Novidades no Microsoft Defender XDR
Lista as novas características e funcionalidades no Microsoft Defender XDR.
Para obter mais informações sobre as novidades de outros produtos de segurança do Microsoft Defender e do Microsoft Sentinel, consulte:
- Novidades na plataforma de operações de segurança unificada da Microsoft
- Novidades no Microsoft Defender para Office 365
- Novidades no Microsoft Defender para Endpoint
- Novidades no Microsoft Defender para Identidade
- Novidades no Microsoft Defender for Cloud Apps
- O que há de novo no Microsoft Sentinel
Também pode obter atualizações de produtos e notificações importantes através do centro de mensagens.
Dezembro de 2024
- Especialistas do Microsoft Defender para XDR agora oferece cobertura de âmbito para clientes que pretendem definir um conjunto específico de dispositivos e/ou utilizadores, com base na geografia, subsidiária ou função, para os quais gostariam que os Especialistas do Defender fornecessem suporte.
- (Pré-visualização) A funcionalidade Ligar a incidentes no Microsoft Defender investigação avançada permite agora a ligação de Microsoft Sentinel resultados da consulta. Tanto na experiência unificada Microsoft Defender como no Defender XDR investigação avançada, pode agora especificar se uma entidade é um recurso afetado ou provas relacionadas.
- (Pré-visualização) Na investigação avançada, Microsoft Defender utilizadores do portal podem agora utilizar o
adx()
operador para consultar tabelas armazenadas no Azure Data Explorer. Já não precisa de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador se já estiver no Microsoft Defender. - Nova biblioteca de documentação para a plataforma de operações de segurança unificada da Microsoft. Encontre documentação centralizada sobre a plataforma SecOps unificada da Microsoft no portal Microsoft Defender. A plataforma SecOps unificada da Microsoft reúne todas as capacidades de Microsoft Sentinel, Microsoft Defender XDR, Gestão da exposição de segurança da Microsoft e IA geradora no portal do Defender. Saiba mais sobre as funcionalidades disponíveis com a plataforma SecOps unificada da Microsoft e, em seguida, comece a planear a sua implementação.
Novembro de 2024
- Atualizámos os passos para criar grupos de inquilinos na gestão multi-inquilino. Conheça os novos passos na distribuição de conteúdos através de grupos de inquilinos na gestão multi-inquilino.
- (Pré-visualização) Os caminhos de ataque no gráfico de incidentes estão agora disponíveis no portal Microsoft Defender. A história do ataque inclui agora potenciais caminhos de ataque que mostram os caminhos que os atacantes podem potencialmente seguir depois de comprometer um dispositivo. Esta funcionalidade ajuda-o a priorizar os seus esforços de resposta. Para obter mais informações, veja caminhos de ataque na história do ataque.
- (Pré-visualização) Microsoft Defender XDR clientes podem agora exportar dados de incidentes para PDF. Utilize os dados exportados para capturar e partilhar facilmente dados de incidentes com outros intervenientes. Para mais detalhes, consulte Exportar dados de incidentes para PDF.
- (GA) A última coluna de hora da atualização na fila de incidentes está agora disponível para o público.
- (Pré-visualização) As ações de investigação e resposta nativas da cloud estão agora disponíveis para alertas relacionados com contentores no portal do Microsoft Defender. Os analistas do Centro de Operações de Segurança (SOC) podem agora investigar e responder a alertas relacionados com contentores em tempo quase real com ações de resposta nativa da cloud e registos de investigação para investigar atividades relacionadas. Para obter mais informações, veja Investigar e responder a ameaças de contentor no portal do Microsoft Defender.
- (GA) O
arg()
operador na investigação avançada no portal do Microsoft Defender está agora disponível em geral. Os utilizadores podem agora utilizar o operador arg() para consultas de Resource Graph do Azure para procurar recursos do Azure e já não precisam de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador, se já estiver no Microsoft Defender. - (Pré-visualização) A tabela CloudProcessEvents está agora disponível para pré-visualização na investigação avançada. Contém informações sobre eventos de processo em ambientes alojados em várias clouds. Pode utilizá-lo para detetar ameaças que podem ser observadas através de detalhes do processo, como processos maliciosos ou assinaturas de linha de comandos.
- (Pré-visualização) A migração de consultas de deteção personalizadas para a frequência Contínua (quase em tempo real ou NRT) está agora disponível para pré-visualização na investigação avançada. A utilização da frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. Tem um impacto mínimo ou nenhum na utilização de recursos e, por conseguinte, deve ser considerado para qualquer regra de deteção personalizada qualificada na sua organização. Pode migrar consultas KQL compatíveis ao seguir os passos em Frequência contínua (NRT).
Outubro de 2024
- As funções RBAC Unificadas da Microsoft são adicionadas com novos níveis de permissão para os clientes Grupo de Peritos em Ameaças da Microsoft utilizarem a funcionalidade Pergunte aos especialistas do Defender.
- (Pré-visualização) Na investigação avançada, Microsoft Defender utilizadores do portal podem agora utilizar o
arg()
operador para consultas de Resource Graph do Azure para pesquisar recursos do Azure. Já não precisa de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador se já estiver no Microsoft Defender.
Setembro de 2024
- (GA) O pesquisa global para entidades no portal do Microsoft Defender está agora disponível em geral. A página de resultados de pesquisa melhorada centraliza os resultados de todas as entidades. Para obter mais informações, veja Pesquisa global no portal do Microsoft Defender.
- (GA) O Copilot no Defender inclui agora a capacidade de resumo de identidades, fornecendo informações instantâneas sobre o nível de risco de um utilizador, atividade de início de sessão e muito mais. Para obter mais informações, veja Summarize identity information with Copilot in Defender (Resumir informações de identidade com o Copilot no Defender).
- Informações sobre Ameaças do Microsoft Defender clientes podem agora ver os artigos de informações sobre ameaças em destaque mais recentes na home page do portal do Microsoft Defender. A página intel explorer tem agora também um resumo de artigos que os notifica do número de novos artigos do Defender TI publicados desde a última vez que acederam ao portal do Defender.
- Microsoft Defender XDR permissões RBAC unificadas são adicionadas para submeter inquéritos e ver respostas de especialistas Microsoft Defender. Também pode ver respostas a inquéritos submetidos a Pergunte aos Especialistas do Defender através dos seus endereços de e-mail listados ao submeter a sua consulta ou no portal do Defender ao navegar para mensagens de Relatórios>de Especialistas do Defender.
- (GA) Os painéis de contexto de investigação avançados estão agora disponíveis em mais experiências. Isto permite-lhe aceder à funcionalidade de investigação avançada sem sair do fluxo de trabalho atual.
- Para incidentes e alertas gerados por regras de análise, pode selecionar Executar consulta para explorar os resultados da regra de análise relacionada.
- No passo Definir lógica da regra de análise do assistente de regras de análise, pode selecionar Ver resultados da consulta para verificar os resultados da consulta que está prestes a definir.
- No relatório de recursos de consulta, pode ver qualquer uma das consultas ao selecionar as reticências na linha de consulta e selecionar Abrir no editor de consultas.
- Para entidades de dispositivos envolvidas em incidentes ou alertas, a opção Go hunt também está disponível como uma das opções depois de selecionar os três pontos no painel do lado do dispositivo.
Agosto de 2024
- (Pré-visualização) Microsoft Sentinel dados estão agora disponíveis com Defender XDR dados na gestão multi-inquilino Microsoft Defender. Apenas um Microsoft Sentinel área de trabalho por inquilino é atualmente suportado na plataforma de operações de segurança unificada da Microsoft. Assim, Microsoft Defender gestão multi-inquilino mostra dados de gestão de informações e eventos de segurança (SIEM) de uma área de trabalho Microsoft Sentinel por inquilino. Para obter mais informações, veja Microsoft Defender gestão e Microsoft Sentinel multi-inquilinosno portal do Microsoft Defender.
- Para garantir uma experiência suave ao navegar no portal do Microsoft Defender, configure a firewall de rede ao adicionar os endereços adequados à sua lista de permissões. Para obter mais informações, veja Configuração da firewall de rede para Microsoft Defender XDR.
Julho de 2024
Os incidentes com alertas em que um dispositivo comprometido comunicado com um dispositivo de tecnologia operacional (OT) estão agora visíveis no portal do Microsoft Defender através do Microsoft Defender da licença IoT e das capacidades de deteção de dispositivos do Defender para Endpoint. Ao utilizar dados do Defender para Endpoint, Defender XDR correlaciona automaticamente estes novos alertas de OT com incidentes para fornecer uma história de ataque abrangente. Para filtrar incidentes relacionados, veja Priorizar incidentes no portal do Microsoft Defender.
(GA) A filtragem de Microsoft Defender para alertas da Cloud pelo ID de subscrição de alerta associado nas filas Incidentes e Alertas está agora disponível em geral. Para obter mais informações, veja Microsoft Defender para a Cloud no Microsoft Defender XDR.
(GA) A plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender está geralmente disponível. Esta versão reúne todas as capacidades do Microsoft Sentinel, do Microsoft Defender XDR e do Microsoft Copilot no Microsoft Defender. Para mais informações, consulte os seguintes recursos:
Mensagem de blogue: Disponibilidade geral da plataforma de operações de segurança unificada da Microsoft
(Pré-visualização) Agora, pode personalizar colunas nas filas Incidentes e Alertas no portal do Microsoft Defender. Pode adicionar, remover e reordenar colunas para apresentar as informações de que precisa. Para obter mais informações, veja como personalizar colunas na fila de incidentes e na fila de alertas.
(Pré-visualização) Os recursos críticos fazem agora parte das etiquetas nas filas de incidentes e alertas. Quando um recurso crítico está envolvido num incidente ou alerta, a etiqueta de recurso crítico é apresentada nas filas. Para obter mais informações, veja etiquetas de incidentes e a fila de alertas.
(Pré-visualização) Os incidentes estão agora organizados de acordo com as atualizações automáticas ou manuais mais recentes efetuadas a um incidente. Leia sobre a coluna hora da última atualização na fila de incidentes.
(GA) Os recursos do hub de aprendizagem passaram do portal do Microsoft Defender para o learn.microsoft.com. Aceda Microsoft Defender XDR formação Ninja, percursos de aprendizagem, módulos de formação e muito mais. Procure na lista de percursos de aprendizagem e filtre por produto, função, nível e assunto.
(GA) A tabela UrlClickEvents na investigação avançada está agora disponível em geral. Utilize esta tabela para obter informações sobre ligações seguras cliques a partir de mensagens de e-mail, Microsoft Teams e aplicações Office 365 em aplicações de ambiente de trabalho, móveis e Web suportadas.
(GA) Agora, pode libertar ou mover mensagens de e-mail da quarentena para a caixa de entrada do utilizador diretamente a partir de Efetuar ações na investigação avançada e em deteções personalizadas. Isto permite que os operadores de segurança giram falsos positivos de forma mais eficiente e sem perder o contexto.
Junho de 2024
(Pré-visualização) A distribuição de conteúdos através de grupos de inquilinos na gestão multi-inquilino está agora disponível. A distribuição de conteúdos ajuda-o a gerir conteúdos em escala entre inquilinos na gestão multi-inquilino no Microsoft Defender XDR. Na distribuição de conteúdos, pode criar grupos de inquilinos para copiar conteúdos existentes, como regras de deteção personalizadas, do inquilino de origem para os inquilinos de destino que atribuir durante a criação do grupo de inquilinos. Em seguida, o conteúdo é executado nos dispositivos ou grupos de dispositivos do inquilino de destino que definiu no âmbito do grupo de inquilinos.
(Pré-visualização) Agora, pode filtrar os seus Microsoft Defender para alertas da Cloud pelo ID de subscrição de alerta associado nas filas Incidentes e Alertas. Para obter mais informações, veja Microsoft Defender para a Cloud no Microsoft Defender XDR.
(GA) Agora, pode filtrar os seus resultados na investigação avançada para que possa restringir a sua investigação em dados específicos nos quais pretende focar-se.
Maio de 2024
(Pré-visualização) Os analistas de segurança podem agora investigar o risco interno de um utilizador no portal do Microsoft Defender com gravidade de risco interno e informações disponíveis para Microsoft Defender XDR utilizadores com acesso aprovisionado a Gestão do risco interno do Microsoft Purview. Veja os detalhes da entidade na página do utilizador para obter mais informações.
(GA) A página de políticas de segurança de ponto final está agora disponível na gestão multi-inquilino no Microsoft Defender XDR. Crie, edite e elimine políticas de segurança para os dispositivos dos inquilinos a partir da página Políticas de segurança de ponto final. Para obter mais informações, veja Políticas de segurança de ponto final na gestão multi-inquilino.
Crie regras de otimização de alertas com a Gravidade do alerta e os valores de título do Alerta como condições. A otimização de alertas pode ajudá-lo a simplificar a fila de alertas, a poupar tempo de triagem ao ocultar ou resolver alertas automaticamente, sempre que ocorrer um determinado comportamento organizacional esperado e as condições das regras forem cumpridas. Para obter mais informações, veja Otimizar um alerta.
(Pré-visualização) Ative as opções de pré-visualização nas principais definições do Microsoft 365 Defender juntamente com outras funcionalidades de pré-visualização do Microsoft 365 Defender. Os clientes que ainda não estão a utilizar funcionalidades de pré-visualização continuarão a ver as definições legadas em Definições Pontos Finais > Funcionalidades avançadas Funcionalidades >> de pré-visualização. Para obter mais informações, consulte Funcionalidades de pré-visualização do Microsoft 365 Defender.
(Pré-visualização) A página otimizações do SOC no portal Microsoft Defender está agora disponível com a plataforma de operações de segurança unificada. Integre Microsoft Defender XDR e Microsoft Sentinel e utilize otimizações SOC para otimizar processos e resultados, sem que as suas equipas soc despendam tempo em análises e pesquisas manuais. Para mais informações, consulte:
(Pré-visualização) A pesquisa no portal do Microsoft Defender inclui agora a capacidade de procurar dispositivos e utilizadores no Microsoft Sentinel. Utilize a barra de pesquisa para procurar incidentes, alertas e outros dados em Microsoft Defender XDR e Microsoft Sentinel. Para obter mais informações, consulte Procurar no Microsoft Defender.
(Pré-visualização) A tabela CloudAuditEvents está agora disponível na investigação avançada. Isto permite-lhe investigar eventos de auditoria na cloud no Microsoft Defender para a Cloud e criar deteções personalizadas para ver atividades suspeitas do plano de controlo do Azure Resource Manager e kubernetes (KubeAudit).
(GA) A eliminação recuperável automática da cópia do remetente quando a Eliminação recuperável é selecionada como uma ação para mensagens de e-mail está agora disponível no assistente Tomar ações na investigação avançada. Esta nova funcionalidade simplifica o processo de gestão de Itens enviados, em particular os administradores que utilizam a eliminação recuperável e mover para ações da caixa de entrada . Leia Tomar medidas em e-mails para obter detalhes.
(Pré-visualização) Agora, pode consultar Microsoft Sentinel dados com a API de consulta de investigação avançada. Pode utilizar o
timespan
parâmetro para consultar Defender XDR e Microsoft Sentinel dados que tenham uma retenção de dados mais longa do que a predefinição Defender XDR de 30 dias.(Pré-visualização) No portal de Microsoft Defender unificado, agora pode criar deteções personalizadas na consulta de dados que abrangem Microsoft Sentinel e Defender XDR tabelas. Leia Criar análises personalizadas e regras de deteção para obter mais informações.
Abril de 2024
(Pré-visualização) A plataforma de operações de segurança unificada no portal do Microsoft Defender já está disponível. Esta versão reúne todas as capacidades do Microsoft Sentinel, do Microsoft Defender XDR e do Microsoft Copilot no Microsoft Defender. Para mais informações, consulte os seguintes recursos:
(GA) O Microsoft Copilot no Microsoft Defender está agora em disponibilidade geral. O Copilot no Defender ajuda-o a investigar e responder a incidentes de forma mais rápida e eficaz. O Copilot fornece respostas orientadas, resumos de incidentes e relatórios, ajuda-o a criar consultas KQL para investigar ameaças, fornecer análises de ficheiros e scripts e permitir-lhe resumir informações sobre ameaças relevantes e acionáveis.
Os clientes do Copilot no Defender podem agora exportar dados de incidentes para PDF. Utilize os dados exportados para partilhar facilmente dados sobre incidentes, facilitando debates com as suas equipas de segurança e outros intervenientes. Para mais detalhes, consulte Exportar dados de incidentes para PDF.
As notificações no portal do Microsoft Defender estão agora disponíveis. No canto superior direito do portal do Defender, selecione o ícone de sino para ver todas as suas notificações ativas. Saiba mais sobre as notificações no portal do Microsoft Defender.
A coluna
AzureResourceId
, que mostra o identificador único do recurso Azure associado a um dispositivo, está agora disponível na tabela DeviceInfo na caça avançada.
Fevereiro de 2024
(Disponibilidade Geral) O modo escuro está agora disponível no portal do Microsoft Defender. No portal do Defender, no canto superior direito da página inicial, selecione Modo escuro. Selecione Modo claro para reverter o modo de cor para o valor predefinido.
(Disponibilidade geral) A Atribuição da gravidade a incidentes, a atribuição de um incidente a um grupo e a opção ir à procura no gráfico da história do ataque estão agora em disponibilidade geral. Os guias para saber como atribuir ou alterar a gravidade do incidente e atribuir um incidente a um grupo encontram-se na página Gerir incidentes. Saiba como pode utilizar a opção ir à procura ao explorar a história do ataque.
(Pré-visualização) As regras de deteção personalizadas na API de segurança do Microsoft Graph estão agora disponíveis. Crie regras de deteção personalizadas de investigação avançadas específicas da sua organização para monitorizar proativamente ameaças e tomar medidas.
Aviso
A versão da plataforma 2024-02 causa resultados inconsistentes para clientes de controlo de dispositivos que utilizam políticas de multimédia amovíveis apenas com acesso ao nível do disco/dispositivo (máscaras que são menores ou iguais a 7). A imposição poderá não funcionar como esperado. Para mitigar este problema, recomenda-se que revertas para a versão anterior da plataforma Defender.
Janeiro de 2024
O Defender Boxed está disponível durante um período de tempo limitado. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Dedique um momento a celebrar as melhorias na postura de segurança da sua organização, a resposta geral a ameaças detetadas (manuais e automáticas), e-mails bloqueados e muito mais.
- O Defender Boxed é aberto automaticamente quando acede à página Incidentes no portal do Microsoft Defender.
- Se fechar o Defender Boxed e quiser reabri-lo, no portal do Microsoft Defender, aceda a Incidentese selecione O Seu Defender Boxed.
- Aja rapidamente! O Defender Boxed só está disponível durante um curto período de tempo.
Agora, os Especialistas do Defender para XDR permitem-lhe receber notificações de resposta gerida e atualizações com o Teams. Também pode conversar com especialistas do Defender sobre incidentes em que a resposta gerida é emitida.
(Disponibilidade geral) A nova funcionalidade nos filtros disponíveis da fila de incidentes está agora em disponibilidade geral. Priorize os incidentes de acordo com os seus filtros preferidos, ao criar conjuntos de filtros e ao guardar consultas de filtros. Saiba mais sobre os filtros da fila de incidentes em Filtros disponíveis.
(GA) A integração de alertas do Microsoft Defender para Cloud com o Microsoft Defender XDR está agora em disponibilidade geral. Saiba mais sobre a integração no Microsoft Defender para a Cloud no Microsoft Defender XDR.
(Disponibilidade geral) O registo de atividades está agora disponível numa página de incidentes. Utilize o registo de atividades para ver todas as auditorias e comentários e adicionar comentários ao registo de um incidente. Para obter detalhes, veja Registo de atividades.
(Pré-visualização) Histórico de consultas de pesquisa avançada está agora disponível. Agora pode voltar a executar ou refinar consultas que tenha executado recentemente. Podem ser carregadas até 30 consultas nos últimos 28 dias no painel do histórico de consultas.
(Pré-visualização) Estão agora disponíveis funcionalidades adicionais que pode utilizar para desagregar mais a partir dos resultados da consulta em investigação avançada.
Dezembro de 2023
O controlo de acesso baseado em funções (RBAC) Unificado do Microsoft Defender XDR está agora disponível para o público. O RBAC Unificado permite que os administradores giram as permissões de utilizador em diferentes soluções de segurança a partir de uma única localização centralizada. Esta oferta também está disponível para clientes do GCC Moderate. Para saber mais, consulte o Controlo de acesso baseado em funções (RBAC) Unificado do Microsoft Defender XDR
O Microsoft Defender Experts para XDR permite-lhe agora excluir dispositivos das acções de correção realizadas pelos nossos especialistas e, em vez disso, obter orientações de correção para essas entidades.
A fila de incidentes do portal Microsoft Defender atualizou os filtros, a pesquisa e adicionou uma nova função em que pode criar os seus próprios conjuntos de filtros. Para mais informações, consulte Filtros disponíveis.
Agora, pode atribuir incidentes a um grupo de utilizadores ou a outro utilizador. Para mais informações, consulte Atribuir um incidente.
Novembro de 2023
Os Especialistas do Microsoft Defender para Procura permitem-lhe agora gerar amostras de Notificações dos Especialistas do Defender para que possa começar a experimentar o serviço sem ter de esperar que ocorra uma atividade crítica real no seu ambiente. Saiba mais
(Pré-visualização) Os alertas do Microsoft Defender para a Cloud estão agora integrados no Microsoft Defender XDR. Os alertas do Defender para Cloud são correlacionados automaticamente com incidentes e alertas no portal do Microsoft Defender e os recursos na cloud podem ser visualizados nas filas de incidentes e alertas. Saiba mais sobre a integração do Defender para a Cloud no Microsoft Defender XDR.
(Pré-visualização) O Microsoft Defender XDR agora possui tecnologia de engano para proteger seu ambiente contra ataques de alto impacto que utilizam movimentação lateral operada por humanos. Saiba mais sobre a funcionalidade de engano e aprenda a configurá-la.
O Especialistas do Microsoft Defender para XDR agora permite que realize a sua própria avaliação de preparação ao preparar o ambiente para o serviço Especialistas do Microsoft Defender para XDR.
Outubro de 2023
(Pré-visualização) Agora pode receber notificações por e-mail para ações manuais ou automatizadas realizadas no Microsoft Defender XDR. Saiba como configurar notificações por e-mail para ações de resposta manual ou automática executadas no portal. Para obter detalhes, consulte Obter notificações por e-mail para ações de resposta no Microsoft Defender XDR.
(Pré-visualização) Microsoft Security Copilot no Microsoft Defender XDR está agora em pré-visualização. Os utilizadores do Microsoft Defender XDR podem tirar partido das capacidades do Security Copilot para resumir incidentes, analisar scripts e códigos, utilizar respostas guiadas para resolver incidentes, gerar consultas KQL e criar relatórios de incidentes no portal. O Security Copilot está em pré-visualização apenas por convite. Saiba mais sobre o Security Copilot em Perguntas Mais Frequentes do Programa de Acesso Antecipado do Microsoft Security Copilot.
Setembro de 2023
- (Pré-visualização) As deteções personalizadas que utilizam dados do Microsoft Defender para Identidade e do Microsoft Defender for Cloud Apps, especificamente as tabelas
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
eIdentityQueryEvents
podem agora ser executadas em frequência Contínua (NRT) quase em tempo real.
Agosto de 2023
Os guias para responder ao seu primeiro incidente para novos utilizadores estão agora em direto. Compreenda os incidentes e saiba como fazer a triagem e dar prioridade, analisar o seu primeiro incidente com tutoriais e vídeos e remediar ataques ao compreender as ações disponíveis no portal.
(Pré-visualização) Gestão de regras de recursos – as Regras dinâmicas para dispositivos estão agora em pré-visualização pública. As regras dinâmicas podem ajudar a gerir o contexto do dispositivo ao atribuir etiquetas e valores de dispositivos automaticamente com base em determinados critérios.
(Pré-visualização) A tabela DeviceInfo na investigação avançada inclui agora também as colunas
DeviceManualTags
eDeviceDynamicTags
a pré-visualização pública para apresentar etiquetas atribuídas manualmente e dinamicamente relacionadas com o dispositivo que está a investigar.A funcionalidade Resposta orientada no Microsoft Defender Experts for XDR mudou o nome para Resposta gerida. Também adicionámos uma nova secção de FAQ sobre atualizações de incidentes.
Julho de 2023
(Disponibilidade geral) A História de ataque em incidentes está agora disponível para o público. A história do ataque fornece a história completa do ataque e permite que as equipas de resposta a incidentes vejam os detalhes e apliquem a remediação.
Está agora disponível um novo URL e uma página de domínio no Microsoft Defender XDR. O URL e a página de domínio atualizados fornecem um único local para ver todas as informações sobre um URL ou um domínio, incluindo a sua reputação, os utilizadores que clicaram no mesmo, os dispositivos que lhe acederam e os e-mails onde o URL ou o domínio foi visto. Para obter detalhes, consulte Investigar URLs no Microsoft Defender XDR.
Junho de 2023
- (Disponibilidade geral) O Microsoft Defender Experts for XDR está agora disponível para o público. O Especialistas em Defender para XDR aumenta o seu centro de operações de segurança ao combinar a automatização e a experiência dos analistas de segurança da Microsoft, ajudando-o a detetar e responder a ameaças com confiança e a melhorar a sua postura de segurança. O Microsoft Defender Experts for XDR é vendido separadamente de outros produtos do Microsoft Defender XDR. Se for um cliente do Microsoft Defender XDR e estiver interessado em comprar o Especialistas em Defender para XDR, consulte a Descrição geral do Especialistas em Microsoft Defender para XDR.
9 de maio de 2023
(Disponibilidade geral) A Otimização de alertas está agora disponível para o público. A otimização de alertas permite-lhe ajustar os alertas para reduzir o tempo de investigação e concentrar-se na resolução de alertas de alta prioridade. A Otimização de alertas substitui a funcionalidade Supressão de alertas.
(Disponibilidade geral) A Interrupção automática do ataque está agora disponível para o público. Esta capacidade interrompe automaticamente os ataques de ransomware (HumOR), de comprometimento de e-mail empresarial (BEC) e de adversário-no-meio (AiTM).
(Pré-visualização) As Funções personalizadas estão agora disponíveis na investigação avançada. Agora, pode criar as suas próprias funções personalizadas para poder reutilizar qualquer lógica de consulta quando investiga no seu ambiente.
Abril de 2023
(Disponibilidade geral) O Separador de recursos unificados na página de Incidentes está agora disponível para o público.
A Microsoft está a utilizar uma nova taxonomia de nomenclatura baseada na meteorologia para os atores de ameaças. Este novo esquema de nomenclatura irá proporcionar mais clareza e será mais fácil de referenciar. Saiba mais sobre a taxonomia do novo ator de ameaças.
3 de março de 2023
- (Pré-visualização) Informações sobre Ameaças do Microsoft Defender (Defender TI) está agora disponível no portal do Microsoft Defender.
Esta alteração introduz um novo menu de navegação no portal do Microsoft Defender com o nome Informações sobre Ameaças. Saiba mais.
(Pré-visualização) Os relatórios completos de dispositivos para a
DeviceInfo
tabela em investigação avançada são agora enviados a cada hora (em vez da cadência diária anterior). Além disso, os relatórios completos do dispositivo também são enviados sempre que ocorrer uma alteração a qualquer relatório anterior. Foram também adicionadas novas colunas àDeviceInfo
tabela, juntamente com várias melhorias nos dados existentes emDeviceInfo
e nas tabelas DeviceNetworkInfo.(Pré-visualização) A deteção personalizada quase em tempo real está agora disponível para pré-visualização pública em deteções personalizadas de investigação avançada. Existe uma nova frequência Contínua (NRT), que verifica os dados dos eventos à medida que são recolhidos e processados quase em tempo real.
(Pré-visualização) Os comportamentos no Microsoft Defender for Cloud Apps estão agora disponíveis para pré-visualização pública. Agora, os clientes de pré-visualização também podem procurar comportamentos na investigação avançada com as tabelas BehaviorEntities e BehaviorInfo.
Fevereiro de 2023
(Disponibilidade geral) O relatório de recursos de consulta na investigação avançada está agora disponível para o público.
(Pré-visualização) A capacidade de interrupção automática de ataque interrompe agora o comprometimento do e-mail empresarial (BEC).
Janeiro de 2023
A nova versão do relatório Especialistas do Microsoft Defender para Procura está agora disponível. A nova interface do relatório permite agora que os clientes tenham detalhes mais contextuais sobre as atividades suspeitas que os Especialistas do Defender observaram nos seus ambientes. Também mostra quais as atividades suspeitas com tendência contínua de mês para mês. Para obter detalhes, consulte o relatório Compreender o Especialistas do Defender para Procura no Microsoft Defender XDR.
(Disponibilidade geral) A Resposta Em Direto está agora disponível para macOS e Linux.
(Disponibilidade geral) A Linha cronológica de identidade está agora disponível para o público como parte da nova página Identidade no Microsoft Defender XDR. A página Utilizador atualizada tem um novo aspeto, uma vista expandida de recursos relacionados e um novo separador de linha cronológica dedicada. A linha cronológica representa as atividades e os alertas dos últimos 30 dias. Unifica as entradas de identidade de um utilizador em todas as cargas de trabalho disponíveis: Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e Microsoft Defender para Endpoint. A utilização da linha cronológica ajuda-o a concentrar-se facilmente nas atividades de um utilizador (ou atividades realizadas na mesma) em intervalos de tempo específicos.
Dezembro de 2022
- (Pré-visualização) O novo modelo de controlo de acesso baseado em funções (RBAC) do Microsoft Defender XDR está agora disponível para pré-visualização. O novo modelo RBAC permite aos administradores de segurança gerir centralmente privilégios em várias soluções de segurança num único sistema com maior eficiência, suportando atualmente o Microsoft Defender para Endpoint, o Microsoft Defender para Office 365 e o Microsoft Defender para Identidade. O novo modelo é totalmente compatível com os modelos RBAC individuais existentes atualmente suportados no Microsoft Defender XDR. Para obter mais informações, consulte Controlo de acesso baseado em funções (RBAC) do Microsoft Defender XDR
Novembro de 2022
(Pré-visualização) O Microsoft Defender Experts for XDR (Defender Experts for XDR) está agora disponível para pré-visualização. O Especialistas em Defender para XDR é um serviço de deteção e resposta gerido que ajuda os seus centros de operações de segurança (SOCs) a concentrarem-se e a responderem com precisão a incidentes importantes. Fornece deteção e resposta alargadas para clientes que utilizam cargas de trabalho do Microsoft Defender XDR: Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e Azure Active Directory (Azure AD). Para obter detalhes, consulte a pré-visualização Expanded Microsoft Defender Experts for XDR.
(Pré-visualização) O relatório de recursos de consulta está agora disponível na investigação avançada. O relatório mostra o consumo de recursos da CPU da sua organização para investigação com base em consultas executadas nos últimos 30 dias através de qualquer uma das interfaces de investigação. Consulte Ver relatório de recursos de consulta para encontrar consultas ineficientes.
Outubro de 2022
- (Pré-visualização) A nova capacidade de interrupção automática de ataques está agora em pré-visualização. Esta capacidade combina informações de investigação de segurança e avança modelos de IA para conter automaticamente ataques em curso. A interrupção automática de ataques também proporciona mais tempo aos centros de operações de segurança (SOCs) para remediar totalmente um ataque e limitar o impacto de um ataque às organizações. Esta pré-visualização interrompe automaticamente os ataques de ransomware.
Agosto de 2022
(Disponibilidade geral) O Especialistas do Microsoft Defender para Procura está agora disponível para o público. Se for um cliente do Microsoft Defender XDR com um centro de operações de segurança robusto, mas pretender que a Microsoft o ajude a investigar proativamente ameaças entre pontos finais, Office 365, aplicações na nuvem e identidade com os dados do Microsoft Defender, obtenha mais informações sobre como aplicar, configurar e utilizar o serviço. O Especialistas do Defender para Procura é vendido separadamente de outros produtos Microsoft Defender XDR.
(Pré-visualização) O Modo guiado está agora disponível para pré-visualização pública na investigação avançada. Os analistas podem agora começar a consultar a respetiva base de dados para pontos finais, identidades, e-mail e colaboração, e dados de aplicações na nuvem sem saber Linguagem de Consulta Kusto (KQL). O modo guiado apresenta um estilo amigável, fácil de utilizar, estilo bloco modular de construção de consultas através de menus pendentes que contêm filtros e condições disponíveis. Consulte Introdução ao construtor de consultas.
Julho de 2022
- (Pré-visualização) Os participantes da pré-visualização pública do Especialistas do Microsoft Defender para Procura podem agora esperar receber relatórios mensais para ajudá-los a compreender as ameaças que o serviço de investigação apresentou no seu ambiente, juntamente com os alertas gerados pelos seus produtos do Microsoft Defender XDR. Para obter detalhes, consulte o relatório Compreender o Especialistas do Defender para Procura no Microsoft Defender XDR.
Junho de 2022
(Pré-visualização) As tabelas DeviceTvmInfoGathering e DeviceTvmInfoGatheringKB estão agora disponíveis no esquema de investigação avançada. Utilize estas tabelas para investigar eventos de avaliação na Gestão de Vulnerabilidades do Defender, incluindo o estado de várias configurações e estados da área da superfície de ataque dos dispositivos.
O cartão de resposta de Investigação automatizada recentemente introduzido no portal do Microsoft Defender fornece uma descrição geral sobre as ações de remediação pendentes.
A equipa de operações de segurança pode ver todas as ações com aprovação pendente e o tempo estipulado para aprovar essas ações no próprio cartão. A equipa de segurança pode navegar rapidamente para o Centro de ação e tomar as medidas de remediação adequadas. O cartão de resposta de Investigação automatizada também tem uma ligação para a página Automatização Completa. Isto permite que a equipa de operações de segurança faça a gestão eficaz dos alertas e conclua as ações de remediação em tempo útil.
Maio de 2022
- (Pré-visualização) De acordo com a expansão anunciada recentemente para uma nova categoria de serviço denominada Peritos em segurança da Microsoft, estamos a introduzir a disponibilidade do Especialistas do Microsoft Defender para Procura (Especialistas do Defender para Procura) para pré-visualização pública. Os Especialistas do Defender para Procura destina-se a clientes que têm um centro de operações de segurança robusto, mas pretendem que a Microsoft os ajude a procurar proativamente ameaças em dados do Microsoft Defender, incluindo pontos finais, Office 365, aplicações na nuvem e identidade.
Abril de 2022
(Pré-visualização) AsAções podem agora ser executadas em mensagens de e-mail diretamente a partir dos resultados da consulta de investigação. Os e-mails podem ser movidos para outras pastas ou eliminados permanentemente.
(Pré-visualização) A nova
UrlClickEvents
tabela na investigação avançada pode ser utilizada para investigar ameaças como campanhas de phishing e ligações suspeitas com base em informações provenientes de cliques em Ligações Seguras em mensagens de e-mail, Microsoft Teams e aplicações do Office 365.
Março de 2022
- (Pré-visualização) A fila de incidentes foi melhorada com várias funcionalidades concebidas para ajudar nas suas investigações. As melhorias incluem capacidades como a capacidade de procurar incidentes por ID ou nome, especificar um intervalo de tempo personalizado e outras.
Dezembro de 2021
- (Disponibilidade geral) A
DeviceTvmSoftwareEvidenceBeta
tabela foi adicionada a curto prazo na investigação avançada para lhe permitir ver provas de onde foi detetado um software específico num dispositivo.
Novembro de 2021
(Pré-visualização) A funcionalidade de suplemento de governação de aplicações para o Defender for Cloud Apps está agora disponível no Microsoft Defender XDR. A governação de aplicações fornece uma capacidade de gestão de políticas e segurança concebida para aplicações compatíveis com OAuth que acedem aos dados do Microsoft 365 através das APIs do Microsoft Graph. A governação de aplicações proporciona visibilidade total, remediação e gestão sobre a forma como estas aplicações e os respetivos utilizadores acedem, utilizam e partilham os seus dados confidenciais armazenados no Microsoft 365 através de informações acionáveis e alertas e ações de política automatizados. Saiba mais sobre a governação de aplicações.
(Pré-visualização) A página de investigação avançada tem agora suporte multi-separador, deslocamento inteligente, separadores de esquema simplificados, opções de edição rápida para consultas, um indicador de utilização de recursos de consulta e outras melhorias para tornar a consulta mais uniforme e fácil de ajustar.
(Pré-visualização) Agora, pode utilizar a ligação para a funcionalidade incidente para incluir eventos ou registos dos resultados da consulta de investigação avançada diretamente num incidente novo ou existente que está a investigar.
Outubro de 2021
- (Disponibilidade geral) Na investigação avançada, foram adicionadas mais colunas na tabela CloudAppEvents. Agora pode incluir
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
eUserAgentTags
para as suas consultas.
Setembro de 2021
(Disponibilidade geral) Os dados de eventos do Microsoft Defender para Office 365 estão disponíveis na API de transmissão de eventos do Microsoft Defender XDR. Pode ver a disponibilidade e o estado dos tipos de eventos nos Tipos de eventos do Microsoft Defender XDR suportados na API de transmissão em fluxo.
(Disponibilidade geral) Os dados disponíveis na investigação avançada do Microsoft Defender para Office 365 estão agora disponíveis para o público.
(Disponibilidade geral) Atribuir incidentes e alertas a contas de utilizador
Pode atribuir um incidente e todos os alertas associados a uma conta de utilizador de Atribuir a: no painel Gerir incidente de um incidente ou no painel Gerir alerta de um alerta.
Agosto de 2021
(Pré-visualização) Dados do Microsoft Defender para Office 365 disponíveis na investigação avançada
As novas colunas em tabelas de e-mail podem fornecer mais informações sobre ameaças baseadas em e-mail para investigações mais aprofundadas através da investigação avançada. Agora pode incluir a
AuthenticationDetails
coluna em EmailEvents,FileSize
em EmailAttachmentInfo eThreatTypes
eDetectionMethods
nas tabelas EmailPostDeliveryEvents.(Pré-visualização) Gráfico de incidentes
Um novo separador Grafo no separador Resumo de um incidente mostra o âmbito completo do ataque, como o ataque se espalhou pela sua rede ao longo do tempo, onde começou e até onde o atacante foi.
Julho de 2021
Catálogo de serviços profissionais
Melhore as capacidades de deteção, investigação e informações sobre ameaças da plataforma com ligações de parceiros suportadas.
Junho de 2021
(Pré-visualização) Ver relatórios por etiquetas de ameaça
As etiquetas de ameaça ajudam-no a concentrar-se em categorias de ameaças específicas e a rever os relatórios mais relevantes.
(Pré-visualização) API de Transmissão em Fluxo
O Microsoft Defender XDR suporta a transmissão em fluxo de todos os eventos disponíveis através da Investigação Avançada para um Hub de Eventos e/ou conta de armazenamento do Azure.
(Pré-visualização) Tomar medidas na investigação avançada
Contenha rapidamente ameaças ou resolva recursos comprometidos que encontra na investigação avançada.
(Pré-visualização) Referência de esquema no portal
Obtenha informações sobre tabelas de esquemas de investigação avançada diretamente no centro de segurança. Além das descrições de tabelas e colunas, esta referência inclui tipos de evento suportados (
ActionType
valores) e consultas de exemplo.(Pré-visualização) Função DeviceFromIP()
Obtenha informações sobre que dispositivos foram atribuídos a um endereço IP ou endereços específicos num determinado intervalo de tempo.
Maio de 2021
Nova página de alerta no portal do Microsoft Defender
Fornece informações melhoradas para o contexto de um ataque. Pode ver que outro alerta acionado causou o alerta atual e todas as entidades e atividades afetadas envolvidas no ataque, incluindo ficheiros, utilizadores e caixas de correio. Consulte Investigar alertas para obter mais informações.
Gráfico de tendências para incidentes e alertas no portal do Microsoft Defender
Determine se existem vários alertas para um único incidente ou se a sua organização está a ser atacada com vários incidentes diferentes. Consulte Dar prioridade a incidentes para obter mais informações.
Abril de 2021
Microsoft Defender XDR
O portal do Microsoft Defender XDR melhorado está agora disponível. Esta nova experiência reúne o Defender para Endpoint, o Defender para Office 365, o Defender para Identidade e mais num único portal. Esta é a nova casa para gerir os seus controlos de segurança. Conheça as novidades.
Relatório de análise de ameaças do Microsoft Defender XDR
A análise de ameaças ajuda-o a responder e a minimizar o impacto de ataques ativos. Também pode obter mais informações sobre as tentativas de ataque bloqueadas por soluções do Microsoft Defender XDR e tomar medidas preventivas que mitigam o risco de exposição adicional e aumentam a resiliência. Como parte da experiência de segurança unificada, a análise de ameaças está agora disponível para o Microsoft Defender para Endpoint e o Microsoft Defender para os titulares de licenças do Office E5.
Março de 2021
-
Encontre informações sobre eventos em várias aplicações e serviços na nuvem abrangidos pelo Microsoft Defender for Cloud Apps. Esta tabela também inclui informações anteriormente disponíveis na tabela
AppFileEvents
.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.