適用於端點的 Microsoft Defender 的新功能 - 2023 年以前
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender
- Microsoft 365 Defender
在 2023 年日曆年度之前的 適用於端點的 Microsoft Defender 中,下列功能為預覽版或正式推出 (GA) 。
如需預覽功能的詳細資訊,請參閱 預覽功能。
如需 Windows 上 適用於端點的 Microsoft Defender 新功能的詳細資訊,請參閱:Windows 上 適用於端點的 Microsoft Defender 的新功能
有關其他 Microsoft Defender 安全性產品的新功能詳細資訊,請參閱:
- Microsoft Defender 的新增功能
- 適用於 Office 365 的 Microsoft Defender 的新功能
- 適用於身分識別的 Microsoft Defender 的新功能
- Microsoft Defender for Cloud Apps 有什麼新功能
如需特定作業系統和其他作業系統上 適用於端點的 Microsoft Defender 的詳細資訊:
- Windows 上適用於端點的 Defender 的新功能
- macOS 上適用於端點的 Microsoft Defender 的新功能
- Linux新增功能 上適用於端點的 Microsoft Defender 的新功能
- Android 上適用於端點的 Defender 的新功能
- iOS 上適用於端點的 Microsoft Defender 的新功能
2022 年 12 月
適用於端點的 Microsoft Defender 裝置控制器卸除式記憶體存取控制更新:
Microsoft Intune 可行動記憶體存取控制的支援現已推出。 請參閱使用 Intune 部署和管理裝置控制項。
卸除式記憶體訪問控制的新預設強制執行原則是針對所有裝置控制功能所設計。 印表機保護現在適用於此原則。 如果您建立預設拒絕原則,則會封鎖您組織中的印表機。
Intune:./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
請參閱使用 Intune 部署和管理裝置控制項組策略:計算機>設定系統管理範>本 Windows 元件 > Microsoft Defender 防毒>功能>裝置控制>項選取裝置控制項預設強制執行
請參閱使用 群組原則 部署和管理裝置控制件
適用於端點的 Microsoft Defender 裝置控制表表機的新印表機保護解決方案現已推出。 如需詳細資訊,請參閱 裝置控制原則。
2022 年 11 月
- 內建保護 現已正式推出。 內建保護可協助保護您的組織免於遭受勒索軟體和其他威脅,預設設定有助於確保您的裝置受到保護。
2022 年 10 月
網路保護 C2 偵測和補救現已正式推出。
攻擊者通常會入侵現有的因特網連線伺服器,以成為其命令和控制伺服器。 攻擊者可以使用遭入侵的伺服器來隱藏惡意流量,並部署用來感染端點的惡意 Bot。 網路保護偵測和補救有助於改善 SecOps) 小組 (安全性作業所需的時間,以找出並回應想要入侵端點的惡意網路威脅。
2022 年 9 月
受攻擊面縮小規則報告現在可在 Microsoft Defender 入口網站中取得。
受攻擊面縮小規則報告現在可在 Microsoft Defender 入口網站中取得。 此 ASR 報告提供套用至組織中裝置的受攻擊面縮小規則相關信息,並協助您偵測威脅、封鎖潛在威脅,以及瞭解 ASR 和裝置設定。內建保護 (預覽) 即將推出。內建保護是一組預設設定,例如開啟竄改保護,以協助保護裝置免於遭受勒索軟體和其他威脅。
裝置健康情況報告現已正式推出。
裝置健康情況報告會提供端點健康情況和安全性的相關信息。 此報告包含趨勢資訊,其中顯示感測器健康情況狀態、防病毒軟體狀態、OS 平臺、Windows 10 版本,以及 Microsoft Defender 防病毒軟體更新版本。裝置健康情況報告現在可供使用適用於端點的 Defender 的美國政府客戶使用。
裝置健康情況報告現在適用於 GCC、GCC High 和 DoD 客戶。疑難解答模式現在適用於更多 Windows 作業系統,包括 Windows Server 2012 R2 和更新版本。 如需必要更新的詳細資訊,請參閱 疑難解答模式。
2022 年 8 月
裝置健康情況狀態
[裝置健康情況狀態] 卡片會顯示特定裝置的摘要健康情況報告。裝置健康情況報告 (預覽)
裝置狀態報告提供組織中裝置的高階資訊。 此報告包含趨勢資訊,其中顯示感測器健康情況狀態、防病毒軟體狀態、OS 平臺和 Windows 10 版本。macOS 上的竄改保護現已正式推出
此功能預設會在啟用稽核模式時發行,您可以決定是否要強制執行 (區塊) 或關閉功能。 今年稍後,我們將提供漸進式推出機制,自動將端點切換為「封鎖」模式;只有在您尚未選擇啟用 (「封鎖」模式) 或停用功能時,才適用此機制。macOS 和 Linux 的網路保護和 Web 保護現已處於公開預覽狀態!
網路保護可協助減少裝置遭受因特網型事件的攻擊面。 它可防止員工使用任何應用程式來存取可能在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的網域。 這是建立 Web Protection for 適用於端點的 Microsoft Defender 的基礎。 這些功能包括 Web 威脅防護、Web 內容篩選,以及 IP/URL 自定義指標。 Web 保護可讓您保護裝置免於遭受 Web 威脅,並協助規範不想要的內容。已改善 Windows Server 2012 R2 和 Windows Server 2016 的 適用於端點的 Microsoft Defender 上線
Configuration Manager 版本 2207 現在支援針對 Windows Server 2012 R2 & 2016 自動部署新式整合 適用於端點的 Microsoft Defender。 執行 Windows Server 2012 R2 或 Windows Server 2016 的裝置,如果是透過用戶端設定來設定,則現在會使用統一代理程式,而不是Microsoft監視代理程式型解決方案。
2022 年 7 月
新增域控制器裝置 - 評估實驗室增強功能
現已正式推出 - 新增域控制器以執行複雜的案例,例如跨多個裝置的橫向移動和多階段攻擊。在 適用於端點的 Microsoft Defender 中宣佈檔案頁面增強功能
您曾經調查過 適用於端點的 Microsoft Defender 中的檔案嗎? 我們現在更輕鬆地在 [檔案] 頁面和側邊面板上宣布增強功能。 用戶現在可以藉由擁有更有效率的瀏覽體驗,在單一位置裝載所有這些資訊來簡化程式。介紹新的警示歸並體驗
我們很高興分享新的進階警示歸並體驗現已正式推出。 新體驗提供更緊密的粒度和控制,讓使用者可以微調 適用於端點的 Microsoft Defender 警示。使用「包含」防止遭入侵的非受控裝置在組織中橫向移動
從今天開始,當未在 適用於端點的 Microsoft Defender 註冊的裝置懷疑遭到入侵時,身為SOC分析師的您將能夠「包含」它。 因此,任何在 適用於端點的 Microsoft Defender 註冊的裝置現在都會封鎖與可疑裝置的任何連入/傳出通訊。使用適用於端點的 Defender 的美國政府客戶現在可以使用行動裝置支援
適用於美國政府客戶的 適用於端點的 Microsoft Defender 內建於 Azure 美國政府環境中,並使用與 Azure Commercial 中 Defender 相同的基礎技術。 此供應專案可供 GCC、GCC High 和 DoD 客戶使用,並進一步將我們的平臺可用性從 Windows、macOS 和 Linux 延伸到 Android 和 iOS 裝置。
2022 年 6 月
適用於伺服器的 Defender 方案 2 現在與 MDE 整合解決方案整合
您現在可以使用單一按鈕,開始將適用於 Windows Server 2012 R2 和 2016 的新式整合解決方案部署至適用於伺服器的 Defender 方案 2 所涵蓋的伺服器。Android & iOS 上 適用於端點的 Microsoft Defender 的行動網路保護現已處於公開預覽狀態
Microsoft在適用於端點的 Defender 中提供行動網路保護功能,可協助組織利用強固的威脅情報來識別、評估及補救端點弱點。 我們很高興宣佈,用戶現在可以在具有 適用於端點的 Microsoft Defender的 Android 和 iOS 平臺上受益於這項新功能。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。
2021 年 10 月
Windows Server 2012 R2 和 Windows Server 2016 (預覽版) 更新的上線與功能同位
新的統一方案套件可移除相依性與安裝步驟,更輕鬆地讓伺服器上線。 此外,這個統一的方案套件隨附許多新功能改良。Windows 11 支援已新增到適用於端點的 Microsoft Defender 和 Microsoft 365 Defender。
2021 年 9 月
- Web 內容篩選 。 Web 內容篩選是適用於端點的 Microsoft Defender 網頁保護功能的一部分,可讓貴組織的安全性小組根據其網站的內容類別來追蹤和規範網站的存取。 類別包括成人內容、高頻寬、法律責任、休閒和未分類。 雖然許多屬於這些類別的網站可能並非惡意網站,但可能會因為合規性法規、頻寬使用量或其他考量而造成問題。 深入了解 Web 內容篩選。
2021 年 8 月
適用於端點的 Microsoft Defender 方案 1 (預覽) 。 適用於端點的 Defender 方案 1 (預覽) 是一種 Endpoint Protection 解決方案,其中包含新一代保護、受攻擊面縮小、集中式管理和報告,以及 API。 適用於端點的 Defender 方案 1 (預覽) 是適用於下列客戶的新供應專案:
- 想要試用端點保護功能
- 具有 Microsoft 365 E3 和
- 還沒有 Microsoft 365 E5
如需適用於端點的 Defender 方案 1 (預覽) 的詳細資訊,請參閱 適用於端點的 Microsoft Defender 方案 1 (預覽) 。
現有的 適用於端點的 Defender 功能稱為適用於端點的 Defender 方案 2。
(預覽) Web 內容篩選
Web 內容篩選是適用於端點的 Microsoft Defender 網頁保護功能的一部分。 它可讓貴組織根據其網站的內容類別來追蹤和規範網站的存取。 由於合規性規定、頻寬使用量或其他考量,這些網站雖然有許多不是惡意網站,但可能造成問題。
2021 年 6 月
Delta 匯出軟體弱點評定 API
新增至匯出弱點和安全設定評定 API 集合中。
與完整軟體弱點評估 (JSON 回應) 不同 ,此評定會用來按裝置取得貴組織軟體弱點評估的完整快照 - Delta 匯出 API 呼叫只會用來擷取所選日期與目前日期之間發生的變更(「delta」API 呼叫)。 您只會取得有關新、已修正及更新弱點的特定資訊,而不是每次取得大量資料的完整匯出。 DELTA 匯出 API 呼叫也可以用來計算不同的 KPI,例如「已修正多少弱點」或「已新增多少新弱點至組織」。弱點和安全設定的匯出評定 API
新增 API 集合,並以每個裝置為基礎提取威脅與弱點管理資料。 有不同的 API 呼叫可取得不同類型的資料: 安全性設定評定、軟體庫存評定和軟體弱點評定。 每個 API 呼叫都包含貴組織中的裝置的必要資料。補救活動 API
新增包含回應的 API 集合,其中包含已在租用戶中建立的威脅和弱點管理補救活動。 回應資訊類型包括一個補救活動 (按識別碼)、所有補救活動,以及一個補救活動的公開裝置。裝置探索
可協助尋找連接到公司網路的非受控裝置,而不需要額外的設備或麻煩的流程變更。 您可以使用上線的裝置在網路中尋找非受控裝置,並評估弱點和風險。 然後,您可以將找到的裝置上線,以降低網路中具有非受控端點的相關風險。重要事項
從 2021 年 7 月 19 日開始,標準探索將成為所有客戶的預設模式。 您可以選擇透過 [設定] 頁面保留「基本模式 」 。
裝置群組定義 現在可包含每個條件的多個值。 您可以將多個標記、裝置名稱和網域設定為單一裝置群組的定義。
行動裝置應用程式管理支援
當 Intune 用來管理行動裝置應用程式時,此增強功能可讓適用於端點的 Microsoft Defender 保護受管理應用程式中的組織資料。 有關行動裝置應用程式管理的詳細資訊,請參閱 這份文件。Microsoft Tunnel VPN 整合
Microsoft Tunnel VPN 功能現在已與適用於 Android 的 適用於端點的 Microsoft Defender 應用程式整合。 這項整合可讓組織使用一個安全性應用程式提供簡化的終端使用者體驗,同時提供行動威脅防禦和從其行動裝置存取內部部署資源的能力,而安全性和 IT 小組則能夠維持他們熟悉的相同系統管理員體驗。iOS 上的越獄偵測
iOS 上適用於端點的 Microsoft Defender 中的越獄偵測功能現已可供使用。 這會是現有網路釣魚保護上額外的防護。 有關詳細資訊,請參閱 根據裝置風險訊號來設定條件式存取原則。
2021 年 3 月
使用 Microsoft Defender 資訊安全中心來管理竄改保護
您可以使用所謂租用戶附加的方法,在 Windows 10、Windows Server 2016、Windows Server 2019 和 Windows Server 2022 上管理竄改保護。
2021 年 1 月
-
Windows 虛擬桌面
適用於端點的 Microsoft Defender 現會新增對 Windows 虛擬桌面的支援。
2020 年 12 月
-
iOS 上適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 現在新增對iOS的支援。 瞭解如何安裝、設定、更新及使用 iOS 適用於端點的 Microsoft Defender。
2020 年 9 月
Android 上適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 現在新增對Android的支援。 除了在 2020 年 8 月) 的上一個短期衝刺中引進的 Android (安裝、設定及使用 適用於端點的 Microsoft Defender 的布建之外,此短期衝刺中也引進了 Android 的「更新」適用於端點的 Microsoft Defender 布建。威脅和弱點管理 macOS 支援
macOS 的威脅和弱點管理現已處於公開預覽狀態,並會持續偵測 macOS 裝置上的弱點,以協助您將焦點放在風險上,以排定補救的優先順序。 如需詳細資訊,請參閱 Microsoft Tech Community 部落格文章。
2020年 8月
-
Android 上適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 現在新增對Android的支援。 Android 上 適用於端點的 Microsoft Defender 的文章可讓您瞭解如何安裝、設定及使用適用於 Android 的 適用於端點的 Microsoft Defender。
2020 年 7 月
-
建立憑證的指示器
建立指標以允許或封鎖憑證。
2020 年 6 月
Linux 上適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 現在新增對Linux的支援。 在Linux上 適用於端點的 Microsoft Defender 本文可讓您瞭解如何安裝、設定、更新及使用適用於Linux的 適用於端點的 Microsoft Defender。評估實驗室中的攻擊模擬器
適用於端點的 Microsoft Defender 已與各種威脅模擬平臺合作,讓您能夠輕鬆地從入口網站內測試平臺的功能。
2020 年 4 月
-
威脅 & 弱點管理 API 支援
執行威脅 & 弱點管理相關的 API 呼叫,例如取得組織的威脅暴露分數或裝置安全分數、軟體和裝置弱點清查、軟體版本發佈、裝置弱點資訊和安全性建議資訊。 如需詳細資訊,請參閱 Microsoft Tech Community 部落格文章。
November-December 2019
macOS 上適用於端點的 Microsoft Defender
適用於 Mac 的 適用於端點的 Microsoft Defender 會將新一代保護帶入 Mac 裝置。 整合端點安全性平臺的核心元件現在可供Mac裝置使用,包括 端點偵測和回應。威脅 & 弱點管理應用程式和應用程式版本生命週期結束資訊
已達到生命週期結束 (EOL) 的應用程式和應用程式版本會標記或標示如下;因此,您知道不再支持它們,而且可以採取動作來卸載或取代。 這麼做有助於降低因應用程式未修補而導致的各種弱點暴露相關風險。威脅 & 弱點管理進階搜捕架構
使用進階搜捕架構中的威脅 & 弱點管理數據表,查詢軟體清查、弱點知識庫、安全性設定評估和安全性設定知識庫。威脅 & 弱點管理角色型訪問控制
使用新的許可權,以允許建立 SecOps 導向角色、威脅 & 弱點管理導向角色或混合式角色的最大彈性,讓只有授權的使用者可以存取特定數據來執行其工作。 您也可以藉由指定威脅 & 弱點管理角色只能檢視弱點相關數據,或是可以建立和管理補救和例外狀況,來達到更進一步的數據粒度。
2019 年 10 月
IP 位址、URL/網域的指標
您現在可以使用自己的威脅情報來允許或封鎖網址。Microsoft 威脅專家 - 隨選專家
您現在可以選擇從入口網站中的幾個位置洽詢 Microsoft 威脅專家,以協助您在調查內容中。已連線的 Azure AD 應用程式
[連線的應用程式] 頁面會提供與組織中 適用於端點的 Microsoft Defender 連線的 Azure AD 應用程式相關信息。API 總管
API 總管可讓您輕鬆地建構和執行 API 查詢,以及測試和傳送任何可用 適用於端點的 Microsoft Defender API 端點的要求。
2019 年 9 月
使用 Intune的竄改保護設定
您現在可以在 Microsoft 365 裝置管理 入口網站 (Intune) 中開啟竄改保護 (或關閉組織的) 。即時回應
使用遠端殼層連線取得裝置的即時存取權。 執行深入調查工作,並立即採取回應動作,以立即包含已識別的威脅 - 即時。評估實驗室
適用於端點的 Microsoft Defender 評估實驗室的設計目的是要消除裝置和環境設定的複雜性,讓您可以專注於評估平臺的功能、執行模擬,以及查看運作中的預防、偵測和補救功能。Windows Server 2008 R2 SP1
您現在可以將 Windows Server 2008 R2 SP1 上線。
2019 年 6 月
威脅 & 弱點管理
新的內建功能,使用以風險為基礎的方法來探索、排定優先順序,以及補救端點弱點和設定錯誤。裝置健康情況與合規性報告 裝置健康情況與合規性報告會提供組織中裝置的高階資訊。
2019 年 5 月
威脅防護報告
威脅防護報告提供有關組織中所產生警示的高階資訊。Microsoft 威脅專家
Microsoft 威脅專家 是 適用於端點的 Microsoft Defender 中新的受控威脅搜捕服務,可提供主動式搜捕、優先順序和其他內容和見解,進一步讓安全性作業中心 (SOC) 快速且正確地識別及響應威脅。 它提供一層額外的專業知識和光學功能,Microsoft客戶在 365 Microsoft利用來增強安全性作業功能。指標
指標的 API 現已正式推出。互通性
適用於端點的 Microsoft Defender 支援第三方應用程式,以協助增強平臺的偵測、調查和威脅情報功能。
2019 年 4 月
Microsoft 威脅專家 目標攻擊通知功能
Microsoft 威脅專家 的目標攻擊通知警示會針對組織量身訂做,以提供盡可能快速傳遞的資訊,包括時程表、缺口範圍和入侵方法,因而將注意力帶到其網路中的重大威脅。適用於端點的 Microsoft Defender API
適用於端點的 Microsoft Defender 會透過一組程序設計 API 公開其大部分的數據和動作。 這些 API 可讓您根據 適用於端點的 Microsoft Defender 功能,將工作流程自動化並進行創新。
2019 年 2 月
事件
事件是 適用於端點的 Microsoft Defender 中的新實體,可將所有相關警示和相關實體結合在一起,以敘述更廣泛的攻擊案例,讓分析師更清楚瞭解複雜威脅的檢視。將上一版 Windows 上線
將支援的 Windows 裝置版本上線,以便將感測器數據傳送至 適用於端點的 Microsoft Defender 感測器。
2018 年 10 月
受攻擊面縮小規則
Windows Server 2019 現在支援所有受攻擊面縮小規則。受控資料夾存取權
Windows Server 2019 現在支援受控資料夾存取。自定義偵測
透過自定義偵測,您可以建立自定義查詢來監視事件是否有任何類型的行為,例如可疑或新興的威脅。 這可以透過建立自定義偵測規則,利用進階搜捕的威力來完成。與 Azure 資訊安全中心整合
適用於端點的 Microsoft Defender 與 Azure 資訊安全中心整合,以提供完整的伺服器保護解決方案。 透過這項整合,Azure 資訊安全中心 可以利用 適用於端點的 Microsoft Defender 功能,為 Windows Server 提供改良的威脅偵測。受控安全性服務提供者 (MSSP) 支援
適用於端點的 Microsoft Defender 提供 MSSP 整合,以新增此案例的支援。 整合可讓 MSSP 採取下列動作:取得 MSSP 客戶 Microsoft Defender 資訊安全中心 入口網站的存取權、擷取電子郵件通知,以及透過安全性資訊和事件管理 (SIEM) 工具擷取警示。卸除式裝置控制件
適用於端點的 Microsoft Defender 提供多個監視和控制功能,以協助防止來自卸載式裝置的威脅,包括允許或封鎖特定硬體標識碼的新設定。支援 iOS 和 Android 裝置
現在支援 iOS 和 Android 裝置,並可上線至服務。威脅分析
威脅分析是一組互動式報告,一旦識別出新興的威脅和暴發,適用於端點的 Microsoft Defender 研究小組就會發佈。 這些報告可協助安全性作業小組評估其環境的影響,並提供建議的動作來包含影響、提高組織復原能力,以及防止特定威脅。Windows 10 1809 版中有兩個新的受攻擊面縮小規則:
封鎖 Adobe Reader 使其無法建立子程序
封鎖 Office 通訊應用程式使其無法建立子程序
反惡意代碼掃描介面 (AMSI) 也已擴充為涵蓋 Office VBA 巨集。 Office VBA + AMSI:在惡意巨集上分割尾端。
2018 年 3 月
進階搜捕
在 適用於端點的 Microsoft Defender 中使用進階搜捕來查詢數據。受攻擊面縮小規則
新引進的攻擊面縮小規則如下:對惡意勒索軟體使用進階保護
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
封鎖源自 PSExec 與 WMI 命令的程序建立
封鎖從 USB 執行的未受信任與未簽署程序
封鎖來自電子郵件用戶端及網路郵件的可執行內容
自動化調查與補救措施
使用自動化調查來調查和補救威脅。注意事項
可從 Windows 10 1803 版或更新版本取得。
條件式存取
啟用條件式存取以更妥善地保護使用者、裝置和數據。適用於端點的 Microsoft Defender 社群中心
適用於端點的 Microsoft Defender 社群中心是一個社群成員可以學習、共同作業及分享產品體驗的地方。受控資料夾存取權
您現在可以使用受控資料夾存取來封鎖未受信任的進程寫入磁碟扇區。將非 Windows 裝置上線
適用於端點的 Microsoft Defender 提供 Windows 和非 Windows 平臺的集中式安全性作業體驗。 您將能夠在 Microsoft Defender 資訊安全中心 中看到來自各種支援操作系統 (OS) 的警示,並更妥善地保護組織的網路。角色型存取控制 (RBAC)
使用角色型訪問控制 (RBAC) ,您可以在安全性作業小組內建立角色和群組,以授與對入口網站的適當存取權。Microsoft Defender 防毒軟體
Microsoft Defender 防病毒軟體現在會在 M365 服務之間共用偵測狀態,並與 適用於端點的 Microsoft Defender 互操作。 如需詳細資訊,請參閱在透過雲端提供的保護 Microsoft Defender 防病毒軟體中使用新一代技術。第一次看見時封鎖現在可以封鎖不可攜式可執行檔 (,例如 JS、VBS 或巨集) 和可執行檔。 如需詳細資訊,請參閱 啟用第一次看見時封鎖。