Nyheder i Microsoft Defender XDR
Viser de nye funktioner og funktioner i Microsoft Defender XDR.
Du kan få flere oplysninger om nyheder i andre Microsoft Defender-sikkerhedsprodukter og Microsoft Sentinel under:
- Nyheder i Microsoft Defender for Office 365
- Nyheder i Microsoft Defender for Endpoint
- Nyheder i Microsoft Defender for Identity
- Nyheder i Microsoft Defender for Cloud Apps
- Nyheder i Microsoft Sentinel
Du kan også få produktopdateringer og vigtige meddelelser via meddelelsescenteret.
- (eksempelvisning) Angrebsstier i hændelsesgrafen er nu tilgængelige på portalen Microsoft Defender. Angrebshistorien indeholder nu potentielle angrebsstier, der viser de stier, som angribere potentielt kan tage, når de har kompromitteret en enhed. Denne funktion hjælper dig med at prioritere din svarindsats. Du kan få flere oplysninger i angrebsstier i angrebshistorien.
- (eksempelvisning) Microsoft Defender XDR kunder kan nu eksportere hændelsesdata til PDF. Brug de eksporterede data til nemt at registrere og dele hændelsesdata med andre interessenter. Du kan finde flere oplysninger under Eksportér hændelsesdata til PDF.
- (GA) Kolonnen for seneste opdateringstidspunkt i hændelseskøen er nu offentlig tilgængelig.
- (eksempelvisning) Cloudbaserede undersøgelses- og svarhandlinger er nu tilgængelige for objektbeholderrelaterede beskeder på Microsoft Defender-portalen. SOC-analytikere (Security Operations Center) kan nu undersøge og reagere på objektbeholderrelaterede beskeder i næsten realtid med cloudbaserede svarhandlinger og undersøgelseslogge for at søge efter relaterede aktiviteter. Du kan få flere oplysninger under Undersøg og reager på objektbeholdertrusler på Microsoft Defender-portalen.
- (GA) Operatøren
arg()
inden for avanceret jagt i Microsoft Defender portal er nu offentlig tilgængelig. Brugerne kan nu bruge arg()-operatoren til Azure Resource Graph-forespørgsler til at søge efter Azure-ressourcer og behøver ikke længere at gå til Log Analytics i Microsoft Sentinel for at bruge denne operator, hvis de allerede er i Microsoft Defender. - (eksempelvisning) Tabellen CloudProcessEvents er nu tilgængelig som prøveversion i avanceret jagt. Den indeholder oplysninger om proceshændelser i multicloud-hostede miljøer. Du kan bruge den til at finde trusler, der kan observeres via procesdetaljer, f.eks. skadelige processer eller kommandolinjesignaturer.
- (eksempelvisning) Overførsel af brugerdefinerede registreringsforespørgsler til fortløbende frekvens (næsten i realtid eller NRT) er nu tilgængelig som prøveversion i avanceret jagt. Brug af frekvensen Fortløbende (NRT) øger din organisations mulighed for at identificere trusler hurtigere. Det har minimal eller ingen indvirkning på dit ressourceforbrug og bør derfor overvejes for enhver kvalificeret brugerdefineret registreringsregel i din organisation. Du kan overføre kompatible KQL-forespørgsler ved at følge trinnene i Fortløbende (NRT)-hyppighed.
- Microsoft Unified RBAC-roller tilføjes med nye tilladelsesniveauer, så Microsoft-trusselseksperter kunder kan bruge funktionen Ask Defender-eksperter.
- (eksempelvisning) I avanceret jagt kan Microsoft Defender portalbrugere nu bruge arg()-operatoren til Azure Resource Graph-forespørgsler til at søge i Azure-ressourcer. Du behøver ikke længere at gå til Log Analytics i Microsoft Sentinel for at bruge denne operator, hvis du allerede er i Microsoft Defender.
- (GA) Global søgning for objekter på Microsoft Defender-portalen er nu offentlig tilgængelig. Siden med forbedrede søgeresultater centraliserer resultaterne fra alle enheder. Du kan finde flere oplysninger under Global søgning på Microsoft Defender-portalen.
- (GA) Copilot i Defender indeholder nu funktionen identitetsoversigt, der giver øjeblikkelig indsigt i en brugers risikoniveau, logonaktivitet m.m. Du kan få flere oplysninger under Opsummer identitetsoplysninger med Copilot i Defender.
- Microsoft Defender Threat Intelligence kunder kan nu se de seneste artikler om trusselsintelligens på startsiden for Microsoft Defender portalen. Siden Intel Explorer har nu også en artikeloversigt , der giver dem besked om antallet af nye Defender TI-artikler, der er blevet publiceret, siden de sidst åbnede Defender-portalen.
- Microsoft Defender XDR Unified RBAC-tilladelser tilføjes for at sende forespørgsler og få vist svar fra Microsoft Defender eksperter. Du kan også få vist svar på forespørgsler, der er sendt til Ask Defender Experts, via dine angivne mailadresser, når du indsender din forespørgsel eller på Defender-portalen, ved at navigere til Rapporter Defender>Experts-meddelelser.
- (GA) Avancerede ruder med jagtkontekst er nu tilgængelige i flere oplevelser. Dette giver dig adgang til den avancerede jagtfunktion uden at forlade din aktuelle arbejdsproces.
- For hændelser og beskeder, der genereres af analyseregler, kan du vælge Kør forespørgsel for at udforske resultaterne af den relaterede analyseregel.
- I trinnet Angiv regellogik i guiden til analyseregel kan du vælge Vis forespørgselsresultater for at bekræfte resultaterne af den forespørgsel, du er ved at angive.
- I rapporten med forespørgselsressourcer kan du få vist alle forespørgsler ved at vælge de tre prikker i forespørgselsrækken og vælge Åbn i forespørgselseditor.
- For enhedsenheder, der er involveret i hændelser eller beskeder, er Gå jagt også tilgængelig som en af mulighederne, når du har valgt de tre prikker på enhedens sidepanel.
- (eksempelvisning) Microsoft Sentinel data er nu tilgængelige med Defender XDR data i Microsoft Defender multitenant administration. Der understøttes i øjeblikket kun ét Microsoft Sentinel arbejdsområde pr. lejer på Microsoft Unified Security Operations-platformen. Så Microsoft Defender multitenant management viser SIEM-data (Security Information Information and Event Management) fra ét Microsoft Sentinel arbejdsområde pr. lejer. Du kan få flere oplysninger under Microsoft Defender multitenant administration og Microsoft Sentinel på Microsoft Defender-portalen.
- Hvis du vil sikre en problemfri oplevelse, når du navigerer på Microsoft Defender-portalen, skal du konfigurere din netværksfirewall ved at føje de relevante adresser til listen over tilladte. Du kan få flere oplysninger under Konfiguration af netværksfirewall for Microsoft Defender XDR.
Hændelser med beskeder, hvor en kompromitteret enhed, der kommunikeres med en driftsteknologienhed, nu er synlige på Microsoft Defender portalen via Microsoft Defender for IoT-licens og Defender for Endpoints enhedsregistreringsfunktioner. Ved hjælp af Defender for Endpoint-data korrelerer Defender XDR automatisk disse nye OT-beskeder med hændelser for at give en omfattende angrebshistorie. Hvis du vil filtrere relaterede hændelser, skal du se Prioriter hændelser på Microsoft Defender-portalen.
(GA) Filtrering af Microsoft Defender for skybeskeder efter det tilknyttede abonnements-id for beskeder i køerne Hændelser og beskeder er nu offentlig tilgængelig. Du kan få flere oplysninger under Microsoft Defender for Cloud i Microsoft Defender XDR.
(GA) Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen er offentlig tilgængelig. Denne version samler alle funktioner i Microsoft Sentinel, Microsoft Defender XDR og Microsoft Copilot i Microsoft Defender. Du kan få flere oplysninger i følgende ressourcer:
Blogindlæg: Generel tilgængelighed af Microsoft Unified Security Operations-platformen
(eksempelvisning) Du kan nu tilpasse kolonner i køerne Hændelser og beskeder på portalen Microsoft Defender. Du kan tilføje, fjerne og omarrangere kolonner for at få vist de oplysninger, du har brug for. Du kan få flere oplysninger under Sådan tilpasser du kolonner i hændelseskøen og beskedkøen.
(eksempelvisning) Kritiske aktiver er nu en del af koderne i hændelses- og beskedkøerne. Når et kritisk aktiv er involveret i en hændelse eller en besked, vises koden for det kritiske aktiv i køerne. Du kan få flere oplysninger i hændelseskoder og beskedkøen.
(eksempelvisning) Hændelser arrangeres nu i henhold til de seneste automatiske eller manuelle opdateringer af en hændelse. Læs om kolonnen for seneste opdateringstidspunkt i hændelseskøen.
(GA) Ressourcer til læringshub er flyttet fra Microsoft Defender portalen til learn.microsoft.com. Få adgang Microsoft Defender XDR Ninja-træning, læringsforløb, træningsmoduler og meget mere. Gennemse listen over læringsforløb, og filtrer efter produkt, rolle, niveau og emne.
(GA) Tabellen UrlClickEvents i avanceret jagt er nu offentlig tilgængelig. Brug denne tabel til at få oplysninger om klik på Sikre links fra mails, Microsoft Teams og Office 365 apps i understøttede skrivebords-, mobil- og webapps.
(GA) Du kan nu frigive eller flytte mails fra karantæne tilbage til brugerens indbakke direkte fra Udfør handlinger i avanceret jagt og i brugerdefinerede registreringer. Dette gør det muligt for sikkerhedsoperatorer at administrere falske positiver mere effektivt og uden at miste kontekst.
(eksempelvisning) Indholdsdistribution via lejergrupper i administration med flere brugere er nu tilgængelig. Indholdsdistribution hjælper dig med at administrere indhold i stor skala på tværs af lejere i administration af flere lejere i Microsoft Defender XDR. I indholdsdistribution kan du oprette lejergrupper for at kopiere eksisterende indhold, f.eks. regler for brugerdefineret registrering, fra kildelejer til de destinationslejere, du tildeler under oprettelsen af lejergruppen. Indholdet kører derefter på destinationslejerens enheder eller enhedsgrupper, som du angiver i lejergruppens område.
(eksempelvisning) Du kan nu filtrere dine Microsoft Defender for skybeskeder efter det tilknyttede abonnements-id for beskeder i køerne Hændelser og beskeder. Du kan få flere oplysninger under Microsoft Defender for Cloud i Microsoft Defender XDR.
(GA) Du kan nu filtrere dine resultater i avanceret jagt, så du kan indsnævre din undersøgelse af bestemte data, du vil fokusere på.
(eksempelvisning) Sikkerhedsanalytikere kan nu undersøge en brugers insiderrisiko på Microsoft Defender portalen med alvorsgrad af insiderrisiko og indsigt, der er tilgængelig for Microsoft Defender XDR brugere med klargjort adgang til Microsoft Purview Styring af insider-risiko. Se enhedsoplysningerne på brugersiden for at få flere oplysninger.
(GA) Siden med sikkerhedspolitikker for slutpunkter er nu tilgængelig i administration af flere elementer i Microsoft Defender XDR. Opret, rediger og slet sikkerhedspolitikker for dine lejers enheder fra siden Endpoint-sikkerhedspolitikker . Du kan finde flere oplysninger under Sikkerhedspolitikker for slutpunkter i administration af flere brugere.
Opret regler for justering af beskeder ved hjælp af værdierne For alvorsgrad af beskeder og Titel på besked som betingelser. Justering af beskeder kan hjælpe dig med at strømline beskedkøen og dermed spare tid ved at skjule eller løse beskeder automatisk, hver gang der opstår en bestemt forventet organisationsfunktionsmåde, og regelbetingelserne er opfyldt. Du kan få flere oplysninger under Juster en besked.
(eksempelvisning) Slå indstillinger for prøveversion til i de primære Indstillinger for Microsoft 365 Defender sammen med andre prøveversionsfunktioner til Microsoft 365 Defender. Kunder, der endnu ikke bruger prøveversionsfunktioner, vil fortsat se de ældre indstillinger under Indstillinger > Slutpunkter > Prøveversionsfunktioner til avancerede funktioner>. Du kan få flere oplysninger under Prøveversionsfunktioner til Microsoft 365 Defender.
(eksempelvisning) Siden SOC-optimeringer på Microsoft Defender-portalen er nu tilgængelig med platformen til samlede sikkerhedshandlinger. Integrer Microsoft Defender XDR og Microsoft Sentinel, og brug SOC-optimeringer til at optimere både processer og resultater, uden at dine SOC-teams bruger tid på manuel analyse og research. Du kan finde flere oplysninger under:
(eksempelvisning) Søgning på Microsoft Defender portalen omfatter nu muligheden for at søge efter enheder og brugere i Microsoft Sentinel. Brug søgelinjen til at søge efter hændelser, beskeder og andre data på tværs af Microsoft Defender XDR og Microsoft Sentinel. Du kan finde flere oplysninger under Søg i Microsoft Defender.
(eksempelvisning) Tabellen CloudAuditEvents er nu tilgængelig i avanceret jagt. Dette giver dig mulighed for at jage gennem cloud-overvågningshændelser i Microsoft Defender for Cloud og oprette brugerdefinerede registreringer, der giver adgang til mistænkelige aktiviteter i Azure Resource Manager og Kubernetes (KubeAudit).
(GA) Automatisk blød sletning af afsenderens kopi, når Blød sletning er valgt som en handling for mails, er nu tilgængelig i guiden Udfør handlinger i avanceret jagt. Denne nye funktion strømliner processen med at administrere sendte elementer, især administratorer, der bruger handlingerne Blød sletning og Flyt til indbakke . Læs Udfør handlinger på mails for at få flere oplysninger.
(eksempelvisning) Du kan nu forespørge Microsoft Sentinel data ved hjælp af API'en til avanceret jagtforespørgsel. Du kan bruge parameteren
timespan
til at forespørge om Defender XDR og Microsoft Sentinel data, der har længere dataopbevaring end Defender XDR standard på 30 dage.(eksempelvisning) På unified Microsoft Defender-portalen kan du nu oprette brugerdefinerede registreringer ved at forespørge om data, der strækker sig over Microsoft Sentinel og Defender XDR tabeller. Læs Opret brugerdefinerede regler for analyse og registrering for at få flere oplysninger.
Opdaterede fejlfindingstrin for apptilladelser til Microsoft Defender eksperter i Microsoft Teams.
(Forhåndsvisning) Den samlede platform til sikkerhedshandlinger på Microsoft Defender-portalen er nu tilgængelig. Denne version samler alle funktioner i Microsoft Sentinel, Microsoft Defender XDR og Microsoft Copilot i Microsoft Defender. Du kan få flere oplysninger i følgende ressourcer:
(GA) Microsoft Copilot i Microsoft Defender er nu generelt tilgængelig. Copilot i Defender hjælper dig med at undersøge og reagere på hændelser hurtigere og mere effektivt. Copilot leverer guidede svar, hændelsesoversigter og rapporter, hjælper dig med at oprette KQL-forespørgsler for at jage efter trusler, levere fil- og scriptanalyser og give dig mulighed for at opsummere relevant og handlingsstyret trusselsintelligens.
Copilot i Defender-kunder kan nu eksportere hændelsesdata til PDF. Brug de eksporterede data til nemt at dele hændelsesdata, hvilket letter diskussioner med dine sikkerhedsteams og andre interessenter. Du kan finde flere oplysninger under Eksportér hændelsesdata til PDF.
Meddelelser på Microsoft Defender-portalen er nu tilgængelige. Vælg klokkeikonet øverst til højre på Defender-portalen for at få vist alle dine aktive meddelelser. Få mere at vide om meddelelser på Microsoft Defender-portalen.
Kolonnen
AzureResourceId
viser det entydige id for den Azure-ressource, der er knyttet til en enhed, er nu tilgængelig i tabellen DeviceInfo i avanceret jagt på trusler.
(GA) Mørk tilstand er nu tilgængelig på Microsoft Defender-portalen. Vælg Mørk tilstand øverst til højre på startsiden på Defender-portalen. Vælg Lys tilstand for at ændre farvetilstanden tilbage til standard.
(GA) Tildeling af alvorsgrad til hændelser, tildeling af hændelse til en gruppe og indstillingen Gå på jagt fra grafen over angrebshistorien er nu offentlig tilgængelig. Vejledninger til at få mere at vide om, hvordan du tildele eller ændre hændelser alvorsgrad og tildele en hændelse til en gruppe, findes på siden Administrer hændelser. Få mere at vide om, hvordan du kan bruge indstillingen Gå på jagt ved at udforske angrebshistorien.
(Forhåndsvisning) Tilpassede regler for registrering i sikkerheds-API til Microsoft Graph er nu tilgængelige. Opret tilpassede registreringsregler for avanceret jagt på trusler, der er specifikke for din organisation til proaktivt at overvåge trusler og tage affære.
Advarsel!
Versionen af 2024-02-platformen medfører uoverensstemmende resultater for kunder, der bruger flytbare mediepolitikker med kun adgang på disk-/enhedsniveau (masker, der er mindre end 7). Håndhævelsen fungerer muligvis ikke som forventet. For at afhjælpe dette problem anbefales det at gå tilbage til den tidligere version af Defender-platformen.
Defender Boxed er tilgængelig i en begrænset periode. Defender Boxed fremhæver din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af 2023. Brug et øjeblik på at fejre din organisations forbedringer i sikkerhedsniveauet, samlet reaktion på registrerede trusler (manuelle og automatiske), blokerede mails og meget mere.
- Defender Boxed åbnes automatisk, når du går til siden Hændelser på Microsoft Defender-portalen.
- Hvis du lukker Defender Boxed, og du vil åbne den igen, skal du gå til Hændelser på Microsoft Defender-portalen og derefter vælge Din Defender Boxed.
- Reager hurtigt! Defender Boxed er kun tilgængelig i en kort periode.
Defender Experts for XDR giver dig nu mulighed for at modtage administrerede svarmeddelelser og opdateringer ved hjælp af Teams. Du kan også chatte med Defender-eksperter om hændelser, hvor der udstedes administreret svar.
(GA) Ny funktionalitet i hændelseskøens tilgængelige filtre er nu generelt tilgængelig. Prioriter hændelser i henhold til dine foretrukne filtre ved at oprette filtersæt og gemme filterforespørgsler. Få mere at vide om filtre for hændelseskø i Tilgængelige filtre.
(GA) Microsoft Defender til integration af cloudunderretninger med Microsoft Defender XDR er nu generel tilgængelig. Få mere at vide om integrationen i Microsoft Defender for Cloud i Microsoft Defender XDR.
(GA) Aktivitetslog er nu tilgængelig på en hændelsesside. Brug aktivitetsloggen til at få vist alle overvågninger og kommentarer, og føj kommentarer til loggen over en hændelse. Du kan finde flere oplysninger i Aktivitetslog.
(Forhåndsvisning) Forespørgselshistorik i avanceret jagt på trusler er nu tilgængelig. Du kan nu køre forespørgsler igen eller afgrænse forespørgsler, du har kørt for nylig. Der kan indlæses op til 30 forespørgsler i løbet af de seneste 28 dage i ruden forespørgselsoversigt.
(Forhåndsvisning) Yderligere funktioner, du kan bruge til at zoome ind på detaljeniveauet fra dine forespørgselsresultater i avanceret jagt på, er nu tilgængelige.
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (Role-Based Access Control – RBAC) er nu offentlig tilgængelig. Unified (RBAC) gør det muligt for administratorer at administrere brugertilladelser på tværs af forskellige sikkerhedsløsninger fra en enkelt central placering. Dette tilbud er også tilgængeligt for GCC Moderate-kunder. Du kan få flere oplysninger under Microsoft Defender XDR-unified rollebaseret adgangskontrol (RBAC).
Microsoft Defender Experts for XDR giver dig nu mulighed for udelukke enheder fra afhjælpningshandlinger, der udføres af vores eksperter, og i stedet få vejledning til afhjælpning for disse enheder.
Hændelseskøen i Microsoft Defender-portalen har opdateret filtre, søgning og tilføjet en ny funktion, hvor du kan oprette dine egne filtersæt. Du kan finde flere oplysninger under Tilgængelige filtre.
Du kan nu tildele hændelser til en brugergruppe eller en anden bruger. Du kan finde flere oplysninger under Tildel en hændelse.
Microsoft Defender jagteksperter kan du nu generere eksempler på meddelelser fra Defender-eksperter, så du kan begynde at opleve tjenesten uden at skulle vente på, at en faktisk kritisk aktivitet sker i dit miljø. Få mere at vide
(Prøveversion) Microsoft Defender for cloud-underretninger er nu integreret i Microsoft Defender XDR. Defender for Cloud-underretninger korreleres automatisk til hændelser, og underretninger på Microsoft Defender-portalen, og cloud-ressourceaktiver kan ses i hændelses- og underretningskøerne. Få mere at vide om Defender for Cloud-integration i Microsoft Defender XDR.
(Prøveversion) Microsoft Defender XDR har nu indbygget bedragsteknologi til at beskytte dit miljø mod angreb med stor indvirkning, der bruger tværgående bevægelse, der drives af mennesker. Få mere at vide om bedragsfunktionen, og hvordan du konfigurerer bedragsfunktionen.
Microsoft Defender Eksperter til XDR giver dig nu mulighed for at udføre din egen parathedsvurdering, når du forbereder miljøet til Defender Experts for XDR-tjenesten.
(Prøveversion) Du kan nu få mailmeddelelser om manuelle eller automatiserede handlinger udført i Microsoft Defender XDR. Få mere at vide om, hvordan du konfigurerer mailmeddelelser for manuelle eller automatiserede svarhandlinger, der udføres på portalen. Du kan finde flere oplysninger under Hent mailmeddelelser om svarhandlinger i Microsoft Defender XDR.
(Prøveversion) Microsoft Security Copilot i Microsoft Defender XDR fås nu som prøveversion. Microsoft Defender XDR-brugere kan drage fordel af Security Copilot-funktioner til at opsummere hændelser, analysere scripts og koder, bruge automatiserede svar til at løse hændelser, generere KQL-forespørgsler og oprette hændelsesrapporter på portalen. Security Copilot er en prøveversion, der kun er tilgængelig via invitation. Få mere at vide om Security Copilot i Ofte stillede spørgsmål om Microsoft Security Copilot-programmet tidlig adgang.
- (Prøveversion) Brugerdefinerede registreringer ved hjælp af data fra Microsoft Defender for Identity og Microsoft Defender for Cloud Apps, især
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
ogIdentityQueryEvents
tabeller, kan nu køres med frekvensen næsten i realtid fortløbende (NRT).
Vejledninger til besvarelse af din første hændelse for nye brugere er nu live. Forstå hændelser og lær at sortere og prioritere, analysere din første hændelse ved hjælp af selvstudier og videoer og afhjælpe angreb ved at forstå de handlinger, der er tilgængelige på portalen.
(Prøveversion) Administration af aktivregler – Dynamiske regler for enheder fås nu som offentlig prøveversion. Dynamiske regler kan hjælpe med at administrere enhedskontekst ved automatisk at tildele mærker og enhedsværdier baseret på bestemte kriterier.
(eksempelvisning) Tabellen DeviceInfo i avanceret jagt omfatter nu også kolonnerne
DeviceManualTags
ogDeviceDynamicTags
i den offentlige prøveversion, så de viser både manuelt og dynamisk tildelte mærker, der er relateret til den enhed, du undersøger.Funktionen Guidet respons i Microsoft Defender Experts for XDR er blevet omdøbt til Administreret respons. Vi har også tilføjet en ny sektion med ofte stillede spørgsmål om hændelsesopdateringer.
(GA) Angrebshistorien i hændelser er nu generelt tilgængelig. Angrebshistorien giver hele historien om angrebet og gør det muligt for teams for svar på hændelser at få vist detaljerne og anvende afhjælpning.
En ny URL-adresse og domæneside er nu tilgængelig i Microsoft Defender XDR. Den opdaterede URL-adresse og domæneside indeholder et enkelt sted, hvor du kan se alle oplysninger om en URL-adresse eller et domæne, herunder dens omdømme, de brugere, der har klikket på den, de enheder, der har fået adgang til den, og mails, hvor URL-adressen eller domænet blev set. Du kan finde flere oplysninger under Undersøg URL-adresser i Microsoft Defender XDR.
- (GA) Microsoft Defender Experts for XDR er nu generelt tilgængelig. Defender Experts for XDR øger dit sikkerhedscenter ved at kombinere automatisering og Microsofts ekspertise inden for sikkerhedsanalytikere, så du kan registrere og reagere på trusler med sikkerhed og forbedre din sikkerhedsholdning. Microsoft Defender Experts for XDR sælges separat fra andre Microsoft Defender XDR-produkter. Hvis du er Microsoft Defender XDR-kunde og er interesseret i at købe Defender Experts for XDR, kan du se Oversigt over Microsoft Defender Experts for XDR.
(GA) Beskedjustering er nu generelt tilgængelig. Med justering af beskeder kan du finjustere beskeder for at reducere undersøgelsestiden og fokusere på at løse vigtige beskeder med høj prioritet. Justering af beskeder erstatter funktionen til undertrykkelse af beskeder.
(GA) Automatisk afbrydelse af angreb er nu generelt tilgængelig. Denne funktion forstyrrer automatisk angreb med HumOR (human-operated ransomware), BEC (business email compromise) og AiTM (adversary-in-the-middle).
(Prøveversion) Brugerdefinerede funktioner er nu tilgængelige i avanceret jagt på trusler. Du kan nu oprette dine egne brugerdefinerede funktioner, så du kan genbruge enhver forespørgselslogik, når du jagter i dit miljø.
(GA) Fanen Samlede aktiver på siden Hændelser er nu generelt tilgængelig.
Microsoft bruger en ny vejrbaseret navngivningstaksonomi til trusselsaktører. Dette nye navngivningsskema giver større klarhed og er nemmere at referere til. Få mere at vide om taksonomien for den nye trusselsaktør.
- (Prøveversion) Microsoft Defender Threat Intelligence (Defender TI) er nu tilgængelig på Microsoft Defender-portalen.
Denne ændring introducerer en ny navigationsmenu på Microsoft Defender-portalen med navnet Threat Intelligence. Få mere at vide.
(Prøveversion) Komplette enhedsrapporter for
DeviceInfo
-tabellen i avanceret jagt på trusler sendes nu hver time (i stedet for den forrige daglige kadence). Desuden sendes komplette enhedsrapporter også, når der er en ændring i en tidligere rapport. Der blev også føjet nye kolonner til tabellenDeviceInfo
sammen med flere forbedringer af eksisterende data i tabellerneDeviceInfo
og DeviceNetworkInfo.(Prøveversion) Brugerdefineret registrering næsten i realtid er nu tilgængelig som offentlig prøveversion i avancerede brugerdefinerede jagtregistreringer. Der er en ny Kontinuerlig (NRT) -hyppighed, som kontrollerer data fra hændelser, efterhånden som de indsamles og behandles i næsten realtid.
(Prøveversion) Funktionsmåder i Microsoft Defender for Cloud Apps er nu tilgængelige som offentlig prøveversion. Prøveversionskunder kan nu også søge efter adfærd i avanceret jagt på trusler ved hjælp af tabellerne BehaviorEntities og BehaviorInfo.
(GA) Rapporten med forespørgselsressourcer i avanceret jagt på trusler er nu generelt tilgængelig.
(Prøveversion) Muligheden for automatisk afbrydelse af angreb afbryder nu BEC (Business Email Compromise).
Den nye version af Microsoft Defender jagteksperter-rapporten er nu tilgængelig. Rapportens nye grænseflade giver nu kunderne mulighed for at få flere kontekstafhængige oplysninger om de mistænkelige aktiviteter, som Defender-eksperter har observeret i deres miljøer. Det viser også, hvilke mistænkelige aktiviteter der har været konstant tendens fra måned til måned. Du kan finde flere oplysninger under Forstå Defender jagteksperter-rapporten i Microsoft Defender XDR.
(GA) Direkte svar er nu generelt tilgængeligt til macOS og Linux.
(GA) Identitetstidslinjen er nu generelt tilgængelig som en del af den nye identitetsside i Microsoft Defender XDR. Den opdaterede brugerside har et nyt udseende, en udvidet visning af relaterede aktiver og en ny dedikeret tidslinjefane. Tidslinjen repræsenterer aktiviteter og beskeder fra de sidste 30 dage. Det samler en brugers identitetsposter på alle tilgængelige workloads: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps og Microsoft Defender for Endpoint. Brug af tidslinjen hjælper dig med nemt at fokusere på en brugers aktiviteter (eller aktiviteter, der udføres på dem) inden for bestemte tidsrammer.
- (Prøveversion) Den nye Microsoft Defender XDR-rollebaserede adgangskontrolmodel (Role-Based Access Control – RBAC) er nu tilgængelig som prøveversion. Den nye RBAC-model giver sikkerhedsadministratorer mulighed for centralt at administrere rettigheder på tværs af flere sikkerhedsløsninger i et enkelt system med en større effektivitet, der i øjeblikket understøtter Microsoft Defender for Endpoint, Microsoft Defender for Office 365 og Microsoft Defender for Identity. Den nye model er fuldt kompatibel med de eksisterende individuelle RBAC-modeller, der i øjeblikket understøttes i Microsoft Defender XDR. Du kan få flere oplysninger under Microsoft Defender XDR-rollebaseret adgangskontrol.
(Prøveversion) Microsoft Defender Experts for XDR (Defender Experts for XDR) er nu tilgængelig som prøveversion. Defender Experts for XDR er en administreret registrerings- og svartjeneste, der hjælper dine sikkerhedsdriftscentre med at fokusere og præcist reagere på hændelser, der betyder noget. Den giver udvidet registrering og svar til kunder, der bruger Microsoft Defender XDR-arbejdsbelastninger: Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps og Azure Active Directory (Azure AD). Du kan finde flere oplysninger i Udvidet Microsoft Defender Experts for XDR-prøveversion.
(Prøveversion) Forespørgselsressourcerapporten er nu tilgængelig i avanceret jagt på trusler. Rapporten viser din organisations forbrug af CPU-ressourcer til jagt baseret på forespørgsler, der har kørt inden for de sidste 30 dage ved hjælp af en af jagtgrænsefladerne. Se Få vist rapport over forespørgselsressourcer for at finde ineffektive forespørgsler.
- (Prøveversion) Den nye funktionalitet til automatisk afbrydelse af angreb fås nu som prøveversion. Denne funktion kombinerer indsigt i sikkerhedsundersøgelser og udvikler AI-modeller, så de automatisk indeholder igangværende angreb. Automatisk afbrydelse af angreb giver også mere tid til sikkerhedsdriftscentre til fuldt ud at afhjælpe et angreb og begrænser et angrebs indvirkning på organisationer. Denne prøveversion afbryder automatisk ransomware-angreb.
(GA) Microsoft Defender jagteksperter er nu generelt tilgængelig. Hvis du er Microsoft Defender XDR-kunde med et robust center for sikkerhedshandlinger, men gerne vil have Microsoft til proaktivt at jage efter trusler på tværs af slutpunkter, Office 365, cloud-programmer og identitet ved hjælp af Microsoft Defender-data, kan du få mere at vide om anvendelse, konfiguration og brug af tjenesten. Defender jagteksperter sælges separat fra andre Microsoft Defender XDR-produkter.
(Prøveversion) Automatiseret tilstand er nu tilgængelig som offentlig prøveversion i avanceret jagt på trusler. Analytikere kan nu starte med at forespørge deres database om data for slutpunkter, identiteter, mailsamarbejde og cloudapps uden at kende KQL (Kusto Query Language). Automatiseret tilstand indeholder en læsevenlig, brugervenlig byggeblokstil til oprettelse af forespørgsler via rullemenuer, der indeholder tilgængelige filtre og betingelser. Se Kom i gang med forespørgselsgenerator.
- (Prøveversion) Deltagere i den offentlige prøveversion af Microsoft Defender jagteksperter kan nu se frem til at modtage månedlige rapporter for at hjælpe dem med at forstå de trusler, som jagttjenesten fremviser i deres miljø, sammen med de beskeder, der genereres af deres Microsoft Defender XDR-produkter. Du kan finde flere oplysninger i Forstå Defender jagteksperter-rapporten i Microsoft Defender XDR.
(Prøveversion) Tabellerne DeviceTvmInfoGathering og DeviceTvmInfoGatheringKB er nu tilgængelige i skemaet for avanceret jagt på trusler. Brug disse tabeller til at jage gennem vurderingshændelser i Defender-håndtering af sikkerhedsrisici, herunder status for forskellige konfigurationer og enheders tilstande for angrebsoverfladen.
Det nyligt introducerede kort til automatisk undersøgelse og svar på Microsoft Defender XDR-portalen indeholder en oversigt over afventende afhjælpningshandlinger.
Sikkerhedsteamet kan få vist alle handlinger, der afventer godkendelse, og den angivne tid til at godkende disse handlinger på selve kortet. Sikkerhedsteamet kan hurtigt navigere til Handlingscenter og udføre relevante afhjælpningshandlinger. Kortet til automatisk undersøgelse og svar har også et link til siden Fuld automatisering. Dette gør det muligt for sikkerhedsteamet effektivt at administrere beskeder og fuldføre afhjælpningshandlinger rettidigt.
- (Prøveversion) I overensstemmelse med den nyligt annoncerede udvidelse til en ny tjenestekategori kaldet Microsofts sikkerhedseksperter introducerer vi tilgængeligheden af Microsoft Defender jagteksperter (Defender jagteksperter) som offentlig prøveversion. Defender jagteksperter er til kunder, der har et robust center for sikkerhedshandlinger, men som gerne vil have Microsoft til proaktivt at jage efter trusler på tværs af Microsoft Defender-data, herunder slutpunkter, Office 365, cloudprogrammer og identitet.
(Prøveversion) Handlinger kan nu udføres på mails direkte fra resultaterne af jagtforespørgslen. Mails kan flyttes til andre mapper eller slettes permanent.
(Prøveversion) Den nye
UrlClickEvents
-tabel i avanceret jagt på trusler kan bruges til at jage efter trusler som phishing-kampagner og mistænkelige links baseret på oplysninger, der kommer fra klik på sikre links i mails, Microsoft Teams og Office 365-apps.
- (Prøveversion) Hændelseskøen er blevet forbedret med flere funktioner, der er designet til at hjælpe dine undersøgelser. Forbedringer omfatter funktioner som f.eks. mulighed for at søge efter hændelser efter id eller navn, angive et brugerdefineret tidsinterval og andre.
- (GA) Tabellen
DeviceTvmSoftwareEvidenceBeta
blev tilføjet på kort sigt i avanceret jagt på trusler for at give dig mulighed for at se beviser for, hvor en bestemt software blev registreret på en enhed.
(Prøveversion) Tilføjelsesfunktionen til programstyring til Defender for Cloud Apps er nu tilgængelig i Microsoft Defender XDR. Appstyring indeholder en funktionalitet til administration af sikkerhed og politik, der er udviklet til OAuth-aktiverede apps, der har adgang til Microsoft 365-data via Microsoft Graph-API'er. Appstyring giver fuld synlighed, afhjælpning og styring af, hvordan disse apps og deres brugere får adgang til, bruger og deler dine følsomme data, der er gemt i Microsoft 365, via handlingsbaseret indsigt og automatiserede politikbeskeder og handlinger. Få mere at vide om programstyring.
(Prøveversion) Siden avanceret jagt på trusler understøtter nu flere faner, smart rulning, strømlinede skemafaner, indstillinger for hurtig redigering af forespørgsler, en indikator for ressourceforbrug for forespørgsler og andre forbedringer for at gøre forespørgslerne mere jævne og nemmere at finjustere.
(eksempelvisning) Du kan nu bruge funktionen link til hændelse til at inkludere hændelser eller poster fra de avancerede resultater af jagtforespørgslen direkte i en ny eller eksisterende hændelse, som du undersøger.
- (GA) I avanceret jagt på trusler blev der tilføjet flere kolonner i tabellen CloudAppEvents. Du kan nu inkludere
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
ogUserAgentTags
i dine forespørgsler.
(GA) Microsoft Defender for Office 365-hændelsesdata er tilgængelige i API'en til Microsoft Defender XDR-hændelsesstreaming. Du kan se tilgængeligheden og status for hændelsestyper i Understøttede Microsoft Defender XDR-hændelsestyper i streaming-API'en.
(GA) Microsoft Defender for Office 365-data, der er tilgængelige inden for avanceret jagt på trusler, er nu generelt tilgængelige.
(GA) Tildel hændelser og beskeder til brugerkonti
Du kan tildele en hændelse og alle de beskeder, der er knyttet til den, til en brugerkonto fra Tildel til: i ruden Administrer hændelse for en hændelse eller ruden Administrer besked for en besked.
(Prøveversion) Microsoft Defender for Office 365-data, der er tilgængelige i avanceret jagt på trusler
Nye kolonner i mailtabeller kan give mere indsigt i mailbaserede trusler for at få mere grundige undersøgelser ved hjælp af avanceret jagt på trusler. Du kan nu inkludere kolonnen
AuthenticationDetails
i EmailEvents,FileSize
i EmailAttachmentInfo ogThreatTypes
ogDetectionMethods
i tabellerne EmailPostDeliveryEvents.(Prøveversion) Hændelsesgraf
En ny Graf-fane under fanen Oversigt i en hændelse viser det fulde omfang af angrebet, hvordan angrebet spredte sig gennem dit netværk over tid, hvor det startede, og hvor langt angriberen gik.
Katalog over professionelle tjenester
Gør platformens registrering, undersøgelse og oplysninger om trusler bedre med understøttede partnerforbindelser.
(Prøveversion) Få vist rapporter pr. trusselsmærker
Trusselsmærker hjælper dig med at fokusere på specifikke trusselskategorier og gennemse de mest relevante rapporter.
(Prøveversion) Streaming-API
Microsoft Defender XDR understøtter streaming af alle de hændelser, der er tilgængelige via avanceret jagt på trusler, til en Event Hubs- og/eller Azure Storage-konto.
(Prøveversion) Tag handling i avanceret jagt på trusler
Hurtigt indeholde trusler eller løse kompromitterede aktiver, som du finder i avanceret jagt på trusler.
(Prøveversion) Skemareference i portalen
Få oplysninger om skematabeller til avanceret jagt på trusler direkte i Security Center. Ud over beskrivelser af tabeller og kolonner indeholder denne reference understøttede hændelsestyper (
ActionType
værdier) og eksempelforespørgsler.(Prøveversion) Funktionen DeviceFromIP()
Få oplysninger om, hvilke enheder der er blevet tildelt en bestemt IP-adresse eller -adresser inden for et bestemt tidsinterval.
Ny underretningsside på Microsoft Defender-portalen
Indeholder forbedrede oplysninger om konteksten i et angreb. Du kan se, hvilke andre udløste beskeder der forårsagede den aktuelle besked, og alle de berørte enheder og aktiviteter, der er involveret i angrebet, herunder filer, brugere og postkasser. Se Undersøg beskeder for at få flere oplysninger.
Tendensgraf for hændelser og beskeder på Microsoft Defender XDR-portalen
Find ud af, om der er flere beskeder for en enkelt hændelse, eller om din organisation er under angreb med flere forskellige hændelser. Se Prioriter hændelser for at få flere oplysninger.
Microsoft Defender XDR
Den forbedrede Microsoft Defender XDR-portal er nu tilgængelig. Denne nye oplevelse samler Defender for Endpoint, Defender for Office 365, Defender for Identity og meget mere i en enkelt portal. Dette er det nye hjem, hvor du kan administrere dine sikkerhedskontrolelementer. Se nyhederne.
Rapport over Microsoft Defender XDR-trusselsanalyse
Trusselsanalyser hjælper dig med at reagere på og minimere virkningen af aktive angreb. Du kan også få mere at vide om angrebsforsøg, der er blokeret af Microsoft Defender XDR-løsninger, og træffe forebyggende foranstaltninger, der afhjælper risikoen for yderligere eksponering og øger robusthed. Som en del af den samlede sikkerhedsoplevelse er trusselsanalyse nu tilgængelig for Microsoft Defender for Endpoint og Microsoft Defender til Office E5-licensindehavere.
-
Find oplysninger om hændelser i forskellige cloudapps og -tjenester, der er omfattet af Microsoft Defender for Cloud Apps. Denne tabel indeholder også oplysninger, der tidligere var tilgængelige i tabellen
AppFileEvents
.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.