リソースを検索できるようになりました。 既にMicrosoft Defenderしている場合は、この演算子を使用するために、Microsoft Sentinelの Log Analytics に移動する必要がなくなりました。
2024 年 9 月
- (GA)Microsoft Defender ポータルのエンティティのグローバル検索が一般公開されました。 強化された検索結果ページでは、すべてのエンティティからの結果が一元化されます。 詳細については、Microsoft Defender ポータルでのグローバル検索に関するページを参照してください。
- (GA)Defender の Copilot には、ID の概要機能が含まれるようになり、ユーザーのリスク レベル、サインイン アクティビティなどの瞬時の分析情報が提供されるようになりました。 詳細については、「Defender で Copilot を使用して ID 情報を要約する」を参照してください。
- Microsoft Defender 脅威インテリジェンスお客様は、Microsoft Defender ポータルのホーム ページで、最新の注目の脅威インテリジェンスに関する記事を表示できるようになりました。 Intel エクスプローラー ページには、最後に Defender ポータルにアクセスした後に発行された新しい Defender TI 記事の数を通知する記事ダイジェストも追加されました。
- Microsoft Defender XDR統合 RBAC アクセス許可が追加され、問い合わせを送信し、Microsoft Defenderエキスパートからの回答を表示できます。 また、お問い合わせを送信するときに、または Defender ポータルでレポート>Defender Experts メッセージに移動して、一覧表示されたメール アドレスを通じて Defender エキスパートに送信された問い合わせに対する応答を表示することもできます。
- (GA) 高度なハンティング コンテキスト ウィンドウが、 より多くのエクスペリエンスで使用できるようになりました。 これにより、現在のワークフローを離れることなく、高度なハンティング機能にアクセスできます。
- 分析ルールによって生成されたインシデントとアラートの場合は、[ クエリの実行 ] を選択して、関連する分析ルールの結果を調べることができます。
- 分析ルール ウィザードの [ルールロジックの設定 ] ステップで、[ クエリ結果の表示 ] を選択して、設定しようとしているクエリの結果を確認できます。
- クエリ リソース レポートでは、クエリ行の 3 つのドットを選択し、[クエリ エディターで開く] を選択することで、任意のクエリを表示できます。
- インシデントまたはアラートに関連するデバイス エンティティの場合、 Go hunt は、デバイス側パネルで 3 つのドットを選択した後のオプションの 1 つとして使用することもできます。
2024 年 8 月
- (プレビュー)Microsoft Sentinelデータは、マルチテナント管理のDefender XDRデータMicrosoft Defender使用できるようになりました。 現在、Microsoft 統合セキュリティ運用プラットフォームでは、テナントごとに 1 つのMicrosoft Sentinel ワークスペースのみがサポートされています。 そのため、マルチテナント管理Microsoft Defender、テナントごとに 1 つのMicrosoft Sentinel ワークスペースからのセキュリティ情報とイベント管理 (SIEM) データが表示されます。 詳細については、Microsoft Defender ポータルMicrosoft Defenderマルチテナント管理とMicrosoft Sentinelに関するページを参照してください。
- Microsoft Defender ポータルの移動中にスムーズなエクスペリエンスを確保するには、許可リストに適切なアドレスを追加してネットワーク ファイアウォールを構成します。 詳細については、「Microsoft Defender XDRのネットワーク ファイアウォールの構成」を参照してください。
2024 年 7 月
IoT ライセンスのMicrosoft Defenderと Defender for Endpoint のデバイス検出機能を通じて、運用テクノロジ (OT) デバイスと通信した侵害されたデバイスがMicrosoft Defender ポータルに表示されるアラートを含むインシデント。 Defender for Endpoint データを使用して、Defender XDRこれらの新しい OT アラートをインシデントに自動的に関連付け、包括的な攻撃ストーリーを提供します。 関連するインシデントをフィルター処理するには、Microsoft Defender ポータルの「インシデントの優先順位付け」を参照してください。
(GA)インシデントキューとアラート キュー内の関連するアラート サブスクリプション ID でクラウド アラートのMicrosoft Defenderをフィルター処理できるようになりました。 詳細については、「Microsoft Defender XDRのクラウドのMicrosoft Defender」を参照してください。
(GA)Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォームが一般公開されています。 このリリースでは、Microsoft Defender 内で Microsoft Sentinel、Microsoft Defender XDR、および Microsoft Copilot のすべての機能が同時に提供されます。 詳細については、次のリソースを参照してください。
(プレビュー)Microsoft Defender ポータルの [インシデント] キューと [アラート] キューで列をカスタマイズできるようになりました。 列を追加、削除、並べ替えて、必要な情報を表示できます。 詳細については、 インシデント キュー と アラート キューの列をカスタマイズする方法に関するページを参照してください。
(プレビュー) 重要な資産 は、インシデント キューとアラート キュー内のタグの一部になりました。 重要な資産がインシデントまたはアラートに関与すると、クリティカル資産タグがキューに表示されます。 詳細については、「 インシデント タグ と アラート キュー」を参照してください。
(プレビュー)インシデントは、インシデントに対して行われた最新の自動更新または手動更新に従って配置されるようになりました。 インシデント キューの最後の更新時刻列について説明します。
(GA)ラーニング ハブ リソースは、Microsoft Defender ポータルから learn.microsoft.com に移動しました。 Microsoft Defender XDR Ninja のトレーニング、ラーニング パス、トレーニング モジュールなどを利用できます。 ラーニング パスの一覧を参照し、製品、ロール、レベル、件名でフィルター処理します。
(GA)高度なハンティングの UrlClickEvents テーブルが一般公開されました。 この表を使用して、サポートされているデスクトップ、モバイル、Web アプリのメール メッセージ、Microsoft Teams、Office 365 アプリからの安全なリンクのクリックに関する情報を取得します。
(GA)高度なハンティングとカスタム検出でアクションを実行するから、メール メッセージを検疫からユーザーの受信トレイに直接解放または移動できるようになりました。 これにより、セキュリティオペレーターは、コンテキストを失うことなく、誤検知をより効率的に管理できます。
2024 年 6 月
(プレビュー) マルチテナント管理のテナント グループを介したコンテンツ配布 を利用できるようになりました。 コンテンツ配布は、Microsoft Defender XDRのマルチテナント管理でテナント間で大規模にコンテンツを管理するのに役立ちます。 コンテンツ配布では、テナント グループを作成して、カスタム検出ルールなどの既存のコンテンツをソース テナントから、テナント グループの作成時に割り当てるターゲット テナントにコピーできます。 その後、コンテンツは、テナント グループ スコープで設定したターゲット テナントのデバイスまたはデバイス グループで実行されます。
(プレビュー)インシデントキューとアラート キュー内の関連するアラート サブスクリプション ID によって、クラウド アラートのMicrosoft Defenderをフィルター処理できるようになりました。 詳細については、「Microsoft Defender XDRのクラウドのMicrosoft Defender」を参照してください。
(GA)高度なハンティングで 結果をフィルター処理 できるようになり、焦点を絞る特定のデータに関する調査を絞り込むことができます。
2024 年 5 月
(プレビュー)セキュリティ アナリストは、Microsoft Defender ポータルで、Microsoft Purview インサイダー リスク管理へのプロビジョニングされたアクセス権を持つMicrosoft Defender XDRユーザーが利用できるインサイダー リスクの重大度と分析情報を使用して、ユーザーのインサイダー リスクを調査できるようになりました。 詳細については、 ユーザー ページのエンティティの詳細 を参照してください。
(GA)エンドポイント セキュリティ ポリシー ページが、Microsoft Defender XDRのマルチテナント管理で使用できるようになりました。 [エンドポイント セキュリティ ポリシー] ページから、テナントのデバイスの セキュリティ ポリシー を作成、編集、削除します。 詳細については、「 マルチテナント管理のエンドポイント セキュリティ ポリシー」を参照してください。
アラート の重大度 とアラート タイトルの値を条件として使用して 、アラート チューニング ルールを作成します。 アラートのチューニングは、特定の組織の動作が発生し、ルール条件が満たされるたびに、アラートを自動的に非表示または解決することで、アラート キューを合理化し、トリアージ時間を節約するのに役立ちます。 詳細については、「 アラートの調整」を参照してください。
(プレビュー)メイン Microsoft 365 Defender 設定で、他の Microsoft 365 Defender プレビュー機能と共にプレビュー オプションをオンにします。 プレビュー機能をまだ使用していないお客様は、[ 設定] > [エンドポイント] > [高度な機能] > [プレビュー機能] の下にレガシ設定が引き続き表示されます。 詳細については、「 Microsoft 365 Defender プレビュー機能」を参照してください。
(プレビュー)Microsoft Defender ポータルの [SOC の最適化] ページが統合セキュリティ運用プラットフォームで使用できるようになりました。 MICROSOFT DEFENDER XDRとMicrosoft Sentinelを統合し、SOC 最適化を使用してプロセスと結果の両方を最適化します。SOC チームが手動で分析と調査に時間を費やすことはありません。 詳細については、以下を参照してください:
(プレビュー)Microsoft Defender ポータルで検索すると、Microsoft Sentinel内のデバイスとユーザーを検索できるようになりました。 検索バーを使用して、Microsoft Defender XDRとMicrosoft Sentinel全体でインシデント、アラート、その他のデータを検索します。 詳細については、「Microsoft Defenderで検索する」を参照してください。
(プレビュー) CloudAuditEvents テーブルが高度なハンティングで使用できるようになりました。 これにより、Microsoft Defender for Cloud のクラウド監査イベントを検索し、不審な Azure Resource Manager と Kubernetes (KubeAudit) コントロール プレーン アクティビティを表示するカスタム検出を作成できます。
(GA)電子メール メッセージのアクションとして [論理的な削除 ] が選択されている場合の送信者のコピーの自動論理的な削除が、高度なハンティングの [アクションの実行] ウィザードで使用できるようになりました。 この新機能により、送信済みアイテム、特に 論理的な削除 と 受信トレイへの移動アクションを使用する 管理者を管理するプロセスが合理化されます。 詳細については 、「電子メールに対するアクションの実行 」を参照してください。
(プレビュー)高度なハンティング クエリ API を使用してMicrosoft Sentinelデータに対してクエリを実行できるようになりました。
timespan
パラメーターを使用して、既定の 30 日間よりも長いデータ保有期間を持つDefender XDRとMicrosoft SentinelデータDefender XDRクエリを実行できます。(プレビュー)統合Microsoft Defender ポータルで、Microsoft Sentinel テーブルとDefender XDR テーブルにまたがるデータのクエリでカスタム検出を作成できるようになりました。 詳細については、「 カスタム分析と検出ルールの作成 」を参照してください。
Microsoft TeamsのMicrosoft Defender Experts アプリのアクセス許可に関するトラブルシューティング手順を更新しました。
2024 年 4 月
(プレビュー) Microsoft Defender ポータルで、統合セキュリティ オペレーション プラットフォーム を利用できるようになりました。 このリリースでは、Microsoft Defender 内で Microsoft Sentinel、Microsoft Defender XDR、および Microsoft Copilot のすべての機能が同時に提供されます。 詳細については、次のリソースを参照してください。
(GA) Microsoft Defender の Microsoft Copilot が一般提供されるようになりました。 Defender の Copilot は、インシデントをより迅速かつ効果的に調査して対応するのに役立ちます。 Copilot は、ガイド付き応答、インシデントの概要、レポートを提供し、脅威を検出する KQL クエリを構築し、ファイルとスクリプトの分析を提供し、関連する実用的な脅威インテリジェンスを要約するのに役立ちます。
Defender の Copilot のユーザーは、インシデント データを PDF にエクスポートできるようになりました。 エクスポートされたデータを使用してインシデント データを簡単に共有し、セキュリティ チームやその他の関係者による協議を容易にします。 詳細については 「インシデント データを PDF にエクスポートする」を参照してください。
Microsoft Defender ポータル内での通知 が利用可能になりました。 Defender ポータルの右上にあるベル アイコンを選択すると、アクティブなすべての通知が表示されます。 通知の詳細については、Microsoft Defender ポータルを参照してください。
デバイスに関連付けられている Azure リソースの一意の識別子を示す
AzureResourceId
列が、高度な追求内の [DeviceInfo] テーブルで使用できるようになりました。
2024 年 2 月
(GA) Microsoft Defender ポータルで ダーク モード が使用できるようになりました。 Defender ポータルのホームページで、右上にある [ダーク モード]を選択します。 ライト モード を選択すると、カラー モードが既定値に戻ります。
(GA) インシデントへの重大度の割り当て、グループへのインシデントの割り当て、および、攻撃ストーリー グラフの [追求する] オプションの一般提供が開始されました。 インシデントの重要度を割り当てまたは変更する方法と、インシデントをグループに割り当てる方法のガイドについては、[インシデントの管理] ページで確認できます。 [追求する] オプションを使用する方法については、攻撃ストーリーをご覧ください。
(プレビュー) Microsoft Graph Security API で、カスタム検出規則を使用できるようになりました。 組織に固有の高度な追求のカスタム検出ルールを作成して、事前に脅威をモニターし、アクションを実行します。
警告
2024-02 プラットフォーム リリースでは、アクセス権がディスク/デバイス レベルのみ (7 以下のマスク) である、リムーバブル メディア ポリシーを使用しているデバイス制御ユーザーに対する結果で、一貫性が損なわれます。 適用が期待どおりに機能しない可能性があります。 この問題を軽減するには、以前のバージョンの Defender プラットフォームにロールバックすることをお勧めします。
2024 年 1 月
Defender Boxed が、一定期間利用できます。 Defender Boxed では、2023 年中における、組織のセキュリティの成功、改善、対応アクションをハイライトします。 組織のセキュリティ体制の改善、検出された脅威に対する全体的な対応 (手動および自動)、ブロックされた電子メール、その他について、一度確認する時間を持ってみましょう。
- Defender Boxed は、Microsoft Defender ポータルの [インシデント] ページに移動すると自動的に開きます。
- Defender Boxed を閉じた後に再度開く場合は、Microsoft Defender ポータルで [インシデント] に移動し、[自分の Defender Boxed] を選択します。
- 動くのはお早めに! Defender Boxed は短期間のみ使用が可能です。
Defender Experts for XDR を使用して、Teams を使用 マネージド応答通知と更新プログラムを受信できるようになりました。 マネージド応答が発行されるインシデントに関して、Defender エキスパートとチャットすることもできます。
(GA) インシデント キューの使用可能なフィルター で、新機能が一般提供されました。 フィルター セットを作成し、フィルター クエリを保存することで、好みのフィルターに従ってインシデントに優先順位を付けます。 インシデント キュー フィルターの詳細については、「使用可能なフィルター」でご確認ください。
(GA) Microsoft Defender for Cloud アラートと Microsoft Defender XDR の統合が、一般提供されるようになりました。 統合の詳細については、「Microsoft Defender XDR での Microsoft Defender for Cloud」でご確認ください。
(GA) [インシデント] ページ内で、[アクティビティ ログ]が使用できるようになりました。 アクティビティ ログは、すべての監査とコメントを表示し、インシデントのログにコメントを追加するのに使用します。 詳細については、「アクティビティ ログ」を参照してください。
(プレビュー) 高度な追求で クエリ履歴を使用できるようになりました。 最近実行したクエリを再実行したり、検索条件を絞りこんだりが行なえます。 過去 28 日間に最大 30 個のクエリを、クエリ履歴ウィンドウに読み込むことができます。
(プレビュー) 高度な追求で、クエリ結果をさらに ドリルダウンするために使用できる、追加機能が利用可能になりました。
2023 年 12 月
Microsoft Defender XDR の統合されたロールベースのアクセス制御 (RBAC) の、一般提供が開始されました。 統合 (RBAC) を使用すると、管理者は、1 つの一元化された場所から、さまざまなセキュリティ ソリューション間でユーザーのアクセス許可を管理できます。 このオファリングは GCC Moderate のお客様も、ご利用になれます。 詳細については、「Microsoft Defender XDR の統合されたロールベースのアクセス制御 (RBAC)」を参照してください。
Microsoft Defender Experts for XDR を使用すると、エキスパートが行った修復アクションから デバイスを除外し、代わりにそれらのエンティティの修復ガイダンスを取得できるようになります。
Microsoft Defender ポータルのインシデント キューではフィルタと検索が更新されており、さらに独自のフィルター セットを作成できる新しい関数が追加されました。 詳細については、「使用可能なフィルター」を参照してください。
インシデントを、ユーザー グループまたは別のユーザーに割り当てできるようになりました。 詳細については、「インシデントを割り当てる」を参照してください。
2023 年 11 月
Microsoft Defender エキスパートによる追求で、サンプルの Defender エキスパート通知を生成できるようになりました。これにより、重大なアクティビティが環境内で実際に発生するのを待たずに、このサービスの体験を開始できます。 詳細情報
(プレビュー) Microsoft Defender for Cloud アラートが Microsoft Defender XDR に統合されました。 Defender for Cloud アラートは、Microsoft Defender ポータル内でインシデントとアラートに自動的に関連付けられます。さらに、クラウド リソース資産を、インシデントとアラート キューで表示することができます。 Microsoft Defender XDR の Defender for Cloud 統合 の詳細について、ご確認ください。
(プレビュー) Microsoft Defender XDR に、人的に操作された横移動を使用する影響の大きい攻撃から環境を保護するために、偽装テクノロジが組み込まれるようになりました。 偽装機能の詳細と、偽装機能を構成する方法について、ご確認ください。
Microsoft Defender Experts for XDR で、Defender Experts for XDR サービスの環境を準備する際に、独自の対応準備評価を実行できるようになりました。
2023 年 10 月
(プレビュー) Microsoft Defender XDR で実行された手動アクションや自動アクションについて、メール通知を受信できるようになりました。 ポータルで実行される手動または自動の対応措置についてメール通知を構成する方法を説明します。 詳細については、「Microsoft Defender XDR で応答アクションの電子メール通知を取得する」を参照してください。
(プレビュー) Microsoft Defender XDR の Microsoft Security Copilot は、現在プレビュー段階です。 Microsoft Defender XDR のユーザーは、Security Copilot の機能を活用し、インシデント情報の要約、スクリプトとコードの分析、ガイド付き応答によるインシデント解決、KQL クエリの生成、インシデント レポートの作成をポータル内から実行できます。 Security Copilot は招待制のプレビュー段階です。 Security Copilot の詳細については、Microsoft Security Copilot 早期アクセス プログラムに関する FAQ を参照してください。
2023 年 9 月
- (プレビュー) Microsoft Defender for Identity と Microsoft Defender for Cloud Apps のデータ (具体的には、
CloudAppEvents
、IdentityDirectoryEvents
、IdentityLogonEvents
、およびIdentityQueryEvents
テーブル) を使用したカスタム検出を、ほぼリアルタイムの連続 (NRT) 頻度で実行できるようになりました。
2023 年 8 月
新規ユーザー向けの、初めてのインシデント対応に関するガイドが公開されました。 インシデントに関する知識を身につけ、トリアージと優先順位付けの方法、初めてのインシデント分析の方法をチュートリアルとビデオで学び、さらに、ポータルで実行できるアクションの理解を通して、攻撃の影響を緩和する方法を学ぶことができます。
(プレビュー) 資産ルールの管理 - デバイスの動的なルールがパブリック プレビューになりました。 動的なルールを使用すると、特定の条件に基づいてタグとデバイス値を自動的に割り当てることができ、デバイス コンテキストの管理に役立ちます。
(プレビュー)高度なハンティングの DeviceInfo テーブルには、調査中のデバイスに関連する手動で割り当てられたタグと動的に割り当てられたタグの両方を表示するために、パブリック プレビューで
DeviceManualTags
列とDeviceDynamicTags
列も含まれるようになりました。Microsoft Defender Experts for XDR のガイド付き応答機能の名称が、マネージド応答に変更されました。 また、FAQ に、インシデントの更新に関する新しいセクションが追加されました。
2023 年 7 月
(GA) インシデントの攻撃ストーリーの一般提供が開始されました。 攻撃ストーリーによって攻撃の完全なストーリーを知ることができ、インシデント対応チームが詳細情報を参照して修復を適用できるようになります。
Microsoft Defender XDR で、新しい URL とドメイン ページが利用可能になりました。 新しい URL とドメイン ページでは、ある URL またはドメインに関するすべての情報 (評判、クリックしたユーザー、アクセスしたデバイス、その URL またはドメインが表示されたメールなど) を一覧できます。 詳細については、「Microsoft Defender XDR で URL を調査する」を参照してください。
2023 年 6 月
- (GA) Microsoft Defender Experts for XDR の一般提供が開始されました。 Defender Experts for XDR を利用すると、自動化と Microsoft セキュリティ アナリストの専門知識を組み合わせてお客様のセキュリティ オペレーション センターを強化できます。的確な脅威検出と対応、セキュリティ態勢の強化に役立ちます。 Microsoft Defender Experts for XDR は、他の Microsoft Defender XDR 製品には含まれていない別売製品です。 Microsoft Defender XDR をご利用のお客様で、Defender Experts for XDR の購入をお考えの場合は、「Microsoft Defender Experts for XDR の概要」をご覧ください。
2023 年 5 月
(GA) アラート チューニングの一般提供が開始されました。 アラート チューニングは、アラートを微調整して調査時間を短縮し、優先度が高いアラートの解決に専念できるようにする機能です。 アラート チューニングは、従来のアラート抑制の代替となる機能です。
(GA) 自動攻撃遮断の一般提供が開始されました。 これは、人手によるランサムウェア攻撃 (HumOR)、ビジネス メール詐欺 (BEC)、中間者攻撃 (AiTM) を自動的に遮断する機能です。
(プレビュー) 高度な追求で、カスタム関数を使用できるようになりました。 独自のカスタム関数を作成することで、お客様の環境内を調べる際に任意のクエリ ロジックを再利用できます。
2023 年 4 月
(GA) [インシデント] ページの、統合された [資産] タブの一般提供が開始されました。
Microsoft では、脅威アクターの分類に、新しい気象ベースの命名分類法を採用しています。 この新しい命名法では、以前の方法に比べて明確さと参照しやすさが向上しています。 新しい脅威アクター分類の詳細については、こちらをご覧ください。
2023 年 3 月
- (プレビュー) Microsoft Defender 脅威インテリジェンス (Defender TI) を、Microsoft Defender ポータルで利用できるようになりました。
この変更に伴い、Microsoft Defender ポータルに [脅威インテリジェンス] というナビゲーション メニューが新設されました。 詳細情報 を参照してください。
(プレビュー) 高度な追求で、
DeviceInfo
テーブルの完全なデバイス レポートが 1 時間ごとに送信されるようになりました (従来は 1 日ごとの頻度でした)。 さらに、以前のレポートに変更がある場合は常に、完全なデバイス レポートも送信されます。DeviceInfo
テーブルに新しい列が追加されました。また、DeviceInfo
テーブルと DeviceNetworkInfo テーブルの既存データについて数件の改善が行われました。(プレビュー) 高度な追求のカスタム検出において、ほぼリアルタイムのカスタム検出をパブリック プレビューで利用できるようになりました。 新しい 継続的 (NRT) 頻度があり、イベントのデータがほぼリアルタイムで収集および処理されるようにチェックされます。
(プレビュー) Microsoft Defender for Cloud Apps のビヘイビアーをパブリック プレビューで利用できるようになりました。 また、プレビューをお使いの場合は、高度な追求で BehaviorEntities テーブルと BehaviorInfo テーブルを使用してビヘイビアーを探せるようになりました。
2023 年 2 月
(GA) 高度な追求のクエリ リソース レポートの一般提供が開始されました。
(プレビュー) 自動攻撃遮断機能が、ビジネス メール詐欺 (BEC) の遮断に対応しました。
2023 年 1 月
Microsoft Defender Experts for Hunting レポートの新バージョンが提供されました。 このレポートの新しいインターフェイスでは、Defender Experts によって環境内で観測された疑わしいアクティビティについて、より詳細なコンテキスト情報を参照できます。 また、継続的なトレンドになっている疑わしいアクティビティの情報が月ごとに表示されます。 詳細については、「Microsoft Defender XDR の Defender エキスパートによる追求レポートを理解する」を参照してください。
(GA) ライブ レスポンスの macOS 版と Linux 版の一般提供が開始されました。
(GA) Microsoft Defender XDR の新しい [ID] ページの構成要素として、ID タイムラインの一般提供が開始されました。 [ユーザー] ページが更新されてデザインが新しくなり、関連アセットの拡張ビューと、新しい専用のタイムライン タブが追加されました。タイムラインには、過去 30 日間のアクティビティとアラートが表示されます。 これにより、使用可能なすべてのワークロード (Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint) について、同じユーザーの ID エントリが統合されます。 タイムラインは、特定の時間枠内に特定のユーザーが実行したアクティビティ (または、そのユーザーに対して実行されたアクティビティ) だけを把握したいときに便利です。
2022 年 12 月
- (プレビュー) Microsoft Defender XDR の、新しいロールベースのアクセス制御 (RBAC) モデルが、プレビューで利用できるようになりました。 新しい RBAC モデルでは、セキュリティ管理者が、複数のセキュリティ ソリューションで扱われるさまざまな特権を、より効率的に 1 つのシステム内で集中管理できます。現在、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity がサポートされています。 新しいモデルには、Microsoft Defender XDR で現在サポートされている既存の RBAC モデルと、個々に完全な互換性があります。 詳細については、「Microsoft Defender XDR のロールベースのアクセス制御 (RBAC)」を参照してください。
2022 年 11 月
(プレビュー) Microsoft Defender Experts for XDR (Defender Experts for XDR) をプレビューで利用できるようになりました。 Defender Experts for XDR は検出と対応のためのマネージド サービスです。お客様のセキュリティ オペレーション センター (SOC) が重要なインシデントの処理に専念し、正確に対応するために役立ちます。 各種の Microsoft Defender XDR ワークロード (Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、Azure Active Directory (Azure AD)) をお使いのお客様は、拡張検出と応答の機能を利用いただけるようになります。 詳細については、拡張された Microsoft Defender Experts for XDR プレビューに関するページを参照してください。
(プレビュー) 高度な追求で、クエリ リソース レポートを使用できるようになりました。 このレポートには、過去 30 日間に各種の追求インターフェイスで実行されたクエリに基づき、組織が追求に使用している CPU リソースの消費量が表示されます。 効率的でないクエリの見つけ方については、クエリ リソース レポートの表示に関するページを参照してください。
2022 年 10 月
- (プレビュー) 新しい自動攻撃遮断機能がプレビューで提供されました。 これは、セキュリティ調査に関する分析情報と高度な AI モデルの組み合わせにより、現在進行中の攻撃を自動的に封じ込める機能です。 また、自動攻撃遮断を利用すると、お客様のセキュリティ オペレーション センター (SOC) は攻撃に対する全面的な修復作業に長い時間を割けるようになり、攻撃によって組織が被る影響を限定しやすくなります。 このプレビューには、ランサムウェア攻撃を自動的に遮断する機能があります。
2022 年 8 月
(GA) Microsoft Defender Experts for Hunting の一般提供が開始されました。 堅牢なセキュリティ オペレーション センターを運営しているお客様が、Microsoft Defender XDR を使用しており、さらに能動的、横断的に各種エンドポイント (Office 365、クラウド アプリケーション、ID) の脅威を検出するため Microsoft Defender のデータを活用したいとお考えの場合は、このサービスの導入、セットアップ、使用について詳細をご確認ください。 Defender Experts for Hunting は、他の Microsoft Defender XDR 製品には含まれていない別売製品です。
(プレビュー) 高度な追求のガイド付きモードをパブリック プレビューで利用できるようになりました。 Kusto クエリ言語 (KQL) の知識がないアナリストでも、データベースのクエリを実行して、エンドポイント、ID、メールとコラボレーション、クラウド アプリ データを調べることができます。 ガイド付きモードでは、使いやすいビルディングブロック形式のインターフェイスにより、ドロップダウン メニューから使用可能なフィルターや条件を選んでクエリを組み立てることができます。 クエリビルダーの使用開始に関するページを参照してください。
2022 年 7 月
- (プレビュー) Microsoft Defender エキスパートによる追求のパブリック プレビューに参加中のお客様に対し、追求サービスによって環境内で検出される脅威と、Microsoft Defender XDR 製品によって生成されるアラートについての月次レポートが送られるようになったので、状況を把握するのに役立てられます。 詳細については、「Microsoft Defender XDR の Defender エキスパートによる追求レポートを理解する」を参照してください。
2022 年 6 月
(プレビュー) 高度な追求のスキーマで、DeviceTvmInfoGathering テーブルと DeviceTvmInfoGatheringKB テーブルを使用できるようになりました。 これらのテーブルを使用すると、Defender Vulnerability Management の評価イベントを調べ、さまざまな構成の状態や、デバイスの攻撃対象領域の状態を知ることができます。
Microsoft Defender ポータルに新しく導入された自動調査と応答カードでは、保留中の修復アクションの概要が提供されます。
セキュリティ オペレーション チームは、このカードを参照するだけで、承認待ちのすべてのアクションと、それらのアクションの承認処理に与えられた規定時間を把握できます。 セキュリティ チームは、アクション センターにすばやく移動して適切な修復アクションを実行できます。 自動調査と応答カードには、[完全自動化] ページへのリンクも用意されています。 このため、セキュリティ オペレーション チームがアラートを効果的に処理し、修復アクションをタイムリーに完了できます。
2022 年 5 月
- (プレビュー) Microsoft Security Experts という新しいサービス カテゴリに関する、最近発表された拡張路線に沿って、当社は、Microsoft Defender Experts for Hunting (Defender Experts for Hunting) のパブリック プレビュー提供を開始します。 Defender Experts for Hunting は、堅牢なセキュリティ オペレーション センターを運営しているお客様が、Microsoft Defender の各種データ (エンドポイント、Office 365、クラウド アプリケーション、ID) を横断的、能動的に調べて脅威を検出したいとお考えの場合に適しています。
2022 年 4 月
(プレビュー) 追求クエリの結果から直接、メール メッセージに対してアクションを実行できるようになりました。 メールを他のフォルダーに移動することや完全に削除することが可能です。
(プレビュー) 高度な追求の新しい
UrlClickEvents
テーブルを使用すると、メール メッセージ、Microsoft Teams、Office 365 アプリでクリックされた [安全なリンク] の情報に基づき、フィッシング キャンペーンや疑わしいリンクなどの脅威を探すことができます。
2022 年 3 月
- (プレビュー) インシデント キューに、調査に役立つ数種類の機能強化が施されました。 機能強化項目には、インシデントを ID または名前で検索する機能、時間範囲をカスタム指定できる機能などが含まれています。
2021 年 12 月
- (GA) デバイス上で特定のソフトウェアが検出された場合にその証拠を参照できるよう、高度な追求に、短期的な措置として
DeviceTvmSoftwareEvidenceBeta
テーブルが追加されました。
2021 年 11 月
(プレビュー) Microsoft Defender XDR で、Defender for Cloud Apps に対するアプリケーション ガバナンス アドオン機能を利用できるようになりました。 アプリケーション ガバナンスは、Microsoft 365 のデータに Microsoft Graph API 経由でアクセスする OAuth 対応アプリ向けに設計された、セキュリティとポリシーの管理機能です。 アプリ ガバナンスは、実用的な分析情報と自動化されたポリシー アラートおよびアクションを通して、これらのアプリとそのユーザーが Microsoft 365 に保存されている機密データにアクセスし、使用し、共有する方法について、完全な可視性、修復、およびガバナンスを提供します。 アプリケーション ガバナンスの詳細については、こちらを参照してください。
(プレビュー) [高度な追求] ページに、複数タブのサポート、スマート スクロール、合理化されたスキーマ タブ、クエリのクイック編集オプション、クエリ リソース使用状況インジケーター、その他の機能強化が施され、クエリの微調整をよりスムーズに、簡単に行えるようになりました。
(プレビュー)インシデント機能 へのリンクを 使用して、高度なハンティング クエリ結果のイベントまたはレコードを、調査中の新しいインシデントまたは既存のインシデントに直接含めることができるようになりました。
2021 年 10 月
- (GA) 高度な追求の CloudAppEvents テーブルに列が追加されました。 クエリに
AccountType
、IsExternalUser
、IsImpersonated
、IPTags
、IPCategory
、UserAgentTags
を含めることが可能になりました。
2021 年 9 月
(GA) Microsoft Defender for Office 365 のイベント データを、Microsoft Defender XDR のイベント ストリーミング API で利用できるようになりました。 イベントの各種類の可用性と状態については、「ストリーミング API でサポートされている Microsoft Defender XDR イベントの種類」を参照してください。
(GA) 高度な追求で Microsoft Defender for Office 365 のデータを取得する機能が一般提供されました。
(GA) ユーザー アカウントに対するインシデントとアラートの割り当て
インシデントの [インシデントの管理] ウィンドウ、またはアラートの [アラートの管理] ウィンドウから、[割り当て先:] を使用して、インシデントとそれに関連付けられているすべてのアラートをユーザー アカウントに割り当てることができます。
2021 年 8 月
(プレビュー) 高度な追求で Microsoft Defender for Office 365 のデータを取得
高度な追求のメール テーブルに新しい列が追加され、メール ベースの脅威に関する分析情報をより多く入手して詳細な調査を行えるようになりました。 EmailEvents テーブルの
AuthenticationDetails
列、EmailAttachmentInfo テーブルのFileSize
列、EmailPostDeliveryEvents テーブルのThreatTypes
列、DetectionMethods
列を含めることができます。(プレビュー) インシデント グラフ
インシデントの [概要] タブに、[グラフ] タブが追加されました。ここには、攻撃の全体像、攻撃がネットワーク内に広がった過程、攻撃の始まった場所、攻撃者が達成した事柄の進行度合いが表示されます。
2021 年 7 月
-
このプラットフォームの検出機能、調査機能、脅威インテリジェンス機能をさらに充実させるために、サポートされているパートナー接続をご活用ください。
2021 年 6 月
(プレビュー) 脅威タグ別のレポート表示
脅威タグを使用すると、特定の脅威カテゴリに注目して関連性の高いレポートを確認する作業が容易になります。
(プレビュー) ストリーミング API
Microsoft Defender XDR では、高度な追求で取得したすべてのイベントを、イベント ハブや Azure ストレージ アカウントにストリーミングできます。
(プレビュー) 高度な追求から対応アクションを実行
高度な追求で検出した脅威をすばやく阻止することや、侵害された資産に処置を施すことができます。
(プレビュー) ポータル内でのスキーマ参照
高度な追求のスキーマ テーブルに関する情報を、セキュリティ センターで直接参照できます。 参照できる情報には、テーブルと列の説明だけでなく、サポートされているイベントの種類 (
ActionType
値) やサンプル クエリも含まれています。(プレビュー) DeviceFromIP() 関数
特定の時間範囲内に特定の IP アドレスを割り当てられていたデバイスに関する情報を取得します。
2021 年 5 月
Microsoft Defender ポータルの新しいアラート ページ
攻撃のコンテキストに関する拡張情報が示されます。 現在のアラートの原因となった他のトリガーされたアラートと、攻撃に関連するすべての影響を受けるエンティティとアクティビティ (ファイル、ユーザー、メールボックスなど) を確認できます。 詳細については、「アラートを調査する」を参照してください。
Microsoft Defender ポータルのインシデントとアラートに関する傾向グラフ
1 つのインシデントで複数個のアラートが発生したのか、それとも、組織に対する攻撃のインシデントが複数件発生しているのかを判断できます。 詳細については、「インシデントの優先度を設定する」を参照してください。
2021 年 4 月
Microsoft Defender XDR
改良版の Microsoft Defender XDR ポータルのご利用が可能になりました。 新しいエクスペリエンスでは、Defender for Endpoint、Defender for Office 365、Defender for Identity などが 1 つのポータルに統合されています。 今後、お客様はこの新しい場所でセキュリティ コントロールの管理作業を行います。 新機能について説明します。
Microsoft Defender XDR の脅威の分析レポート
脅威分析は、アクティブな攻撃への対応行動をとり、影響を最小限に抑えるために役立ちます。 また、Microsoft Defender XDR ソリューションによってブロックされた攻撃試行の情報を得ることや、さらなる露出リスクの軽減と回復性向上のために予防措置を講じることができます。 Microsoft Defender for Endpoint と Microsoft Defender for Office E5 のライセンスをお持ちのお客様は、今後、統合されたセキュリティ エクスペリエンスの中で脅威分析を利用いただけます。
2021 年 3 月
-
Microsoft Defender for Cloud Apps の対象となるさまざまなクラウド アプリやサービスで発生したイベントの情報を得ることができます。 また、このテーブルには、従来
AppFileEvents
テーブルで提供されていた情報も含まれています。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。