Microsoft Defender XDR 中的新增功能
列出 Microsoft Defender XDR 中的新特性和功能。
有关其他 Microsoft Defender 安全产品和 Microsoft Sentinel 的新增功能的详细信息,请参阅:
- Microsoft统一安全操作平台的新增功能
- Microsoft Defender for Office 365 中的新增功能
- Microsoft Defender for Endpoint 中的新增功能
- Microsoft Defender for Identity 中的新增功能
- Microsoft Defender for Cloud Apps 中的新增功能
- Microsoft Sentinel 中的新增功能
你还可以通过消息中心获取产品更新和重要通知。
2024 年 12 月
- Microsoft Defender XDR 专家现在为希望根据地理位置、子公司或职能定义一组特定设备和/或用户(他们希望 Defender 专家提供支持)的客户提供范围覆盖。
- (预览版) Microsoft Defender高级搜寻中的“事件链接”功能现在允许链接Microsoft Sentinel查询结果。 在Microsoft Defender统一体验和Defender XDR高级搜寻中,现在可以指定实体是受影响的资产还是相关证据。
- (预览版) 在高级搜寻中,Microsoft Defender门户用户现在可以使用
adx()
运算符来查询存储在 Azure 数据资源管理器 中的表。 如果已在Microsoft Defender,则不再需要转到 Microsoft Sentinel 中的 log Analytics 来使用此运算符。 - 适用于Microsoft统一安全操作平台的新文档库。 在 Microsoft Defender 门户中查找有关Microsoft统一 SecOps 平台的集中文档。 Microsoft的统一 SecOps 平台将Microsoft Sentinel、Microsoft Defender XDR、Microsoft 安全风险管理和生成 AI 的全部功能汇集到 Defender 门户中。 了解 Microsoft 的统一 SecOps 平台提供的特性和功能,然后开始规划部署。
- (GA) 在高级搜寻中,现在可以在每个选项卡下的“ 收藏夹 ”部分添加常用架构表、函数、查询和检测规则,以便更快地进行访问。
2024 年 11 月
- 我们更新了在多租户管理中创建租户组的步骤。 了解 在多租户管理中使用租户组的内容分发中的新步骤。
- 事件图中的 (预览版) 攻击路径现已在 Microsoft Defender 门户中提供。 攻击故事现在包括潜在的攻击路径,这些路径显示攻击者在破坏设备后可能采用的路径。 此功能可帮助你确定响应工作的优先级。 有关详细信息,请参阅 攻击故事中的攻击路径。
- (预览版) Microsoft Defender XDR 客户现在可以将事件数据导出为 PDF。 使用导出的数据轻松捕获事件数据并将其共享给其他利益干系人。 有关详细信息,请参阅“将事件数据导出到 PDF”。
- (GA) 事件队列中的上次更新时间列现已正式发布。
- (预览版) 云原生调查和响应操作现在可用于Microsoft Defender门户中与容器相关的警报。 安全运营中心 (SOC) 分析人员现在可以使用云原生响应操作和调查日志,近乎实时地调查和响应与容器相关的警报,以搜寻相关活动。 有关详细信息,请参阅在 Microsoft Defender 门户中调查和响应容器威胁。
- (GA)
arg()
Microsoft Defender 门户中高级搜寻的操作员现已正式发布。 用户现在可以使用 azure Resource Graph查询的 arg () 运算符来搜索 Azure 资源,并且不再需要转到 Microsoft Sentinel 中的 Log Analytics 来使用此运算符(如果已在Microsoft Defender中)。 - (预览版) CloudProcessEvents 表现在可在高级搜寻中预览。 它包含有关多云托管环境中进程事件的信息。 可以使用它来发现可通过进程详细信息(如恶意进程或命令行签名)观察到的威胁。
- (预览版) 将自定义检测查询迁移到 连续 (准实时或 NRT) 频率 现在可在高级搜寻中预览。 使用连续 (NRT) 频率可提高组织更快地识别威胁的能力。 它对资源使用情况的影响最小,因此应考虑用于组织中任何限定的自定义检测规则。 可以按照 连续 (NRT) 频率中的步骤迁移兼容的 KQL 查询。
2024 年 10 月
- Microsoft统一 RBAC 角色添加了新的权限级别,Microsoft 威胁专家客户可以使用 Ask Defender 专家功能。
- (预览版) 在高级搜寻中,Microsoft Defender门户用户现在
arg()
可以使用 Azure Resource Graph查询运算符来搜索 Azure 资源。 如果已在Microsoft Defender中,则不再需要转到 Microsoft Sentinel 中的 Log Analytics 来使用此运算符。
2024 年 9 月
- (GA) Microsoft Defender 门户中实体的全局搜索现已正式发布。 增强的搜索结果页集中所有实体的结果。 有关详细信息,请参阅 Microsoft Defender 门户中的全局搜索。
- (Defender 中的正式版) Copilot 现在包括标识摘要功能,提供对用户风险级别、登录活动等的即时见解。 有关详细信息,请参阅 在 Defender 中使用 Copilot 汇总标识信息。
- Microsoft Defender 威胁智能客户现在可以在Microsoft Defender门户主页中查看最新的特色威胁情报文章。 Intel 资源管理器页现在还有一篇文章摘要,通知他们自上次访问 Defender 门户以来发布的新 Defender TI 文章的数量。
- Microsoft Defender XDR添加了统一 RBAC 权限,用于提交查询和查看来自Microsoft Defender专家的回复。 还可以在提交查询时通过列出的电子邮件地址或在 Defender 门户中导航到“报告> Defender专家”消息,查看提交到“询问 Defender 专家”的查询的响应。
- (GA) 高级搜寻上下文窗格 现在可在更多体验中使用。 这样,无需离开当前工作流即可访问高级搜寻功能。
- 对于分析规则生成的事件和警报,可以选择“ 运行查询 ”来浏览相关分析规则的结果。
- 在分析规则向导的 “设置规则逻辑 ”步骤中,可以选择“ 查看查询结果 ”来验证要设置的查询的结果。
- 在 查询资源报表中,可以通过选择查询行上的三个点并在查询 编辑器中选择“打开”来查看任何查询。
- 对于事件或警报中涉及的设备实体,在设备侧面板中选择三个点后, Go 搜寻 也可作为选项之一。
2024 年 8 月
- (预览版) Microsoft Sentinel 数据现在可用于Microsoft Defender多租户管理中的Defender XDR数据。 Microsoft统一安全操作平台目前仅支持每个租户一个Microsoft Sentinel工作区。 因此,Microsoft Defender多租户管理显示安全信息和事件管理 (SIEM) 每个租户一个Microsoft Sentinel工作区中的数据。 有关详细信息,请参阅 Microsoft Defender 门户中Microsoft Defender多租户管理和Microsoft Sentinel。
- 若要确保在导航Microsoft Defender门户时获得流畅的体验,请通过将相应的地址添加到允许列表来配置网络防火墙。 有关详细信息,请参阅Microsoft Defender XDR的网络防火墙配置。
2024 年 7 月
通过 ioT 许可证Microsoft Defender和 Defender for Endpoint 的设备发现功能,现在可以在Microsoft Defender门户中看到与操作技术 (OT) 设备通信的受入侵设备的事件。 使用 Defender for Endpoint 数据,Defender XDR将这些新的 OT 警报自动关联到事件,以提供全面的攻击案例。 若要筛选相关事件,请参阅在Microsoft Defender门户中确定事件的优先级。
(正式发布) 按事件和警报队列中关联的警报订阅 ID 筛选云警报Microsoft Defender现已正式发布。 有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud。
(GA) Microsoft Defender门户中的Microsoft统一安全操作平台已正式发布。 此版本汇集了 Microsoft Defender 中 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的完整功能。 有关详细信息,请参阅以下资源:
博客文章: Microsoft统一安全操作平台的正式发布
(预览) 现在可以在Microsoft Defender门户中自定义“事件”和“警报”队列中的列。 可以添加、删除和重新排序列以显示所需的信息。 有关详细信息,请参阅如何自定义 事件队列 和 警报队列中的列。
(预览) 关键资产 现在是事件和警报队列中的标记的一部分。 当事件或警报中涉及关键资产时,关键资产标记将显示在队列中。 有关详细信息,请参阅 事件标记 和 警报队列。
(预览版) 事件现在根据对事件进行的最新自动或手动更新进行排列。 阅读有关事件队列中上次更新时间列的信息。
(GA) 学习中心资源已从Microsoft Defender门户移动到 learn.microsoft.com。 访问Microsoft Defender XDR忍者培训、学习路径、培训模块等。 浏览 学习路径列表,并按产品、角色、级别和主题进行筛选。
(GA) 高级搜寻中的 UrlClickEvents 表现已正式发布。 使用此表可以从电子邮件、Microsoft Teams 以及受支持的桌面、移动和 Web 应用中Office 365应用获取有关安全链接单击的信息。
(正式版) 现在可以直接从高级搜寻和自定义检测中执行操作,将电子邮件从隔离区释放或移回用户的收件箱。 这使安全操作员可以更高效地管理误报,而不会丢失上下文。
2024 年 6 月
(预览版) 多租户管理中通过租户组分发内容 现已推出。 内容分发有助于在 Microsoft Defender XDR 中的多租户管理中跨租户大规模管理内容。 在内容分发中,可以创建租户组,以将现有内容(如自定义检测规则)从源租户复制到在创建租户组期间分配的目标租户。 然后,内容在目标租户的设备或你在租户组范围内设置的设备组上运行。
(预览版) 现在可以按事件和警报队列中的关联警报订阅 ID 筛选云警报Microsoft Defender。 有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud。
(GA) 现在可以在高级搜寻中 筛选结果 ,以便缩小对想要关注的特定数据的调查范围。
2024 年 5 月
(预览版) 安全分析师现在可以在Microsoft Defender门户中调查用户的预览体验成员风险,其中包含内部风险严重性和见解,这些见解可供Microsoft Purview 内部风险管理具有预配访问权限的Microsoft Defender XDR用户使用。 有关详细信息 ,请参阅用户页面中的实体详细信息 。
(GA) 终结点安全策略页现在可在 Microsoft Defender XDR 的多租户管理中使用。 从“终结点安全策略”页创建、编辑和删除租户设备 的安全策略 。 有关详细信息,请参阅 多租户管理中的终结点安全策略。
使用警报 严重性和警报 标题值作为条件创建 警报 优化规则。 警报优化有助于简化警报队列,通过自动隐藏或解决警报,每次发生特定的预期组织行为并满足规则条件,从而节省会审时间。 有关详细信息,请参阅 优化警报。
(预览) 在 main Microsoft 365 Defender 设置中打开预览选项以及其他 Microsoft 365 Defender 预览版功能。 尚未使用预览功能的客户将继续在“设置终结点>高级功能”“预览功能>”>下看到旧版设置。 有关详细信息,请参阅 Microsoft 365 Defender 预览版功能。
(预览版) Microsoft Defender 门户中的 SOC 优化页现在可用于统一安全操作平台。 集成Microsoft Defender XDR和Microsoft Sentinel,并使用 SOC 优化来优化流程和结果,而无需让 SOC 团队花费时间进行手动分析和研究。 有关更多信息,请参阅:
(预览版) Microsoft Defender门户中的搜索现在包括搜索Microsoft Sentinel中的设备和用户的功能。 使用搜索栏搜索跨Microsoft Defender XDR和Microsoft Sentinel的事件、警报和其他数据。 有关详细信息,请参阅在Microsoft Defender中搜索。
(预览版) CloudAuditEvents 表现已在高级搜寻中提供。 这样,就可以在 Microsoft Defender for Cloud 中搜寻云审核事件,并创建自定义检测来发现可疑的 Azure 资源管理器 和 Kubernetes (KubeAudit) 控制平面活动。
(GA) 在高级搜寻中的“执行操作”向导中现已提供在选择 “软删除 ”作为电子邮件操作时自动软删除发件人的副本。 这项新功能简化了管理已发送邮件的过程,尤其是使用 软删除 和 移动到收件箱 操作的管理员。 有关详细信息 ,请阅读对电子邮件执行操作 。
(预览) 现在可以使用高级搜寻查询 API 查询Microsoft Sentinel数据。 可以使用
timespan
参数查询Defender XDR,并Microsoft Sentinel数据保留期比默认值 30 天Defender XDR更长的数据。(预览版) 在统一Microsoft Defender门户中,现在可以在查询跨Microsoft Sentinel表和Defender XDR表的数据时创建自定义检测。 有关详细信息 ,请阅读创建自定义分析和检测规则 。
更新了 Microsoft Teams 中Microsoft Defender Experts 应用权限的故障排除步骤。
2024 年 4 月
(预览)Microsoft Defender 门户中的统一安全运营平台现已推出。 此版本汇集了 Microsoft Defender 中 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的完整功能。 有关详细信息,请参阅以下资源:
(GA) Microsoft Defender 中的 Microsoft Copilot 现已正式发布。 Defender 中的 Copilot 可帮助你更快、更有效地调查和响应事件。 Copilot 提供引导式响应、事件摘要和报告,可帮助你构建 KQL 查询来搜寻威胁,提供文件和脚本分析,并使您能够汇总相关且可操作的威胁情报。
Defender 中的 Copilot 客户现在可以将事件数据导出到 PDF。 使用导出的数据轻松共享事件数据,促进与安全团队和其他利益干系人的讨论。 有关详细信息,请参阅“将事件数据导出到 PDF”。
Microsoft Defender 门户中的通知现已发布。 在 Defender 门户的右上角,选择钟形图标以查看所有活动通知。 详细了解Microsoft Defender门户中的通知。
AzureResourceId
列显示与设备关联的 Azure 资源的唯一标识符,现已在高级搜寻的 DeviceInfo 表中提供。
2024 年 2 月
(GA) 深色模式现已在 Microsoft Defender 门户中提供。 在 Defender 门户的主页右上角,选择“深色模式”。 选择浅色模式以将颜色模式更改回默认模式。
(GA) 将严重性分配给事件、将事件分配给组以及攻击情景图中的追捕选项现已正式发布。 有关如何分配或更改事件严重性以及将事件分配给组的指南,请参阅“管理事件”页。 了解如何通过浏览攻击情景来使用搜索选项。
(预览)安全 API 中的 Microsoft Graph 自定义检测规则现已推出。 创建特定于组织的高级搜寻自定义检测规则,以主动监视威胁并采取措施。
警告
2024-02 平台版本会导致使用仅具有磁盘/设备级访问权限的可移动媒体策略(小于 7 的掩码)的设备控制客户产生不一致的结果。 强制措施可能无法按预期工作。 若要缓解此问题,建议回滚到 Defender 平台以前的版本。
2024 年 1 月
Defender Boxed 的可用时间有限。 Defender Boxed 重点介绍了组织在 2023 年的安全成功、改进和响应操作。 花点时间来庆祝贵组织在安全状况、检测到的威胁的总体响应(手动和自动)、阻止的电子邮件等方面的改进。
- 当你在 Microsoft Defender 门户中转到事件页时,Defender Boxed 会自动打开。
- 如果关闭 Defender Boxed 并且想要重新打开它,请在 Microsoft Defender 门户中转到事件,然后选择 Defender Boxed。
- 快行动起来! Defender Boxed 仅在短时间内可用。
Defender Experts for XDR 现在让你可以使用 Teams 接收托管响应通知和更新。 还可以与 Defender 专家就发出托管响应的事件进行聊天。
(GA) 事件队列的可用筛选器中的新功能现已正式发布。 通过创建筛选器集并保存筛选器查询,根据首选筛选器确定事件的优先级。 详细了解可用筛选器中的事件队列筛选器。
(GA) Microsoft Defender for Cloud 警报与 Microsoft Defender XDR 的集成现已正式发布。 详细了解 Microsoft Defender XDR 中的 Microsoft Defender for Cloud 集成。
(GA) 活动日志现在可在事件页中使用。 使用活动日志查看所有审核和注释,并向事件日志添加注释。 有关详细信息,请参阅“活动日志”。
(预览)高级搜寻中的查询历史记录现已推出。 现在可以重新运行或优化最近运行的查询。 在过去 28 天内,最多可在查询历史记录窗格中加载 30 个查询。
(预览)现提供可用于在高级搜寻中进一步向下钻取查询结果的其他功能。
2023 年 12 月
Microsoft Defender XDR 统一的基于角色的访问控制 (RBAC) 现已正式发布。 统一 (RBAC) 让管理员可以从单个集中式位置跨不同的安全解决方案管理用户权限。 GCC Moderate 客户也可使用此产品/服务。 若要了解详细信息,请参阅“Microsoft Defender XDR 统一的基于角色的访问控制 (RBAC)”。
Microsoft Defender XDR 专家现在让你可以排除设备,不执行专家采取的修正操作,而是获取这些实体的修正指南。
Microsoft Defender 门户的事件队列更新了筛选器、搜索,并添加了一个新函数,你可以在其中创建自己的筛选器集。 有关详细信息,请参阅可用筛选器。
现在可以将事件分配给用户组或其他用户。 有关详细信息,请参阅“分配事件”。
2023 年 11 月
Microsoft Defender 搜寻专家现在可以生成示例 Defender 专家通知,以便你可以开始体验服务,而无需等待环境中发生实际的关键活动。 了解更多
(预览)Microsoft Defender for Cloud 警报现已集成到 Microsoft Defender XDR 中。 Defender for Cloud 警报会自动关联到 Microsoft Defender 门户中的事件和警报,可以在事件和警报队列中查看云资源资产。 详细了解 Microsoft Defender XDR 中的 Defender for Cloud 集成。
(预览)Microsoft Defender XDR 现在内置了欺骗技术,以保护环境免受使用人工横向移动的高影响攻击。 详细了解要使用的功能以及如何配置欺骗功能。
Microsoft Defender XDR 专家现在可以在为 Defender Experts for XDR 服务准备环境时执行你自己的就绪性评估。
2023 年 10 月
(预览版)你现在可以在 Microsoft Defender XDR 中获取手动或自动操作的电子邮件通知。 了解如何为门户中执行的手动或自动响应操作配置电子邮件通知。 有关详细信息,请参阅获取 Microsoft Defender XDR 中响应操作的电子邮件通知。
(预览版)Microsoft Defender XDR 中的 Microsoft 安全 Copilot 现提供预览版。 Microsoft Defender XDR 用户可以利用安全 Copilot 功能汇总事件、分析脚本和代码、使用引导式响应来解决事件、生成 KQL 查询以及在门户中创建事件报告。 安全性 Copilot 处于仅对受邀用户提供预览版。 在 Microsoft 安全 Copilot 抢先体验计划常见问题解答中详细了解安全 Copilot。
2023 年 9 月
- (预览版)使用来自 Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 的数据的自定义检测,具体而言,
CloudAppEvents
、IdentityDirectoryEvents
、IdentityLogonEvents
和IdentityQueryEvents
表 现在可以以接近实时的连续 (NRT) 频率运行。
2023 年 8 月
新用户首次事件响应指南现已上线。 了解事件并学会分流和优先处理,使用教程和视频分析首次事件,并通过了解门户网站中的可用操作来修复攻击。
(预览版)资产规则管理 - 设备的动态规则现提供公共预览版。 动态规则可以通过根据特定条件自动分配标记和设备值来帮助管理设备上下文。
(预览版) 高级搜寻中的 DeviceInfo 表现在还包括列
DeviceManualTags
和公共DeviceDynamicTags
预览版,以便显示与正在调查的设备相关的手动和动态分配的标记。Microsoft Defender Experts for XDR 中的引导式响应功能已重命名为“托管响应”。 我们还添加了有关事件更新的 新常见问题解答部分。
2023 年 7 月
(正式发布)事件中的“攻击情景”现已正式发布。 攻击情景提供攻击的完整情景,并允许事件响应团队查看详细信息并应用修正。
新的 URL 和域页现已在 Microsoft Defender XDR 中提供。 更新后的 URL 和域页面提供了一个位置来查看有关 URL 或域的所有信息,包括其信誉、单击它的用户、访问它的设备,以及看到 URL 或域的电子邮件。 有关详细信息,请参阅在 Microsoft Defender XDR 中调查 URL。
2023 年 6 月
- (正式发布)Microsoft Defender Experts for XDR 现已正式发布。 Defender Experts for XDR 通过结合自动化和 Microsoft 的安全分析师专业知识,增强你的安全运营中心,帮助你自信地检测和应对威胁,并改善你的安全状况。 Defender Experts XDR 专家与其他 Microsoft Defender XDR 产品分开销售。 如果你是 Microsoft Defender XDR 客户并且有兴趣购买 Defender for XDR 专家,请参阅 Microsoft Defender XDR 专家概述。
2023 年 5 月
(正式发布)警报优化现已正式发布。 通过警报优化,可以微调警报以缩短调查时间,并专注于解决高优先级警报。 “警报优化”将替换“警报抑制”功能。
(正式发布)自动攻击中断现已正式发布。 此功能会自动中断人工操作的勒索软件 (HumOR)、企业电子邮件泄露 (BEC) 和中间人攻击 (AiTM)。
(预览版)自定义函数现可用于高级搜寻。 现在可以创建自己的自定义函数,以便在环境中搜寻时可以重复使用任何查询逻辑。
2023 年 4 月
(正式发布)“事件”页中的“统一资产”选项卡现已正式发布。
Microsoft 正在使用一种基于天气的命名分类法来描述威胁行为者。 此新的命名架构将提供更清晰的说明,并且更易于引用。 详细了解新的威胁参与者分类。
2023 年 3 月
- (预览版)Microsoft Defender 威胁智能 (Defender TI) 现已在 Microsoft Defender 门户中提供。
此更改在 Microsoft Defender 门户中引入了名为“威胁智能”的新导航菜单。 了解详细信息。
(预览版)高级搜寻中
DeviceInfo
表的完整设备报告现在每小时发送一次(而不是按以前的每日节奏)。 此外,每当任何以前的报表发生更改时,也会发送完整的设备报告。 此外,还向DeviceInfo
表添加了新列,并对DeviceInfo
和 DeviceNetworkInfo 表中的现有数据进行了多项改进。(预览版)近实时自定义检测现可用于高级搜寻自定义检测中的公共预览版。 有一个新的 连续 (NRT) 频率,用于在几乎实时地收集和处理事件时检查数据。
(预览版)Microsoft Defender for Cloud Apps 中的行为现提供公共预览版。 预览版客户现在还可以使用 BehaviorEntities 和 BehaviorInfo 表在高级搜寻中搜寻行为。
2023 年 2 月
(正式发布)高级搜寻中的查询资源报表现已正式发布。
(预览版)自动攻击中断功能现在会中断企业电子邮件泄露 (BEC)。
2023 年 1 月
新版本的 Microsoft Defender 搜寻专家报告现已发布。 报表的新界面现在可让客户更详细地了解 Defender 专家在其环境中观察到的可疑活动。 它还显示了哪些可疑活动在逐月呈持续增长趋势。 有关详细信息,请参阅了解 Microsoft Defender XDR 中的 Defender 专家搜寻报告。
(正式发布)实时响应现已正式发布到 macOS 和 Linux。
(GA) 标识时间线现已在 Microsoft Defender XDR 中作为新标识页的一部分正式发布。 更新后的“用户”页面具有新外观、相关资产的扩展视图和新的专用时间线选项卡。时间线表示过去 30 天的活动和警报。 它将跨所有可用工作负载(Microsoft Defender for Identity、Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint)来取消用户的标识条目。 使用时间线可帮助你轻松专注于特定时间范围内用户的活动(或对其执行的活动)。
2022 年 12 月
- (预览版)新的 Microsoft Defender XDR 基于角色的访问控制 (RBAC) 模型现已推出预览版。 新的 RBAC 模型使安全管理员能够以更高的效率集中管理单个系统内多个安全解决方案的特权,目前支持 Microsoft Defender for Endpoint、Microsoft Defender for Office 365 和 Microsoft Defender for Identity。 新模型与 Microsoft Defender XDR 中当前支持的现有单个 RBAC 模型完全兼容。 有关详细信息,请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC)。
2022 年 11 月
(预览版)Microsoft Defender Experts for XDR (Defender Experts for XDR) 现提供预览版。 Defender Experts for XDR 是一种托管检测和响应服务,可帮助安全运营中心 (SOC) 专注于并准确响应重要的事件。 它为使用 Microsoft Defender XDR 工作负载的客户提供扩展检测和响应:Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps 和 Azure Active Directory (Azure AD)。 有关详细信息,请参阅扩展的 Microsoft Defender Experts for XDR 预览版。
(预览版)查询资源报表现已在高级搜寻中提供。 该报告显示了组织在过去 30 天内使用任何搜寻界面运行的查询所消耗的 CPU 资源。 请参阅“查看查询资源报表”以查找效率低下的查询。
2022 年 10 月
- (预览版)新的自动攻击中断功能现已提供预览版。 该功能结合了安全研究见解和先进的 AI 模型,可自动遏制正在进行的攻击。 自动攻击中断还为安全操作中心 (SOC) 提供了更多时间来完全修正攻击,并限制攻击对组织的影响。 此预览会自动中断勒索软件攻击。
2022 年 8 月
(正式发布)Microsoft Defender 搜寻专家现已正式发布。 如果你是拥有强大安全运营中心的 Microsoft Defender XDR 客户,但希望 Microsoft 帮助你使用 Microsoft Defender 数据在终结点、Office 365、云应用程序和标识之间主动搜寻威胁,那么请详细了解如何应用、设置和使用该服务。 Defender 搜寻专家与其他 Microsoft Defender XDR 产品分开销售。
(预览版)引导模式现可用于高级搜寻中的公共预览版。 分析师现在可以开始查询他们的数据库中的终端、身份、电子邮件和协作和云应用数据,而无需了解 Kusto 查询语言 (KQL)。 引导模式具有易于使用的友好构建基块样式,通过包含可用筛选器和条件的下拉菜单构造查询。 请参阅查询生成器入门。
2022 年 7 月
- (预览版)Microsoft Defender 搜寻专家公共预览版参与者现在可以期待接收每月报告,以帮助他们了解搜寻服务在其环境中出现的威胁,以及由其 Microsoft Defender XDR 产品生成的警报。 有关详细信息,请参阅了解 Microsoft Defender XDR 的 Defender 专家搜寻报告。
2022 年 6 月
(预览版)DeviceTvmInfoGathering 和 DeviceTvmInfoGatheringKB 表现已在高级搜寻架构中提供。 使用这些表在 Defender 漏洞管理中查找评估事件,包括各种配置的状态和设备的攻击外围状态。
Microsoft Defender 门户中新引入的自动调查和响应卡片概述了挂起的修正操作。
安全运营团队可以查看所有待审批的操作,以及批准卡片本身中这些操作的指定时间。 安全团队可以快速导航到操作中心并采取适当的修正措施。 自动调查和响应卡还具有指向“完全自动化”页的链接。 这使安全运营团队能够有效地管理警报并及时完成修正操作。
2022 年 5 月
- (预览版)根据最近宣布扩展到名为“Microsoft 安全专家”的新服务类别,我们将推出 Microsoft Defender 搜寻专家(Defender 搜寻专家)公开预览版。 Defender 搜寻专家适用于拥有可靠安全运营中心但希望 Microsoft 帮助他们主动搜寻跨 Microsoft Defender 数据(包括终结点、Office 365、云应用程序和标识)的威胁的客户。
2022 年 4 月
(预览版)现在可以直接从搜寻查询结果对电子邮件执行操作。 电子邮件可以移动到其他文件夹或永久删除。
(预览版)高级搜寻中的新
UrlClickEvents
表可用于根据电子邮件、Microsoft Teams 和 Office 365 应用中的安全链接单击中的信息来搜寻网络钓鱼活动和可疑链接等威胁。
2022 年 3 月
- (预览版)事件队列已通过几项旨在帮助调查功能的功能得到增强。 增强功能包括按 ID 或名称搜索事件、指定自定义时间范围等功能。
2021 年 12 月
- (正式发布)该
DeviceTvmSoftwareEvidenceBeta
表是在高级搜寻中短期添加的,用于查看设备上检测到特定软件的证据。
2021 年 11 月
(预览版)Defender for Cloud Apps 的应用程序治理加载项功能现已在 Microsoft Defender XDR 中提供。 应用管理提供了一种安全性和策略管理功能,专为支持 OAuth 的应用而设计,这些应用通过 Microsoft Graph API 访问 Microsoft 365 数据。 应用治理通过可操作的见解和自动化的策略警报和操作,对这些应用及其用户如何访问、使用和共享存储在 Microsoft 365 中的敏感数据提供全面的可见性、修复和治理。 了解有关应用程序治理的详细信息。
(预览版)高级搜寻页面现在提供多重表支持、智能滚动、简化的架构选项卡、查询的快速编辑选项、查询资源使用指示器和其他改进,使查询更流畅、更易于微调。
(预览版) 现在可以使用 事件链接 功能将高级搜寻查询结果中的事件或记录直接包含在正在调查的新事件或现有事件中。
2021 年 10 月
- (正式发布)在高级搜寻中,CloudAppEvents 表中添加了更多列。 现在可以将
AccountType
、IsExternalUser
、IsImpersonated
、IPTags
、IPCategory
和UserAgentTags
包含到查询中。
2021 年 9 月
(GA) Microsoft Defender for Office 365 事件数据在 Microsoft Defender XDR 事件流式处理 API 中提供。 可以在流式处理 API 中支持的 Microsoft Defender XDR 事件类型中查看事件类型的可用性和状态。
(正式发布)高级搜寻中提供的 Microsoft Defender for Office 365 数据现已正式发布。
(正式发布)将事件和警报分配给用户帐户
可以将事件及其关联的所有警报分配给用户帐户,从“分配到:事件的“管理事件”窗格上的 或警报的“管理警报”窗格。
2021 年 8 月
(预览版)高级搜寻中提供的 Microsoft Defender for Office 365 数据
电子邮件表中的新列可以更深入地了解基于电子邮件的威胁,以便使用高级搜寻进行更全面的调查。 现在可以在 EmailEvents 中的
AuthenticationDetails
列、 EmailAttachmentInfo 中的FileSize
以及 EmailPostDeliveryEvents 表中的ThreatTypes
和DetectionMethods
。(预览版)事件图
事件的“摘要”选项卡上的一个新的“图”选项卡显示攻击的全部范围、攻击如何随时间推移在网络中传播、其开始的位置以及攻击者执行了多长时间。
2021 年 7 月
-
通过受支持的合作伙伴连接,增强平台的检测、调查和威胁情报功能。
2021 年 6 月
(预览版)查看每个威胁标记的报告
威胁标记可帮助你专注于特定的威胁类别并查看最相关的报告。
(预览版)流式处理 API
Microsoft Defender XDR 支持通过高级搜寻将所有可用的事件流式传输到事件中心和/或 Azure 存储帐户。
(预览版)在高级搜寻中采取措施
快速包含威胁或处理在高级搜寻中发现的外泄资产。
(预览版)门户内架构参考
直接在安全中心获取有关高级搜寻架构表的信息。 除了表和列的描述之外,此引用包括受支持的事件类型(
ActionType
值)和示例查询。(预览版)DeviceFromIP() 函数
获取有关在给定时间范围内为哪些设备分配了特定 IP 地址的信息。
2021 年 5 月
-
提供有关攻击上下文的增强信息。 可以看到哪些其他触发的警报导致了当前警报,以及攻击所涉及的所有受影响的实体和活动,包括文件、用户和邮箱。 有关详细信息,请参阅调查警报。
Microsoft Defender 门户中事件和警报的趋势图
确定单个事件是否存在多个警报,或者组织是否受到多个不同事件的攻击。 有关详细信息,请参阅优先处理事件。
2021 年 4 月
Microsoft Defender XDR
改进的 Microsoft Defender XDR 门户现已可用。 此新体验将 Defender for Endpoint、Defender for Office 365、Defender for Identity 等整合到单个门户中。 这是管理安全控制的新主页。 了解新增功能。
-
威胁分析可帮助你响应并最大程度地减少活动攻击的影响。 你还可以了解 Microsoft Defender XDR 解决方案阻止的攻击尝试,并采取预防措施来降低进一步暴露的风险,并提高复原能力。 作为统一安全体验的一部分,威胁分析现在适用于 Microsoft Defender for Endpoint 和 Microsoft Defender for Office E5 许可证持有者。
2021 年 3 月
-
查找有关 Microsoft Defender for Cloud Apps 涵盖的各种云应用和服务中的事件的信息。 此表还包括之前在
AppFileEvents
表中提供的信息。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。