Microsoft Defender 的新增功能
列出 Microsoft Defender 全面偵測回應中的新功能。
如需其他 Microsoft Defender 安全性產品和 Microsoft Sentinel 的新功能詳細資訊,請參閱:
- 適用於 Office 365 的 Microsoft Defender 的新功能
- 適用於端點的 Microsoft Defender 新功能
- 適用於身分識別的 Microsoft Defender 的新功能
- Microsoft Defender for Cloud Apps 有什麼新功能
- Microsoft Sentinel 的新功能
您也可以透過 訊息中心 取得產品更新和重要通知。
2024年11月
- (事件圖表中的預覽) 攻擊路徑現在可在 Microsoft Defender 入口網站中使用。 攻擊案例現在包含潛在的攻擊路徑,這些路徑會顯示攻擊者在危害裝置之後可能採取的路徑。 此功能可協助您排定回應工作的優先順序。 如需詳細資訊,請參閱 攻擊案例中的攻擊路徑。
- (預覽) Microsoft Defender 全面偵測回應 客戶現在可以將事件數據匯出至 PDF。 使用導出的數據,輕鬆地擷取事件數據並分享給其他項目關係人。 如需詳細資訊,請參閱將事件資料匯出至 PDF。
- (GA) 事件佇列中的最後一個更新時間數據行現已正式推出。
- (預覽版) 雲端原生調查和回應動作現在可供 Microsoft Defender 入口網站中的容器相關警示使用。 安全性作業中心 (SOC) 分析師現在可以使用雲端原生回應動作和調查記錄來近乎即時地調查和回應容器相關警示,以搜捕相關活動。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中調查和回應容器威脅。
- (GA) Microsoft Defender
arg()
入口網站中進階搜捕中的操作員現已正式推出。 用戶現在可以使用 Azure Resource Graph 查詢的 arg () 運算符來搜尋 Azure 資源,而且如果已在 Microsoft Defender 中,則不再需要移至 Microsoft Sentinel 中的 Log Analytics 來使用此運算符。 - (預覽) CloudProcessEvents 數據表現在可在進階搜捕中預覽。 其中包含多重雲端裝載環境中處理事件的相關信息。 您可以使用它來探索可透過程序詳細數據觀察到的威脅,例如惡意進程或命令行簽章。
- (預覽) 將自定義偵測查詢移轉至 近乎實時的連續 (或 NRT) 頻率 ,現在可在進階搜捕中預覽。 使用持續 (NRT) 頻率可提高組織更快識別威脅的能力。 它對於您的資源使用量的影響很小,因此應該考慮您組織中的任何合格自定義偵測規則。 您可以遵循 連續 (NRT) 頻率中的步驟來移轉相容的 KQL 查詢。
2024年10月
- Microsoft使用新的許可權等級新增整合 RBAC 角色,讓 Microsoft 威脅專家 客戶使用 Ask Defender 專家功能。
- (預覽) 在進階搜尋中,Microsoft Defender 入口網站用戶現在可以使用 Azure Resource Graph 查詢的自變數 () 運算符來搜尋 Azure 資源。 如果您已經在 Microsoft Defender 中,就不再需要移至 Microsoft Sentinel 中的Log Analytics來使用此運算符。
2024 年 9 月
- (GA) Microsoft Defender 入口網站中實體的 全域搜尋 現已正式推出。 增強的搜尋結果頁面會集中所有實體的結果。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的全局搜尋。
- (GA) Defender 中的 Copilot 現在包含身分識別摘要功能,可提供用戶風險層級的即時深入解析、登入活動等等。 如需詳細資訊,請參閱在 Defender中使用 Copilot 摘要身分識別資訊。
- Microsoft Defender 威脅情報 客戶現在可以在 Microsoft Defender 入口網站首頁中檢視最新的精選威脅情報文章。 Intel 總管頁面現在也有文章摘要,通知他們自從上次存取 Defender 入口網站之後所發行的新 Defender TI 文章數目。
- Microsoft Defender 全面偵測回應 會新增整合 RBAC 許可權,以提交查詢並檢視 Microsoft Defender 專家的回應。 您也可以在提交查詢時,或在Defender入口網站中流覽至 [報告 Defender 專家] 訊息,透過列出的電子郵件地址檢視提交給>詢問Defender 專家的查詢回應。
- (GA) 進階 搜捕內容窗格 現在可在更多體驗中使用。 這可讓您存取進階搜捕功能,而不需要離開目前的工作流程。
- 針對分析規則所產生的事件和警示,您可以選取 [ 執行查詢 ] 來探索相關分析規則的結果。
- 在分析規則精靈的 [設定規則邏輯 ] 步驟中,您可以選取 [ 檢視查詢結果 ] 來確認您即將設定的查詢結果。
- 在 查詢資源報表中,您可以選取查詢數據列上的三個點,然後選取 [ 在查詢編輯器中開啟],以檢視任何查詢。
- 針對涉及事件或警示的裝置實體,在裝置端面板上選取三個點之後,也可使用 Go 搜捕 作為其中一個選項。
2024 年 8 月
- (預覽) Microsoft Sentinel 數據現在可在 Microsoft Defender 多租使用者管理中使用 Defender 全面偵測回應 數據。 在Microsoft統一安全性作業平臺中,每個租使用者目前僅支援一個 Microsoft Sentinel 工作區。 因此,Microsoft Defender 多租使用者管理會顯示每個租使用者一個 Microsoft Sentinel 工作區 (SIEM) 數據的安全性資訊和事件管理。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Defender 多租使用者管理和Microsoft Sentinel。
- 若要確保流覽 Microsoft Defender 入口網站時的體驗順暢,請將適當的位址新增至您的允許清單,以設定網路防火牆。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 的網路防火牆設定。
2024年7月
透過IoT授權的 Microsoft Defender和適用於端點的Defender裝置探索功能,Microsoft Defender入口網站現在會顯示遭入侵裝置與操作技術 (OT) 裝置通訊的警示事件。 使用適用於端點的 Defender 數據,Defender 全面偵測回應 會自動將這些新的 OT 警示與事件相互關聯,以提供完整的攻擊案例。 若要篩選相關事件,請參閱 Microsoft Defender 入口網站中的事件優先順序。
(GA) 依事件和警示佇列中相關聯的警示訂用帳戶標識元篩選雲端警示的 Microsoft Defender 現在已正式推出。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的雲端 Microsoft Defender。
(GA) Microsoft Defender 入口網站中的Microsoft統一安全性作業平臺已正式推出。 此版本結合了 Microsoft Sentinel、Microsoft Defender 全面偵測回應和 Microsoft Defender 中的 Microsoft Copilot 的完整功能。 如需詳細資訊,請參閱下列資源:
部落格文章: Microsoft統一安全性作業平臺正式推出
(預覽) 您現在可以在 Microsoft Defender 入口網站中自定義事件和警示佇列中的數據行。 您可以新增、移除、重新排序資料行,以顯示所需的資訊。 如需詳細資訊,請參閱如何自定義 事件佇列 和 警示佇列中的數據行。
(預覽) 重大資產 現在是事件和警示佇列中卷標的一部分。 當重大資產涉及事件或警示時,重大資產標籤會顯示在佇列中。 如需詳細資訊,請參閱 事件卷標 和 警示佇列。
(預覽) 事件現在會根據事件的最新自動或手動更新進行排列。 閱讀事件佇列中的最後一個更新時間數據行。
(GA) Learning 中樞資源已從 Microsoft Defender 入口網站移至 learn.microsoft.com。 存取 Microsoft Defender 全面偵測回應 Ninja 訓練、學習路徑、訓練模組等等。 瀏覽 學習路徑清單,並依產品、角色、層級和主題進行篩選。
(GA) 進階搜捕中的 UrlClickEvents 數據表現已正式推出。 使用下表來取得電子郵件訊息、Microsoft Teams,以及 Office 365 支援之桌面、行動裝置和 Web 應用程式中的安全連結點選相關信息。
(GA) 您現在可以直接從進階搜捕和自定義偵測中採取動作,將電子郵件訊息從隔離區放回或移動回使用者的收件匣。 這可讓安全性操作員更有效率地管理誤判,而不會遺失內容。
2024 年 6 月
(預覽版) 多 租使用者管理中的租使用者群組內容發佈 現已推出。 內容發佈可協助您在 Microsoft Defender 全面偵測回應 的多租使用者管理中,跨租用戶大規模管理內容。 在內容發佈中,您可以建立租使用者群組,將現有內容,例如自定義偵測規則,從來源租用戶複製到您在租使用者群組建立期間指派的目標租使用者。 內容接著會在您在租使用者群組範圍中設定的目標租使用者裝置或裝置群組上執行。
(預覽) 您現在可以依據事件和警示佇列中相關聯的警示訂用帳戶標識碼來篩選雲端警示的 Microsoft Defender。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的雲端 Microsoft Defender。
(GA) 您現在可以在進階搜捕中 篩選結果 ,以便縮小您想要專注於特定數據的調查範圍。
2024 年 5 月
(預覽版) 安全性分析師現在可以在 Microsoft Defender 入口網站中調查使用者的測試人員風險,其內部風險嚴重性和深入解析可供已布建存取 Microsoft Purview 內部風險管理 的 Microsoft Defender 全面偵測回應 使用者使用。 如需詳細資訊,請參閱 用戶頁面中的實體詳細 數據。
(GA) 端點安全策略頁面現在可在 Microsoft Defender 全面偵測回應 中的多租使用者管理中使用。 從 [ 端點安全 策略] 頁面建立、編輯和刪除租用戶裝置的安全策略。 如需詳細資訊,請參閱 多租使用者管理中的端點安全策略。
使用警示嚴重性和警示標題值作為條件來建立警示微調規則。 警示微調可協助您簡化警示佇列,藉由在每次發生特定預期的組織行為並符合規則條件時自動隱藏或解決警示,以節省分級時間。 如需詳細資訊,請 參閱微調警示。
(預覽) 在主要 Microsoft 365 Defender 設定中開啟預覽選項 ,以及其他 Microsoft 365 Defender 預覽功能。 尚未使用預覽功能的客戶會繼續在 [設定>端點>][進階功能預覽功能>] 底下看到舊版設定。 如需詳細資訊,請參閱 Microsoft 365 Defender 預覽功能。
(預覽) Microsoft Defender 入口網站中的 [SOC 優化] 頁面現在可與統一的安全性作業平臺搭配使用。 整合 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel,並使用SOC優化來優化流程和結果,而不需要讓SOC小組花時間進行手動分析和研究。 如需詳細資訊,請參閱:
(入口網站中的預覽) 搜尋現在包含在 Microsoft Defender Microsoft Sentinel 中搜尋裝置和使用者的能力。 使用搜尋列來搜尋跨 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 的事件、警示和其他數據。 如需詳細資訊,請參閱在 Microsoft Defender 中搜尋。
(預覽) CloudAuditEvents 數據表現在可在進階搜捕中使用。 這可讓您在雲端 Microsoft Defender 中搜捕雲端稽核事件,並建立自定義偵測來呈現可疑的 Azure Resource Manager 和 Kubernetes (KubeAudit) 控制平面活動。
(GA) 在選取 [虛刪除 ] 作為電子郵件訊息的動作時自動虛刪除寄件人的復本,現在可在進階搜捕中的 [採取動作精靈] 中取得。 這項新功能可簡化管理已傳送專案的程式,特別是使用 虛刪除 和 移至收件匣 動作的系統管理員。 如需詳細資訊,請參閱 對電子郵件採取動作 。
(預覽) 您現在可以使用進階搜捕查詢 API 來查詢 Microsoft Sentinel 數據。 您可以使用
timespan
參數來查詢 Defender 全面偵測回應,並 Microsoft Sentinel 數據保留時間超過 Defender 全面偵測回應 預設值 30 天的數據。(預覽) 在統一 Microsoft Defender 入口網站中,您現在可以在查詢跨越 Microsoft Sentinel 和 Defender 全面偵測回應 數據表的數據時建立自定義偵測。 如需詳細資訊,請參閱 建立自定義分析和偵測規則 。
2024 年 4 月
(預覽) Microsoft Defender 入口網站中的整合安全性作業平台現已推出。 此版本結合了 Microsoft Sentinel、Microsoft Defender 全面偵測回應和 Microsoft Defender 中的 Microsoft Copilot 的完整功能。 如需詳細資訊,請參閱下列資源:
(正式發行) Microsoft Defender 中的 Microsoft Copilot 現已正式推出。 Defender 中的 Copilot 可協助您更快速且更有效率地調查和回應事件。 Copilot 提供引導式回應、事件摘要和報告,可協助您建置 KQL 查詢來搜捕威脅、提供檔案和腳本分析,以及讓您摘要相關且可採取動作的威脅情報。
Defender 中的 Copilot 客戶現在可以將事件資料匯出至 PDF。 使用匯出的資料輕鬆地共用事件資料,促進與安全性小組和其他專案關係人的討論。 如需詳細資訊,請參閱將事件資料匯出至 PDF。
Microsoft Defender 入口網站中的通知現已可供使用。 在 Defender 入口網站右上方,選取鈴鐺圖示以檢視所有作用中通知。 在 Microsoft Defender 入口網站中深入瞭解通知。
顯示與裝置相關聯 Azure 資源唯一標識碼的
AzureResourceId
資料行,現在可在進階搜捕中的 DeviceInfo 資料表中取得。
2024 年 2 月
(正式發行) 深色模式現在可在 Microsoft Defender 入口網站中使用。 在 Defender 入口網站的首頁右上方,選取 [深色模式]。 選取 [淺色模式] 將色彩模式變更回預設值。
(正式發行) 攻擊故事圖表中的 [將嚴重性指派給事件]、[將事件指派給群組] 和 [開始搜捕] 選項現已正式推出。 了解如何指派或變更事件嚴重性和將事件指派給群組的指南,可於管理事件頁面取得。 了解如何藉由探索攻擊故事來使用 [開始搜捕] 選項。
(預覽) Microsoft Graph 安全性 API 中的自訂偵測規則現已可供使用。 建立組織專屬的進階搜捕自訂偵測規則,以主動監視威脅並採取動作。
警告
2024-02 平台版本會對使用抽取式媒體原則且僅有磁碟/裝置層級存取權 (使其小於或等於 7) 的裝置控制客戶,產生不一致的結果。 強制執行可能無法如預期般運作。 若要緩解此問題,建議復原至舊版的 Defender 平台。
2024 年 1 月
Defender Boxed 可在一段有限的時間內使用。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和回應動作。 花點時間來慶祝貴組織在安全性態勢的改善、針對偵測到威脅的整體回應 (手動和自動)、封鎖的電子郵件等等。
- 當您移至 Microsoft Defender 入口網站中的 [事件] 頁面時,Defender Boxed 會自動開啟。
- 如果您關閉 Defender Boxed 並想要重新開啟,請在 Microsoft Defender 入口網站中,移至 [事件],然後選取 [您的 Defender Boxed]。
- 快速採取行動! Defender Boxed 僅提供一小段時間。
Defender XDR 專家現在可讓您使用 Teams 接收受控回應通知和更新。 您也可以與 Defender 專家討論發出受控回應的事件。
(正式發行) 事件佇列可用篩選中的新功能現已正式推出。 藉由建立篩選集和儲存篩選查詢,根據您慣用的篩選排定事件的優先順序。 在可用的篩選中深入了解事件佇列篩選。
(正式發行) 適用於雲端的 Microsoft Defender 警示與 Microsoft Defender 全面偵測回應整合現已正式推出。 深入了解 Microsoft Defender 全面偵測回應中適用於雲端的 Microsoft Defender 中的整合。
(正式發行) 活動記錄現在可在事件頁面中取得。 使用活動記錄來檢視所有稽核和註解,並將註解新增至事件記錄。 如需詳細資訊,請參閱活動記錄。
(預覽) 進階搜捕中的查詢歷程記錄現已可供使用。 您現在可以重新執行或精簡最近執行的查詢。 最多可在查詢歷程記錄窗格中載入過去 28 天內的 30 個查詢。
(預覽) 您可用來進一步向下切入進階搜捕中查詢結果的其他功能現已可供使用。
2023 年 12 月
Microsoft Defender 全面偵測回應整合角色型存取控制 (RBAC) 現已正式推出。 整合 (RBAC) 可讓系統管理員從單一集中位置管理不同安全性解決方案的使用者權限。 此供應項目也適用於 GCC Moderate 客戶。 若要深入了解,請參閱 Microsoft Defender 全面偵測回應整合角色型存取控制 (RBAC)。
Microsoft Defender XDR 專家現在可讓您從我們的專家所採取的補救動作中排除裝置,並改為取得這些實體的補救指導。
Microsoft Defender 入口網站的事件佇列已更新篩選、搜尋和新增函式,您可以在其中建立自己的篩選集。 如需詳細資訊,請參閱可用的篩選。
您現在可以將事件指派給使用者群組或其他使用者。 如需詳細資訊,請參閱指派事件。
2023 年 11 月
Microsoft Defender 搜補專家現在可讓您產生範例 Defender 專家通知,以便開始體驗服務,而不需要等候實際重要活動在您的環境中發生。 深入了解
(預覽) 適用於雲端的 Microsoft Defender 警示現在已整合到 Microsoft Defender 全面偵測回應中。 適用於雲端的 Defender 警示會自動與 Microsoft Defender 入口網站中的事件和警示相互關聯,而且可以在事件和警示佇列中檢視雲端資源資產。 在 Microsoft Defender 全面偵測回應中深入了解適用於雲端的 Defender 整合。
(預覽) Microsoft Defender 全面偵測回應現在已內建欺騙技術,可保護您的環境免於遭受使用人為操作橫向移動的強烈影響攻擊。 深入了解欺騙功能,以及如何設定欺騙功能。
Microsoft Defender XDR 專家現在可讓您在準備 Defender XDR 專家服務的環境時,執行自己的整備評定。
2023 年 10 月
(預覽) 您現在可以取得在 Microsoft Defender 全面偵測回應中完成的手動或自動動作的電子郵件通知。 瞭解如何為在入口網站中執行的手動或自動回應動作設定電子郵件通知。 如需詳細資訊,請參閱取得 Microsoft Defender 全面偵測回應中回應動作的電子郵件通知。
(預覽) Microsoft Defender 全面偵測回應中的 Microsoft 安全性 Copilot 現在處於預覽狀態。 Microsoft Defender 全面偵測回應使用者可以利用安全性 Copilot 功能來摘要事件、分析指令碼和程式碼、使用引導式回應來解決事件、產生 KQL 查詢,以及在入口網站中建立事件報告。 安全性 Copilot 處於僅限邀請的預覽狀態。 深入瞭解 Microsoft 安全性 Copilot 搶先體驗計劃常見問題 中的安全性 Copilot。
2023 年 9 月
- (預覽版) 使用來自適用于身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 的資料進行自訂偵測,特別是
CloudAppEvents
、IdentityDirectoryEvents
、IdentityLogonEvents
和IdentityQueryEvents
資料表,現在可以以近乎即時的 連續 (NRT) 頻率執行。
2023 年 8 月
針對新使用者回應第一個事件的指南現在已上線。 瞭解事件 並瞭解如何分級和排定優先順序、使用教學課程和影片來 分析您的第一個事件,以及瞭解入口網站中可用的動作來 補救攻擊。
(預覽版) 資產規則管理 - 裝置的動態規則 現在處於公開預覽狀態。 動態規則可以根據特定準則自動指派標籤和裝置值,以協助管理裝置內容。
(預覽) 進階搜捕中的 DeviceInfo 數據表現在也包含
DeviceManualTags
數據行和DeviceDynamicTags
公開預覽,以顯示與您正在調查之裝置相關的手動和動態指派標籤。適用於 XDR 的 Microsoft Defender 專家中的 引導式回應 功能已重新命名為受控回應。 我們也在事件更新上新增了 新常見問題區段。
2023 年 7 月
(GA) 事件中的 攻擊案例 現已正式推出。 攻擊案例提供攻擊的完整案例,並可讓事件回應小組檢視詳細資料並套用補救。
新的 URL 和網域頁面現在可在 Microsoft Defender 全面偵測回應中使用。 更新的 URL 和網域頁面提供單一位置來檢視 URL 或網域的所有相關資訊,包括其信譽、點擊它的使用者、存取它的裝置,以及看到該 URL 或網域的電子郵件。 如需詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應中的 URL。
2023 年 6 月
- (GA) 適用於 XDR 的 Defender 專家現已正式推出。 適用於 XDR 的 Defender 專家結合自動化和 Microsoft 的安全性分析師專業知識,協助您放心地偵測和回應威脅,並改善您的安全性狀態,以增強您的安全性作業中心。 Microsoft Defender XDR 專家與其他 Microsoft Defender 全面偵測回應產品分開銷售。 如果您是 Microsoft Defender 全面偵測回應客戶,且有興趣購買 Defender XDR 專家,請參閱 Microsoft Defender XDR 專家概觀。
2023 年 5 月
(GA) 警示微調 現已正式推出。 警示微調可讓您微調警示以減少調查時間,並專注于解決高優先順序警示。 警示微調會取代警示抑制功能。
(GA) 自動攻擊中斷 現已正式推出。 這項功能會自動中斷人為操作的勒索軟體 (HumOR)、商業電子郵件入侵 (BEC) 以及中間敵人 (AiTM) 攻擊。
(預覽版) 自訂函數 現在可在進階搜捕中使用。 您現在可以建立自己的自訂函數,以便在環境中搜捕時重複使用任何查詢邏輯。
2023 年 4 月
(GA) [事件] 頁面中的統一 [資產] 索引標籤 現已正式推出。
Microsoft 正在針對威脅執行者使用新的氣象型命名分類法。 這個新的命名結構描述將更清楚,而且更容易參考。 深入瞭解新的威脅執行者分類法。
2023 年 3 月
- (預覽) Microsoft Defender 威脅情報 (Defender TI) 現在可在 Microsoft Defender 入口網站中使用。
這項變更會在名為 威脅情報 的 Microsoft Defender 入口網站內推出新的導覽功能表。 深入了解。
(預覽版) 進階搜捕中
DeviceInfo
資料表 的完整裝置報告現在會 每小時 傳送 (而非先前的每日頻率)。 此外,每當任何先前的報表有變更時,也會傳送完整的裝置報告。 新的資料行也已新增至DeviceInfo
資料表,並對DeviceInfo
和 DeviceNetworkInfo 資料表中的現有資料進行了數項改進。(預覽版) 在進階搜捕自訂偵測中,近乎即時的自訂偵測現在可供公開預覽。 有一個新的 連續 (NRT) 頻率,它會在近乎即時地收集和處理事件的數據時,檢查事件中的數據。
(預覽版) Microsoft Defender for Cloud Apps 中的行為 現已可供公開預覽。 預覽版客戶現在也可以使用 BehaviorEntities 和 BehaviorInfo 資料表,在進階搜捕中搜捕行為。
2023 年 2 月
(GA) 進階搜捕中的查詢資源報告 現已正式推出。
(預覽版) 自動攻擊中斷 功能現在會中斷商業電子郵件外洩 (BEC)。
2023 年 1 月
新版的 Microsoft Defender 搜補專家報告現已推出。 報告的新介面現在可讓客戶更深入瞭解 Defender 專家在其環境中觀察到的可疑活動。 它也會顯示哪些可疑活動持續出現逐月趨勢。 如需詳細資訊,請參閱了解 Microsoft Defender 全面偵測回應中的 Defender 搜補專家報告。
(GA) 即時回應現已正式推出 macOS 和 Linux 版本。
(正式發行) 身分識別時間表現在已作為 Microsoft Defender 全面偵測回應中的新 [身分識別] 頁面的一部分正式推出。 更新的 [使用者] 頁面具有新外觀、相關資產的展開檢視,以及新的專用時間表索引標籤。時間表代表過去 30 天的活動和警示。 它會在所有可用的工作負載中,統一使用者的身分識別項目:適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和適用於端點的 Microsoft Defender。 使用時間表可協助您輕鬆地將焦點放在特定時間範圍內使用者的活動 (或在其上執行的活動)。
2022 年 12 月
- (預覽) 新 Microsoft Defender 全面偵測回應角色型存取控制 (RBAC) 模型現在已可供預覽。 新的 RBAC 模型可讓安全性系統管理員以更高的效率集中管理單一系統內多個安全性解決方案的特殊權限,目前支援適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender 和適用於身分識別的 Microsoft Defender。 新模型與 Microsoft Defender 全面偵測回應中目前支援的現有個別 RBAC 模型完全相容。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應角色型存取控制 (RBAC)。
2022 年 11 月
(預覽版) 適用于 XDR 的 Microsoft Defender 專家 (適用于 XDR 的 Defender 專家) 現已可供預覽。 適用于 XDR 的 Defender 專家是受控偵測和回應服務,可協助您的安全性作業中心 (SOC) 專注並正確地回應重要的事件。 它會為使用 Microsoft Defender 全面偵測回應工作負載的客戶提供擴充偵測和回應:適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 Azure Active Directory (Azure AD)。 如需詳細資訊,請參閱 擴充的適用於 XDR 的 Microsoft Defender 專家預覽。
(預覽版) 查詢資源報告現在可在進階搜捕中使用。 此報告會根據過去 30 天內使用任何搜捕介面執行的查詢,顯示貴組織對搜捕的 CPU 資源耗用量。 請參閱 檢視查詢資源報告 以尋找沒有效率的查詢。
2022 年 10 月
- (預覽) 新的自動攻擊中斷功能現在為預覽狀態。 這項功能結合了安全性研究深入解析和進階 AI 模型,以自動包含進行中的攻擊。 自動攻擊中斷也提供更多時間給安全性作業中心 (SOC) 以完全補救攻擊,並限制攻擊對組織的影響。 此預覽會自動中斷勒索軟體攻擊。
2022 年 8 月
(GA) Microsoft Defender 搜補專家 現已正式推出。 如果您是具有強大安全性作業中心的 Microsoft Defender 全面偵測回應客戶,但想要 Microsoft 協助您使用 Microsoft Defender 資料主動搜捕端點、Office 365、雲端應用程式和身分識別的威脅,請深入了解如何套用、設定及使用該服務。 Defender 搜捕專家與其他 Microsoft Defender 全面偵測回應產品分開銷售。
(預覽版) 引導模式 現在可在進階搜捕中公開預覽。 分析師現在可以開始查詢其資料庫中的端點、身分識別、電子郵件與共同作業和雲端應用程式資料,而不需要知道 Kusto 查詢語言 (KQL)。 引導模式會透過包含可用篩選和條件的下拉式功能表,提供友善、易用、具建置組塊風格的建構查詢。 請參閱 開始使用查詢建立器。
2022 年 7 月
- (預覽) Microsoft Defender 搜補專家公開預覽版參與者現在可以期待收到每月報告,以協助他們了解搜捕服務在其環境中所呈現的威脅,以及其 Microsoft Defender 全面偵測回應產品所產生的警示。 如需詳細資訊,請參閱了解 Microsoft Defender 全面偵測回應中的 Defender 搜捕專家報告。
2022 年 6 月
(預覽版) DeviceTvmInfoGathering 和 DeviceTvmInfoGatheringKB 資料表現在可在進階搜捕結構描述中取得。 使用這些資料表來搜捕 Defender 弱點管理中的評量事件,包括各種設定的狀態和裝置的攻擊面區域狀態。
Microsoft Defender 入口網站中新推出的自動化調查與回應卡片提供擱置補救動作的概觀。
安全性作業小組可以檢視所有擱置核准的動作,以及在卡片本身核准這些動作的規定時間。 安全性小組可以快速瀏覽至控制中心,並採取適當的補救動作。 自動化調查與回應卡片也有 [完全自動化] 頁面的連結。 這可讓安全性作業小組有效地管理警示,並及時完成補救動作。
2022 年 5 月
- (預覽版) 根據最近宣佈的擴充至名為 Microsoft 安全性專家 的新服務類別,我們正在推出 Microsoft Defender 搜捕專家 (Defender 搜捕專家) 可用性的公開預覽版。 Defender 搜捕專家適用于擁有強大安全性作業中心但希望 Microsoft 協助他們主動搜捕跨 Microsoft Defender 資料的威脅的客戶,包括端點、Office 365、雲端應用程式和身分識別。
2022 年 4 月
(預覽版) 現在可以直接從搜捕查詢結果對電子郵件訊息採取 動作。 可以將電子郵件移至其他資料夾或永久刪除。
(預覽版) 進階搜捕中的新
UrlClickEvents
資料表 可用來搜捕威脅 (如網路釣魚活動和根據來自電子郵件訊息、Microsoft Teams 和 Office 365 應用程式中 [安全連結] 點選的資訊的可疑連結等)。
2022 年 3 月
- (預覽版) 事件佇列已透過數個專為協助您調查而設計的功能來增強。 增強功能包括依識別碼或名稱搜尋事件、指定自訂時間範圍等功能。
2021 年 12 月
- (GA) 在進階搜捕的短期基礎上新增的
DeviceTvmSoftwareEvidenceBeta
資料表,可讓您檢視在裝置上偵測到特定軟體的證據。
2021 年 11 月
(預覽) 適用於雲端的 Defender 應用程式的應用程式控管附加元件功能現在可在 Microsoft Defender 全面偵測回應中使用。 應用程式控管提供安全性和原則管理功能,專為已啟用 OAuth 的應用程式所設計,可透過 Microsoft Graph API 存取 Microsoft 365 資料。 應用程式控管透過可採取動作的深入解析和自動化原則警示和動作,提供這些應用程式及其使用者存取、使用和共用儲存在 Microsoft 365 中敏感性資料之方式的完整可見度、補救和控管。 深入瞭解應用程式控管。
(預覽版) 進階搜捕 頁面現在有多重資料表支援、智慧型捲動、簡化的結構描述索引標籤、進行查詢的快速編輯選項、查詢資源使用量指標以及其他改善功能,讓查詢更順暢且更容易進行微調。
(預覽) 您現在可以使用 事件功能的連結 ,將進階搜捕查詢結果中的事件或記錄直接包含到您正在調查的新事件或現有事件中。
2021 年 10 月
- (GA) 在進階搜捕中,CloudAppEvents 資料表中新增了更多資料行。 您現在可以將
AccountType
、IsExternalUser
、IsImpersonated
、IPTags
、IPCategory
和UserAgentTags
包含在查詢中。
2021 年 9 月
(正式發行) 適用於 Office 365 的 Microsoft Defender 事件資料可在 Microsoft Defender 全面偵測回應事件串流 API 中取得。 您可以在串流 API 中支援的 Microsoft Defender 全面偵測回應事件類型中查看事件類型的可用性和狀態。
(GA) 進階搜捕中的適用於 Office 365 的 Microsoft Defender 資料現已正式推出。
(GA) 將事件和警示指派給使用者帳戶
您可以在事件的 [管理事件] 窗格或警示的 [管理警示] 窗格上的 [指派給:],將事件及其相關聯的所有警示指派給使用者帳戶。
2021 年 8 月
(預覽版) 進階搜捕中的適用於 Office 365 的 Microsoft Defender 資料
電子郵件資料表中的新資料行可讓您更深入瞭解電子郵件型威脅,以使用進階搜捕進行更徹底的調查。 您現在可以在 EmailEvents 中包含
AuthenticationDetails
資料行,在 EmailAttachmentInfo 中包含FileSize
和在 EmailPostDeliveryEvents 資料表中包含ThreatTypes
和DetectionMethods
。(預覽版) 事件圖表
事件的 [摘要] 索引標籤上的新 [圖表] 索引標籤會顯示攻擊的完整範圍、攻擊如何隨著時間分散到您的網路、其開始位置,以及攻擊者所攻擊的程度。
2021 年 7 月
-
使用支援的合作夥伴連線,增強平臺的偵測、調查和威脅情報功能。
2021 年 6 月
(預覽版) 檢視每個威脅標籤的報告
威脅標籤可協助您專注于特定的威脅類別,並檢閱最相關的報告。
(預覽版) 串流 API
Microsoft Defender 全面偵測回應支援透過進階搜捕將所有可用的事件串流至事件中樞和/或 Azure 儲存體帳戶。
(預覽版) 在進階搜捕中採取動作
迅速包含您在 進階搜捕 中找到的威脅或位址遭到洩漏的資產。
(預覽版) 入口網站內結構描述參考
直接在安全性中心中取得進階搜捕結構資料表的資訊。 除了資料表和資料行描述,這個參考資料還包含支援的事件類型 (
ActionType
值) 和範例查詢。(預覽版) DeviceFromIP 函數
取得在指定時間範圍內指派特定 IP 位址或位址之裝置的相關資訊。
2021 年 5 月
Microsoft Defender 入口網站中的新警示頁面
提供內容到攻擊的增強資訊。 您可以查看哪些其他觸發的警示造成目前的警示,以及與攻擊相關的所有受影響實體和活動,包括檔案、使用者和信箱。 如需詳細資訊,請參閱 調查警示。
Microsoft Defender 入口網站中事件和警示的趨勢圖
判斷單一事件是否有數個警示,或您的組織是否受到數個不同事件的攻擊。 如需詳細資訊,請參閱 優先處理事件。
2021 年 4 月
Microsoft Defender XDR
改進的 Microsoft Defender 全面偵測回應入口網站現在已可供使用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分實別的 Defender 和更多功能帶到單一入口網站。 這是管理安全性控制項的新家。 了解新功能。
Microsoft Defender 全面偵測回應威脅分析報告
威脅分析可協助您回應作用中攻擊的影響,並將其影響降到最低。 您也可以了解 Microsoft Defender 全面偵測回應解決方案所封鎖的攻擊嘗試,並採取預防性動作來降低進一步暴露的風險並提高復原能力。 作為統一安全性體驗的一部分,威脅分析現在可供適用於端點的 Microsoft Defender 和適用於 Office 的 Microsoft Defender E5 授權持有者使用。
2021 年 3 月
-
尋找 Microsoft Defender for Cloud Apps 涵蓋的各種雲端應用程式和服務中事件的相關資訊。 此資料表也包含先前在
AppFileEvents
資料表中提供的資訊。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。