Neuerungen in Microsoft Defender XDR
Listet die neuen Features und Funktionen in Microsoft Defender XDR auf.
Weitere Informationen zu den Neuerungen bei anderen Microsoft Defender-Sicherheitsprodukten und Microsoft Sentinel finden Sie unter:
- Neuerungen in Microsoft Defender für Office 365
- Neuigkeiten in Microsoft Defender für Endpunkt
- Was ist neu in Microsoft Defender für Identity?
- Neuerungen in Microsoft Defender for Cloud Apps
- Neuerungen in Microsoft Sentinel
Sie können Produktupdates und wichtige Benachrichtigungen auch über das Nachrichtencenter abrufen.
Oktober 2024
- Microsoft Unified RBAC-Rollen werden mit neuen Berechtigungsstufen hinzugefügt, damit Microsoft-Bedrohungsexperten Kunden die Ask Defender-Expertenfunktion verwenden können.
- (Vorschau) Bei der erweiterten Suche können Microsoft Defender-Portalbenutzer jetzt den arg()-Operator für Azure Resource Graph-Abfragen verwenden, um Azure-Ressourcen zu durchsuchen. Sie müssen nicht mehr zu Log Analytics in Microsoft Sentinel wechseln, um diesen Operator zu verwenden, wenn Sie sich bereits in Microsoft Defender befinden.
September 2024
- (GA) Die globale Suche für Entitäten im Microsoft Defender-Portal ist jetzt allgemein verfügbar. Die Ergebnisse aus allen Entitäten werden auf der Ergebnisseite der erweiterten Suche zentralisiert. Weitere Informationen finden Sie unter Globale Suche im Microsoft Defender-Portal.
- (GA) Copilot in Defender enthält jetzt die Funktion zur Identitätszusammenfassung, die sofortige Einblicke in die Risikostufe eines Benutzers, die Anmeldeaktivität und vieles mehr bietet. Weitere Informationen finden Sie unter Zusammenfassen von Identitätsinformationen mit Copilot in Defender.
- Microsoft Defender Threat Intelligence Kunden können jetzt die neuesten Artikel zur Bedrohungserkennung auf der Startseite des Microsoft Defender-Portals anzeigen. Die Intel Explorer-Seite enthält jetzt auch einen Artikeldigest , der sie über die Anzahl neuer Defender TI-Artikel informiert, die seit dem letzten Zugriff auf das Defender-Portal veröffentlicht wurden.
- Microsoft Defender XDR Unified RBAC-Berechtigungen werden hinzugefügt, um Anfragen zu übermitteln und Antworten von Microsoft Defender Experten anzuzeigen. Sie können auch Antworten auf Anfragen anzeigen , die über Ihre aufgelisteten E-Mail-Adressen bei der Übermittlung Ihrer Anfrage an Ask Defender Experts übermittelt wurden, oder im Defender-Portal, indem Sie zu Berichte>Defender Experts-Nachrichten navigieren.
- (GA) Erweiterte Suchkontextbereiche sind jetzt in weiteren Umgebungen verfügbar. Dadurch können Sie auf die erweiterte Suchfunktion zugreifen, ohne Ihren aktuellen Workflow zu verlassen.
- Für Incidents und Warnungen, die von Analyseregeln generiert werden, können Sie Abfrage ausführen auswählen, um die Ergebnisse der zugehörigen Analyseregel zu untersuchen.
- Im Schritt Regellogik festlegen des Assistenten für Analyseregel können Sie Abfrageergebnisse anzeigen auswählen, um die Ergebnisse der Abfrage zu überprüfen, die Sie festlegen möchten.
- Im Abfrageressourcenbericht können Sie jede der Abfragen anzeigen, indem Sie die drei Punkte in der Abfragezeile auswählen und Im Abfrage-Editor öffnen auswählen.
- Für Geräteentitäten, die an Vorfällen oder Warnungen beteiligt sind, ist go hunt auch als eine der Optionen verfügbar, nachdem Sie die drei Punkte im Geräteseitenbereich ausgewählt haben.
August 2024
- (Vorschau) Microsoft Sentinel Daten sind jetzt mit Defender XDR Daten in Microsoft Defender mehrinstanzenfähigen Verwaltung verfügbar. Derzeit wird nur ein Microsoft Sentinel Arbeitsbereich pro Mandant in der Microsoft Unified Security Operations-Plattform unterstützt. Daher zeigt Microsoft Defender mehrinstanzenfähige Verwaltung SIEM-Daten (Security Information and Event Management) aus einem Microsoft Sentinel Arbeitsbereich pro Mandant an. Weitere Informationen finden Sie unter Microsoft Defender mehrinstanzenfähige Verwaltung und Microsoft Sentinel im Microsoft Defender-Portal.
- Um eine reibungslose Navigation im Microsoft Defender-Portal zu gewährleisten, konfigurieren Sie Ihre Netzwerkfirewall, indem Sie die entsprechenden Adressen zu Ihrer Zulassungsliste hinzufügen. Weitere Informationen finden Sie unter Netzwerkfirewallkonfiguration für Microsoft Defender XDR.
Juli 2024
Incidents mit Warnungen, bei denen ein kompromittiertes Gerät, das mit einem OT-Gerät (Operational Technology) kommuniziert, jetzt im Microsoft Defender-Portal über die Microsoft Defender für IoT-Lizenz und die Geräteermittlungsfunktionen von Defender für Endpunkt sichtbar sind. Mithilfe von Defender für Endpunkt-Daten korreliert Defender XDR diese neuen OT-Warnungen automatisch mit Incidents, um eine umfassende Angriffsgeschichte bereitzustellen. Informationen zum Filtern verwandter Vorfälle finden Sie unter Priorisieren von Vorfällen im Microsoft Defender-Portal.
(GA) Das Filtern Microsoft Defender für Cloudwarnungen nach der zugehörigen Warnungsabonnement-ID in den Warteschlangen incidents and Alerts ist jetzt allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Defender für Cloud in Microsoft Defender XDR.
(GA) Die Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal ist allgemein verfügbar. Dieses Release vereint die volle Funktionalität von Microsoft Sentinel, Microsoft Defender XDR und Microsoft Copilot in Microsoft Defender. Weitere Informationen finden Sie in den folgenden Ressourcen:
Blogbeitrag: Allgemeine Verfügbarkeit der Microsoft Unified Security Operations-Plattform
(Vorschau) Sie können jetzt Spalten in den Warteschlangen Incidents und Alerts im Microsoft Defender-Portal anpassen. Sie können Spalten hinzufügen, entfernen und neu anordnen, um die benötigten Informationen anzuzeigen. Weitere Informationen finden Sie unter Anpassen von Spalten in der Incident- und Warnungswarteschlange.
(Vorschau) Kritische Ressourcen sind jetzt Teil der Tags in den Incident- und Warnungswarteschlangen. Wenn ein kritisches Medienobjekt an einem Incident oder einer Warnung beteiligt ist, wird das Kritische Medienobjekttag in den Warteschlangen angezeigt. Weitere Informationen finden Sie unter Incidenttags und warnungswarteschlange.
(Vorschau) Incidents werden jetzt gemäß den neuesten automatischen oder manuellen Updates für einen Incident angeordnet. Erfahren Sie mehr über die Spalte zum Zeitpunkt der letzten Aktualisierung in der Incidentwarteschlange.
(GA) Die Ressourcen des Lernhubs wurden vom Microsoft Defender-Portal in learn.microsoft.com verschoben. Greifen Sie auf Microsoft Defender XDR Ninja-Schulungen, Lernpfade, Trainingsmodule und vieles mehr zu. Durchsuchen Sie die Liste der Lernpfade, und filtern Sie nach Produkt, Rolle, Ebene und Thema.
(GA) Die UrlClickEvents-Tabelle in der erweiterten Suche ist jetzt allgemein verfügbar. Verwenden Sie diese Tabelle, um Informationen zu Klicks auf sichere Links aus E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps in unterstützten Desktop-, Mobilen- und Web-Apps abzurufen.
(GA) Sie können E-Mail-Nachrichten aus der Quarantäne jetzt direkt über Aktionen in der erweiterten Suche und in benutzerdefinierte Erkennungen in den Posteingang des Benutzers freigeben oder verschieben. Dadurch können Sicherheitsoperatoren falsch positive Ergebnisse effizienter und ohne Kontextverlust verwalten.
Juni 2024
(Vorschau) Die Inhaltsverteilung über Mandantengruppen in der mehrinstanzenfähigen Verwaltung ist jetzt verfügbar. Die Inhaltsverteilung unterstützt Sie bei der mandantenübergreifenden Verwaltung von Inhalten im großen Stil in der mehrinstanzenfähigen Verwaltung in Microsoft Defender XDR. Bei der Inhaltsverteilung können Sie Mandantengruppen erstellen, um vorhandene Inhalte wie benutzerdefinierte Erkennungsregeln aus dem Quellmandanten auf die Zielmandanten zu kopieren, die Sie während der Erstellung einer Mandantengruppe zuweisen. Der Inhalt wird dann auf den Geräten oder Gerätegruppen des Zielmandanten ausgeführt, die Sie im Mandantengruppenbereich festgelegt haben.
(Vorschau) Sie können jetzt Ihre Microsoft Defender nach Cloudwarnungen nach der zugehörigen Warnungsabonnement-ID in den Warteschlangen Incidents und Alerts filtern. Weitere Informationen finden Sie unter Microsoft Defender für Cloud in Microsoft Defender XDR.
(GA) Sie können ihre Ergebnisse jetzt in der erweiterten Suche filtern, damit Sie Ihre Untersuchung auf bestimmte Daten eingrenzen können, auf die Sie sich konzentrieren möchten.
Mai 2024
(GA) Die Seite Endpunktsicherheitsrichtlinien ist jetzt in der mehrinstanzenfähigen Verwaltung in Microsoft Defender XDR verfügbar. Erstellen, bearbeiten und löschen Sie Sicherheitsrichtlinien für die Geräte Ihrer Mandanten auf der Seite Endpunktsicherheitsrichtlinien . Weitere Informationen finden Sie unter Endpunktsicherheitsrichtlinien in der mehrinstanzenfähigen Verwaltung.
Erstellen Sie Warnungsoptimierungsregeln mithilfe von Warnungsschweregrad und Warnungstitelwerten als Bedingungen. Die Warnungsoptimierung kann Ihnen dabei helfen, die Warnungswarteschlange zu optimieren und Selektierungszeit zu sparen, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, jedes Mal, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und Die Regelbedingungen erfüllt sind. Weitere Informationen finden Sie unter Optimieren einer Warnung.
(Vorschau) Aktivieren Sie die Vorschauoptionen in den Standard Microsoft 365 Defender-Einstellungen zusammen mit anderen Microsoft 365 Defender-Vorschaufeatures. Kunden, die noch keine Vorschaufeatures verwenden, sehen weiterhin die Legacyeinstellungen unter Einstellungen > Endpunkte Erweiterte Features > Vorschaufeatures>. Weitere Informationen finden Sie unter Microsoft 365 Defender Preview-Features.
(Vorschau) Die Seite SOC-Optimierungen im Microsoft Defender-Portal ist jetzt mit der Unified Security Operations-Plattform verfügbar. Integrieren Sie Microsoft Defender XDR und Microsoft Sentinel und verwenden Sie SOC-Optimierungen, um sowohl Prozesse als auch Ergebnisse zu optimieren, ohne dass Ihre SOC-Teams Zeit mit manuellen Analysen und Recherchen verbringen müssen. Weitere Informationen finden Sie unter:
(Vorschau) Die Suche im Microsoft Defender-Portal bietet jetzt die Möglichkeit, in Microsoft Sentinel nach Geräten und Benutzern zu suchen. Verwenden Sie die Suchleiste, um in Microsoft Defender XDR und Microsoft Sentinel nach Vorfällen, Warnungen und anderen Daten zu suchen. Weitere Informationen finden Sie unter Suchen in Microsoft Defender.
(Vorschau) Die CloudAuditEvents-Tabelle ist jetzt in der erweiterten Suche verfügbar. Auf diese Weise können Sie Cloudüberwachungsereignisse in Microsoft Defender für Cloud durchsuchen und benutzerdefinierte Erkennungen erstellen, um verdächtige Aktivitäten der Steuerungsebene von Azure Resource Manager und Kubernetes (KubeAudit) zu erkennen.
(GA) Automatisches vorläufiges Löschen der Kopie des Absenders, wenn vorläufiges Löschen als Aktion für E-Mail-Nachrichten ausgewählt ist, ist jetzt im Assistenten Aktionen ausführen in der erweiterten Suche verfügbar. Dieses neue Feature optimiert den Prozess der Verwaltung von Gesendeten Elementen, insbesondere Administratoren, die die Aktionen Vorläufiges Löschen und Verschieben in den Posteingang verwenden. Weitere Informationen finden Sie unter Ergreifen von Aktionen für E-Mails .
(Vorschau) Sie können jetzt Microsoft Sentinel Daten mithilfe der API für erweiterte Suchabfragen abfragen. Sie können den
timespan
-Parameter verwenden, um Defender XDR und Microsoft Sentinel Daten abzufragen, die eine längere Datenaufbewahrung als die Defender XDR Standardeinstellung von 30 Tagen aufweisen.(Vorschau) Im Unified Microsoft Defender-Portal können Sie jetzt benutzerdefinierte Erkennungen beim Abfragen von Daten erstellen, die sich über Microsoft Sentinel und Defender XDR Tabellen erstrecken. Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Analyse- und Erkennungsregeln .
Aktualisierte Schritte zur Problembehandlung für Microsoft Defender Experten-App-Berechtigungen in Microsoft Teams.
April 2024
(Vorschau) Unified Security Operations Platform ist jetzt im Microsoft Defender-Portal verfügbar. Dieses Release vereint die volle Funktionalität von Microsoft Sentinel, Microsoft Defender XDR und Microsoft Copilot in Microsoft Defender. Weitere Informationen finden Sie in den folgenden Ressourcen:
(GA) Microsoft Copilot in Microsoft Defender ist jetzt allgemein verfügbar. Copilot in Defender hilft Ihnen, Vorfälle schneller und effektiver zu untersuchen und darauf zu reagieren. Copilot bietet geführte Antworten, Incidentzusammenfassungen und Berichte, unterstützt Sie beim Erstellen von KQL-Abfragen zur Suche nach Bedrohungen, stellt Datei- und Skriptanalysen bereit und ermöglicht es Ihnen, relevante und umsetzbare Threat Intelligence zusammenzufassen.
Copilot in Defender-Kunden können jetzt Vorfallsdaten in PDF exportieren. Über die exportierten Daten können Sie Vorfallsdaten auf einfache Weise freigeben, um Diskussionen mit Ihren Sicherheitsteams und anderen Beteiligten zu ermöglichen. Weitere Informationen finden Sie unter Exportieren von Vorfallsdaten in PDF.
Jetzt sind Benachrichtigungen im Microsoft Defender-Portal verfügbar. Wählen Sie oben rechts im Defender-Portal das Glockensymbol aus, um alle Ihre aktiven Benachrichtigungen anzuzeigen. Weitere Informationen zu Benachrichtigungen finden Sie im Microsoft Defender-Portal.
Die Spalte
AzureResourceId
, die den eindeutigen Bezeichner der einem Gerät zugeordneten Azure-Ressource enthält, ist jetzt in der erweiterten Bedrohungssuche in der Tabelle DeviceInfo verfügbar.
Februar 2024
(GA) Der dunkle Modus ist jetzt im Microsoft Defender-Portal verfügbar. Wählen Sie im Defender-Portal oben rechts auf der Startseite Dunkler Modus aus. Wählen Sie Heller Modus aus, um den Farbmodus wieder in den Standardmodus zu ändern.
(GA) Das Zuweisen des Schweregrads zu Vorfällen, das Zuweisen eines Vorfalls zu einer Gruppe und die Option Bedrohungssuche ausführen im Angriffsverlaufsdiagramm sind jetzt allgemein verfügbar. Anleitungen zum Zuweisen oder Ändern des Schweregrads von Vorfällen sowie zum Zuweisen eines Vorfalls zu einer Gruppe finden Sie auf der Seite Vorfälle verwalten. Erfahren Sie, wie Sie die Option Bedrohungssuche ausführen verwenden können, indem Sie die Angriffsgeschichte erkunden.
(Vorschau) Jetzt sind Benutzerdefinierte Erkennungsregeln in der Sicherheits-API von Microsoft Graph verfügbar. Sie können benutzerdefinierte Erkennungsregeln für die erweiterte Bedrohungssuche speziell für Ihre Organisation erstellen, um eine proaktive Überwachung auf Bedrohungen durchzuführen und Maßnahmen zu ergreifen.
Warnung
Das Plattformrelease 2024-02 führt zu inkonsistenten Ergebnissen für Kunden, die in der Gerätesteuerung Wechselmedienrichtlinien mit ausschließlichem Zugriff auf Datenträger-/Geräteebene verwenden (Masken, die kleiner gleich 7 sind). Die Durchsetzung funktioniert möglicherweise nicht wie erwartet. Um dieses Problem zu beheben, wird ein Rollback auf die vorherige Version der Defender-Plattform empfohlen.
Januar 2024
Defender Boxed ist für einen begrenzten Zeitraum verfügbar. Defender Boxed zeigt die sicherheitsrelevanten Erfolge, Verbesserungen und Reaktionsmaßnahmen Ihrer Organisation im Jahr 2023 auf. Nehmen Sie sich einen Moment Zeit, um einen Überblick über die positiven Verbesserungen des Sicherheitsstatus Ihrer Organisation, die allgemeine Reaktion auf erkannte Bedrohungen (manuell und automatisch), blockierte E-Mails und vieles mehr zu erhalten.
- Defender Boxed wird automatisch geöffnet, wenn Sie im Microsoft Defender-Portal zur Seite Vorfälle wechseln.
- Wenn Sie Defender Boxed schließen und erneut öffnen möchten, wechseln Sie im Microsoft Defender-Portal zu Vorfälle, und wählen Sie dann Ihr Defender Boxed aus.
- Handeln Sie schnell! Defender Boxed ist nur für einen kurzen Zeitraum verfügbar.
In Defender Experts for XDR können Sie jetzt verwaltete Reaktionsbenachrichtigungen und Updates über Teams empfangen. Sie können auch mit Defender-Experten über Vorfälle chatten, bei denen eine verwaltete Reaktion ausgegeben wird.
(GA) Die neue Funktionalität in den verfügbaren Filtern der Vorfallwarteschlange ist jetzt allgemein verfügbar. Priorisieren Sie Vorfälle Ihren bevorzugten Filtern entsprechend, indem Sie Filtersätze erstellen und Filterabfragen speichern. Weitere Informationen zu Filtern der Vorfallwarteschlange finden Sie unter Verfügbare Filter.
(GA) Die Integration von Microsoft Defender for Cloud-Warnungen in Microsoft Defender XDR ist jetzt allgemein verfügbar. Weitere Informationen zur Integration finden Sie unter Microsoft Defender for Cloud in Microsoft Defender XDR.
(GA) Das Aktivitätsprotokoll ist jetzt auf einer Vorfallseite verfügbar. Über das Aktivitätsprotokoll können Sie alle Überwachungen und Kommentare anzeigen sowie Kommentare zum Protokoll eines Vorfalls hinzuzufügen. Weitere Informationen finden Sie unter Aktivitätsprotokoll.
(Vorschau) Der Abfrageverlauf in der erweiterten Bedrohungssuche ist jetzt verfügbar. Sie können Abfragen, die Sie vor kurzem ausgeführt haben, jetzt erneut ausführen oder verfeinern. Im Abfrageverlaufsbereich können bis zu 30 Abfragen in den letzten 28 Tagen geladen werden.
(Vorschau) Jetzt sind zusätzliche Features verfügbar, die Sie in der erweiterten Bedrohungssuche zum Anzeigen weiterer Detailinformationen in Ihren Abfrageergebnissen verwenden können.
Dezember 2023
Die einheitliche rollenbasierte Zugriffssteuerung (RBAC) für Microsoft Defender XDR ist jetzt allgemein verfügbar. Die einheitliche rollenbasierte Zugriffssteuerung ermöglicht Administratoren die Verwaltung von Benutzerberechtigungen für verschiedene Sicherheitslösungen an einer einzigen zentralen Stelle. Dieses Angebot ist auch für GCC Moderate-Kunden verfügbar. Weitere Informationen finden Sie unter Einheitliche rollenbasierte Zugriffssteuerung für Microsoft Defender XDR.
Mit Microsoft Defender Experts for XDR können Sie jetzt Geräte aus Abhilfemaßnahmen ausschließen, die von unseren Experten vorgenommen werden, und stattdessen entsprechende Anleitungen für die betreffenden Entitäten erhalten.
Die Vorfallwarteschlange des Microsoft Defender-Portals enthält aktualisierte Filter, Suchfunktionen und eine neue Funktion, mit der Sie eigene Filtersätze erstellen können. Weitere Informationen finden Sie unter Verfügbare Filter.
Sie können Vorfälle jetzt einer Benutzergruppe oder einem anderen Benutzer zuweisen. Weitere Informationen finden Sie unter Zuweisen eines Vorfalls.
November 2023
Mit Microsoft Defender Experten für Bedrohungssuche können Sie jetzt Beispiele für Defender Experts-Benachrichtigungen generieren, damit Sie den Dienst ausprobieren können, ohne auf eine tatsächliche kritische Aktivität in Ihrer Umgebung warten zu müssen. Weitere Informationen
(Vorschau) Microsoft Defender for Cloud-Warnungen und sind jetzt in Microsoft Defender XDR integriert. Defender für Cloud-Warnungen werden automatisch mit Vorfällen korreliert. Außerdem können Warnungen im Microsoft Defender-Portal und Cloudressourcen in den Warteschlangen für Vorfälle und Warnungen angezeigt werden. Weitere Informationen finden Sie unter Microsoft Defender für Cloud-Integration in Microsoft Defender XDR.
(Vorschau) Microsoft Defender XDR verfügt jetzt über eine integrierte Verschleierungstechnologie, um Ihre Umgebung vor Angriffen mit hoher Auswirkung zu schützen, die menschengesteuertes Lateral Movement verwenden. Weitere Informationen zum Verschleierungsfeature finden Sie unter Konfigurieren des Verschleierungsfeatures.
Mit Microsoft Defender Experts for XDR können Sie jetzt Ihre eigene Bereitschaftsbewertung durchführen, wenn Sie die Umgebung für den Defender Experts for XDR-Dienst vorbereiten.
Oktober 2023
(Vorschau) Sie können jetzt E-Mail-Benachrichtigungen für manuelle oder automatisierte Aktionen in Microsoft Defender XDR erhalten. Erfahren Sie, wie Sie E-Mail-Benachrichtigungen für manuelle oder automatisierte Reaktionsmaßnahmen konfigurieren, die im Portal ausgeführt werden. Weitere Informationen finden Sie unter Abrufen von E-Mail-Benachrichtigungen für Reaktionsmaßnahmen in Microsoft Defender XDR.
(Vorschau) Microsoft Security Copilot in Microsoft Defender XDR befindet sich jetzt in der Vorschauphase. Microsoft Defender XDR-Benutzer können die Vorteile der Security Copilot-Funktionen im Portal nutzen, um Vorfälle zusammenzufassen, Skripte und Codes zu analysieren, Reaktionsanleitungen zur Behebung von Vorfällen zu verwenden, KQL-Abfragen zu generieren und Vorfallberichte zu erstellen. Security Copilot ist nur nach einer Einladung zur Vorschau verfügbar. Weitere Informationen zu Security Copilot finden Sie in den häufig gestellten Fragen zum Microsoft Security Copilot Early Access Program.
September 2023
- (Vorschau) Benutzerdefinierte Erkennungen, die Daten aus Microsoft Defender für Identity und Microsoft Defender für Cloud-Apps verwenden, insbesondere die Tabellen
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
undIdentityQueryEvents
, können jetzt nahezu in Echtzeit Kontinuierlich (NRT) Häufigkeit ausgeführt werden.
August 2023
Leitfäden zur Reaktion auf Ihren ersten Vorfall für neue Benutzer sind jetzt live verfügbar. Machen Sie sich mit Vorfällen vertraut, und erfahren Sie, wie Sie selektieren und priorisieren, Ihren ersten Vorfall mithilfe von Tutorials und Videos analysieren und Angriffe beheben, indem Sie die im Portal verfügbaren Aktionen verstehen.
(Vorschau) Verwaltung von Ressourcenregeln - Dynamische Regeln für Geräte befinden sich jetzt in der öffentlichen Vorschau. Dynamische Regeln können beim Verwalten des Gerätekontexts helfen, indem Tags und Gerätewerte automatisch basierend auf bestimmten Kriterien zugewiesen werden.
(Vorschau) Die DeviceInfo-Tabelle in der erweiterten Suche enthält jetzt auch die Spalten
DeviceManualTags
undDeviceDynamicTags
in der öffentlichen Vorschau, um sowohl manuell als auch dynamisch zugewiesene Tags im Zusammenhang mit dem Gerät anzuzeigen, das Sie untersuchen.Das Feature Angeleitete Reaktion in Microsoft Defender Experts for XDR wurde in Verwaltete Reaktion umbenannt. Wir haben auch einen neuen Abschnitt mit häufig gestellten Fragen zu Vorfallsupdates hinzugefügt.
Juli 2023
(GA) Die Angriffsgeschichte in Vorfällen ist jetzt allgemein verfügbar. Die Angriffsgeschichte stellt den vollständigen Verlauf des Angriffs zur Verfügung und ermöglicht es Teams zur Reaktion auf Vorfälle, die Details anzuzeigen und Abhilfemaßnahmen anzuwenden.
Eine neue URL- und Domänenseite ist jetzt in Microsoft Defender XDR verfügbar. Die aktualisierte URL- und Domänenseite bietet einen zentralen Ort zum Anzeigen aller Informationen zu einer URL oder Domäne, einschließlich ihrer Reputation, der Benutzer, die darauf geklickt haben, den Geräten, die darauf zugegriffen haben, und E-Mails, in denen die URL oder Domäne angezeigt wurde. Weitere Informationen finden Sie unter Untersuchen von URLs in Microsoft Defender XDR.
Juni 2023
- (GA) Microsoft Defender Experts for XDR ist jetzt allgemein verfügbar. Defender Experts for XDR ergänzt Ihr Security Operations Center durch die Kombination von Automatisierung und dem Sicherheitsanalysten-Know-how von Microsoft, um Sie dabei zu unterstützen, Bedrohungen sicher zu erkennen und darauf zu reagieren sowie Ihren Sicherheitsstatus zu verbessern. Microsoft Defender Experts for XDR wird separat von anderen Microsoft Defender XDR-Produkten verkauft. Wenn Sie als Microsoft Defender XDR-Kunde daran interessiert sind, Defender Experts for XDR zu erwerben, finden Sie weitere Informationen unter Übersicht über Microsoft Defender Experts for XDR.
Mai 2023
(GA) Die Warnungsoptimierung ist jetzt allgemein verfügbar. Mit der Warnungsoptimierung können Sie Warnungen optimieren, um die Untersuchungszeit zu verkürzen und sich auf die Auflösung von Warnungen mit hoher Priorität zu konzentrieren. Die Warnungsoptimierung ersetzt das Feature zur Unterdrückung von Warnungen.
(GA) Automatische Angriffsunterbrechungen sind jetzt allgemein verfügbar. Diese Funktion unterbricht automatisch von Menschen betriebene Ransomware (HumOR), Business Email Compromise (BEC) und Angreifer in der Mitte (AiTM).
(Vorschau) Benutzerdefinierte Funktionen sind jetzt in der erweiterten Suche verfügbar. Sie können jetzt ihre eigenen benutzerdefinierten Funktionen erstellen, sodass Sie jede beliebige Abfragelogik wiederverwenden können, wenn Sie in Ihrer Umgebung suchen.
April 2023
(GA) Die Registerkarte "Einheitliche Ressourcen" auf der Seite "Vorfälle" ist jetzt allgemein verfügbar.
Microsoft verwendet eine neue wetterbasierte Namenstaxonomie für Bedrohungsakteure. Dieses neue Benennungsschema bietet mehr Klarheit und ist einfacher zu referenzieren. Erfahren Sie mehr über die neue Taxonomie des Bedrohungsakteurs.
März 2023
- (Vorschau) Microsoft Defender Threat Intelligence (Defender TI) ist jetzt im Microsoft Defender-Portal verfügbar.
Diese Änderung führt ein neues Navigationsmenü im Microsoft Defender-Portal mit dem Namen Threat Intelligence ein. Weitere Informationen
(Vorschau) Vollständige Geräteberichte für die
DeviceInfo
-Tabelle in der erweiterten Bedrohungssuche werden jetzt stündlich (anstelle des vorherigen täglichen Rhythmus) gesendet. Darüber hinaus werden auch vollständige Geräteberichte gesendet, wenn eine Änderung an einem vorherigen Bericht vorliegt. Außerdem wurden derDeviceInfo
-Tabelle neue Spalten sowie mehrere Verbesserungen an vorhandenen Daten in den TabellenDeviceInfo
und DeviceNetworkInfo hinzugefügt.(Vorschau) Die benutzerdefinierte Erkennung nahezu in Echtzeit ist jetzt für die öffentliche Vorschau in benutzerdefinierten Erkennungen für die erweiterte Bedrohungssuche verfügbar. Es gibt eine neue fortlaufende (NRT) -Häufigkeit, die Daten von Ereignissen überprüft, während sie nahezu in Echtzeit gesammelt und verarbeitet werden.
(Vorschau) Die Verhaltensweisen in Microsoft Defender for Cloud Apps sind jetzt für die öffentliche Vorschau verfügbar. Vorschaukunden können jetzt auch mithilfe der Tabellen BehaviorEntities und BehaviorInfo nach Verhaltensweisen in der erweiterten Suche suchen.
Februar 2023
(GA) Der Abfrageressourcenbericht in der erweiterten Suche ist jetzt allgemein verfügbar.
(Vorschau) Die Funktion für automatische Angriffsunterbrechungen unterbricht jetzt die Kompromittierung von geschäftlichen E-Mails (Business Email Compromise, BEC).
Januar 2023
Die neue Version Microsoft Defender Experten für Bedrohungssuche Berichts ist jetzt verfügbar. Die neue Benutzeroberfläche des Berichts ermöglicht Kunden nun mehr kontextbezogene Details zu den verdächtigen Aktivitäten, die Defender-Experten in ihren Umgebungen beobachtet haben. Darüber hinaus wird gezeigt, welche verdächtigen Aktivitäten von Monat zu Monat kontinuierlich im Trend waren. Weitere Informationen finden Sie unter Grundlegendes zum Defender Experten für Bedrohungssuche-Bericht in Microsoft Defender XDR.
(GA) Live Response ist jetzt allgemein für macOS und Linux verfügbar.
(GA) Die Identitätszeitachse ist jetzt als Teil der neuen Identitätsseite in Microsoft Defender XDR allgemein verfügbar. Die aktualisierte Seite „Benutzer“ weist ein neues Aussehen, eine erweiterte Ansicht zugehöriger Ressourcen und eine neue dedizierte Zeitachsenregisterkarte auf. Die Zeitachse stellt Aktivitäten und Warnungen der letzten 30 Tage dar. Sie vereinheitlicht die Identitätseinträge eines Benutzers in allen verfügbaren Workloads: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint. Anhand der Zeitachse können Sie sich ganz einfach auf die Aktivitäten (oder Aktivitäten, die für einen Benutzer ausgeführt werden) in bestimmten Zeiträumen konzentrieren.
Dezember 2022
- (Vorschau) Das neue Microsoft Defender XDR- Modell der rollenbasierten Zugriffssteuerung (RBAC) ist jetzt als Vorschauversion verfügbar. Das neue RBAC-Modell ermöglicht es Sicherheitsadministratoren, Berechtigungen für mehrere Sicherheitslösungen innerhalb eines einzelnen Systems mit einer höheren Effizienz zentral zu verwalten, die derzeit Microsoft Defender for Endpoint, Microsoft Defender for Office 365 und Microsoft Defender for Identity unterstützen. Das neue Modell ist vollständig kompatibel mit den vorhandenen individuellen RBAC-Modellen, die derzeit in Microsoft Defender XDR unterstützt werden. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung in Microsoft Defender XDR.
November 2022
(Vorschau) Microsoft Defender Experts for XDR (Defender Experts for XDR) ist jetzt als Vorschau verfügbar. Defender Experts for XDR ist ein verwalteter Erkennungs- und Reaktionsdienst, der Ihren Security Operations Centern (SOCs) hilft, sich auf wichtige Vorfälle zu konzentrieren und darauf präzise zu reagieren. Er bietet erweiterte Erkennungs- und Reaktionsmöglichkeiten für Kunden, die Microsoft Defender XDR-Workloads verwenden: Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps und Azure Active Directory (Azure AD). Weitere Informationen finden Sie unter Erweiterte Microsoft Defender Experts for XDR-Vorschau.
(Vorschau) Der Abfrageressourcenbericht ist jetzt in der erweiterten Suche verfügbar. Der Bericht zeigt den Verbrauch ihrer Organisation an CPU-Ressourcen für die Suche basierend auf Abfragen, die in den letzten 30 Tagen mithilfe einer der Hunting-Schnittstellen ausgeführt wurden. Informationen zum Ermitteln ineffizienter Abfragen finden Sie unter Anzeigen des Berichts zu Abfrageressourcen.
Oktober 2022
- (Vorschau) Die neue Funktion für automatische Angriffsunterbrechungen befindet sich jetzt in der Vorschauphase. Diese Funktion kombiniert Erkenntnisse aus der Sicherheitsforschung und treibt KI-Modelle voran, sodass angriffe automatisch eingedämmt werden. Automatische Angriffsunterbrechungen bieten auch mehr Zeit für Security Operations Center (SOCs), um einen Angriff vollständig zu beheben, und begrenzt die Auswirkungen eines Angriffs auf Organisationen. Diese Vorschau stört Ransomware-Angriffe automatisch.
August 2022
(GA) Microsoft Defender Experten für Bedrohungssuche ist jetzt allgemein verfügbar. Erfahren Sie mehr über das Anwenden, Einrichten und Verwenden des Diensts, wenn Sie ein Microsoft Defender XDR-Kunde mit einem stabilen Security Operations Center sind, aber Microsoft Sie dabei unterstützen soll, mithilfe von Microsoft Defender Daten proaktiv nach Bedrohungen in Endpunkten, Office 365, Cloudanwendungen und Identitäten zu suchen. Defender Experten für Bedrohungssuche wird separat von anderen Microsoft Defender XDR-Produkten verkauft.
(Vorschau) Der geführte Modus ist jetzt für die öffentliche Vorschau in der erweiterten Bedrohungssuche verfügbar. Analysten können ihre Datenbank jetzt ohne Kenntnisse der Kusto-Abfragesprache (KQL) nach Daten für Endpunkte, Identitäten, E-Mail und Zusammenarbeit sowie Cloud-Apps abfragen. Der geführte Modus ermöglicht das benutzerfreundliche, leicht zu bedienende Erstellen von Abfragen über Dropdownmenüs mit verfügbaren Filtern und Bedingungen mit Bausteinen. Weitere Informationen finden Sie unter Erste Schritte mit dem Abfrage-Generator.
Juli 2022
- (Vorschau) Teilnehmer der öffentlichen Vorschau von Microsoft Defender Experten für Bedrohungssuche können sich jetzt auf monatliche Berichte freuen, die ihnen helfen, die Bedrohungen zu verstehen, die der Dienst für die Bedrohungssuche in ihrer Umgebung aufgedeckt hat, zusammen mit den Warnungen, die von ihren Microsoft Defender XDR-Produkten generiert werden. Weitere Informationen finden Sie unter Grundlegendes zum Defender Experten für Bedrohungssuche-Bericht in Microsoft Defender XDR.
Juni 2022
(Vorschau) Die Tabellen DeviceTvmInfoGathering und DeviceTvmInfoGatheringKB sind jetzt im Schema der erweiterten Bedrohungssuche verfügbar. Verwenden Sie diese Tabellen, um Bewertungsereignisse in Defender Vulnerability Management auf Bedrohungen zu durchsuchen, einschließlich des Status verschiedener Konfigurationen und der Zustände der Angriffsfläche von Geräten.
Der neu eingeführte Karte für automatisierte Untersuchungen und Reaktionen im Microsoft Defender-Portal bietet eine Übersicht über ausstehende Abhilfemaßnahmen.
Das Sicherheitsteam kann alle Aktionen anzeigen, für die eine Genehmigung aussteht, sowie die festgelegte Zeit, um diese Aktionen in der Karte selbst zu genehmigen. Das Sicherheitsteam kann schnell zum Info-Center navigieren und geeignete Abhilfemaßnahmen ergreifen. Die Karte für automatisierte Untersuchungen und Reaktionen enthält auch einen Link zur Seite „Vollständige Automatisierung“. Dies ermöglicht es dem Sicherheitsteam, Warnungen effektiv zu verwalten und rechtzeitig Abhilfemaßnahmen durchzuführen.
Mai 2022
- (Vorschau) Im Einklang mit der kürzlich angekündigten Erweiterung in eine neue Dienstkategorie namens Microsoft-Sicherheitsexperten führen wir die Verfügbarkeit von Microsoft Defender Experten für Bedrohungssuche (Defender Experts for Hunting) für die öffentliche Vorschau ein. Defender Experts for Hunting richtet sich an Kunden, die über ein stabiles Security Operations Center verfügen, aber Microsoft dabei helfen soll, proaktiv nach Bedrohungen in Microsoft Defender Daten zu suchen, einschließlich Endpunkten, Office 365, Cloudanwendungen und Identität.
April 2022
(Vorschau) Aktionen können jetzt für E-Mail-Nachrichten direkt über die Ergebnisse der Suchabfrage ausgeführt werden. E-Mails können in andere Ordner verschoben oder dauerhaft gelöscht werden.
(Vorschau) Die neue
UrlClickEvents
Tabelle in der erweiterten Suche kann verwendet werden, um nach Bedrohungen wie Phishingkampagnen und verdächtigen Links zu suchen, basierend auf Informationen, die von Klicks auf sichere Links in E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps stammen.
März 2022
- (Vorschau) Die Vorfallswarteschlange wurde um mehrere Features erweitert, die Ihre Untersuchungen unterstützen. Zu den Verbesserungen gehören Funktionen wie die Möglichkeit, nach Vorfällen nach ID oder Namen zu suchen, einen benutzerdefinierten Zeitbereich anzugeben und andere.
Dezember 2021
- (GA) Die
DeviceTvmSoftwareEvidenceBeta
-Tabelle wurde kurzfristig in der erweiterten Bedrohungssuche hinzugefügt, damit Sie Beweise dafür anzeigen können, wo eine bestimmte Software auf einem Gerät erkannt wurde.
November 2021
(Vorschau) Das Anwendungsgovernance-Add-On für Defender for Cloud Apps ist jetzt in Microsoft Defender XDR verfügbar. App-Governance bietet eine Sicherheits- und Richtlinienverwaltungsfunktion, die für OAuth-fähige Apps entwickelt wurde, die über Microsoft Graph-APIs auf Microsoft 365-Daten zugreifen. App-Governance bietet vollständige Transparenz, Abhilfemaßnahmen und Governance in Bezug darauf, wie diese Apps und ihre Benutzer auf Ihre in Microsoft 365 gespeicherten vertraulichen Daten zugreifen, sie nutzen und teilen, und zwar durch ergebnisorientierte Einblicke sowie automatisierte Richtlinienwarnungen und -aktionen. Erfahren Sie mehr über Anwendungsgovernance.
(Vorschau) Die Seite für die erweiterte Bedrohungssuche bietet jetzt Unterstützung für mehrere Registerkarten, intelligentes Scrollen, optimierte Schemaregisterkarten, schnelle Bearbeitungsoptionen für Abfragen, einen Indikator für die Abfrageressourcennutzung und andere Verbesserungen, um Abfragen reibungsloser und einfacher zu optimieren.
(Vorschau) Sie können jetzt das Feature link to incident verwenden, um Ereignisse oder Datensätze aus den Ergebnissen der erweiterten Huntingabfrage direkt in einen neuen oder vorhandenen Incident einzuschließen, den Sie untersuchen.
Oktober 2021
- (GA) In der erweiterten Bedrohungssuche wurden in der CloudAppEvents-Tabelle weitere Spalten hinzugefügt. Sie können jetzt
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
undUserAgentTags
in Ihre Abfragen einschließen.
September 2021
(GA) Microsoft Defender for Office 365-Ereignisdaten sind in der Ereignisstreaming-API für Microsoft Defender XDR verfügbar. Informationen zu Verfügbarkeit und Status von Ereignistypen finden Sie unter Unterstützte Microsoft Defender XDR-Ereignistypen in der Streaming-API.
(GA) Microsoft Defender for Office 365-Daten, die in der erweiterten Bedrohungssuche verfügbar sind, sind jetzt allgemein verfügbar.
(GA) Zuweisen von Vorfällen und Warnungen zu Benutzerkonten
Sie können einen Vorfall und alle damit verbundenen Warnungen einem Benutzerkonto zuweisen zu: im Bereich Vorfall verwalten eines Vorfalls oder Im Bereich Warnung verwalten einer Warnung.
August 2021
(Vorschau) Microsoft Defender for Office 365 daten, die in der erweiterten Suche verfügbar sind
Neue Spalten in E-Mail-Tabellen können einen besseren Einblick in E-Mail-basierte Bedrohungen bieten, um eingehendere Untersuchungen mithilfe der erweiterten Suche zu ermöglichen. Sie können jetzt die Spalte
AuthenticationDetails
in EmailEvents,FileSize
in EmailAttachmentInfoundThreatTypes
undDetectionMethods
in EmailPostDeliveryEvents Tabellen einschließen.(Vorschau) Vorfallsdiagramm
Eine neue Registerkarte Graph auf der Registerkarte Zusammenfassung eines Vorfalls zeigt den gesamten Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit in Ihrem Netzwerk ausbreitet, wo er begonnen hat und wie weit der Angreifer gegangen ist.
Juli 2021
Katalog für professionelle Dienstleistungen
Verbessern Sie die Erkennungs-, Untersuchungs- und Threat Intelligence-Funktionen der Plattform mit unterstützten Partnerverbindungen.
Juni 2021
(Vorschau) [Berichte für einzelne Bedrohungstags anzeigen] (threat-analytics.md#view- berichte nach Kategorie)
Bedrohungstags helfen Ihnen, sich auf bestimmte Bedrohungskategorien zu konzentrieren und die relevantesten Berichte zu überprüfen.
(Vorschau) Streaming-API
Microsoft Defender XDR unterstützt das Streamen aller über die erweiterte Bedrohungssuche verfügbaren Ereignisse an ein Event Hubs- und/oder Azure-Speicherkonto.
(Vorschau) Ergreifen von Maßnahmen in der erweiterten Bedrohungssuche
Ergreifen Sie Maßnahmen in der erweiterten Bedrohungssuche – dämmen Sie Bedrohungen schnell ein, oder befassen Sie sich mit kompromittierten Objekten, die Sie in der erweiterten Bedrohungssuche finden.
(Vorschau) In-Portal-Schema-Referenz
Erhalten Sie Informationen zu Tabellen der erweiterten Bedrohungssuche direkt im Sicherheitscenter. Zusätzlich zu Tabellen- und Spaltenbeschreibungen bietet diese Referenz Informationen zu unterstützten Ereignistypen (
ActionType
-Werte) und Beispielabfragen.(Vorschau) DeviceFromIP()-Funktion
Diese Funktion ermöglicht das Abrufen von Informationen darüber, welchen Geräten eine bestimmte IP-Adresse oder IP-Adressen in einem bestimmten Zeitraum zugewiesen wurden.
Mai 2021
Seite „Neue Warnung“ im Microsoft Defender-Portal
Diese Seite stellt erweiterte Informationen für den Kontext in einem Angriff bereit. Sie können sehen, welche andere ausgelöste Warnung die aktuelle Warnung verursacht hat, und alle betroffenen Entitäten und Aktivitäten, die an dem Angriff beteiligt sind, einschließlich Dateien, Benutzer und Postfächern. Weitere Informationen finden Sie unter Untersuchen von Warnungen.
Trenddiagramm für Vorfälle und Warnungen im Microsoft Defender-Portal
Sie können damit ermitteln, ob mehrere Warnungen für einen einzelnen Vorfall vorhanden sind oder ob Ihre Organisation mit mehreren verschiedenen Vorfällen angegriffen wird. Weitere Informationen finden Sie unter Priorisieren von Vorfällen.
April 2021
Microsoft Defender XDR
Das verbesserte Microsoft Defender XDR-Portal ist jetzt verfügbar. Diese neue Oberfläche kombiniert Defender for Endpunkt, Defender for Office 365, Defender for Identity und mehr in einem einzelnen Portal. Dies ist die neue Startseite zum Verwalten Ihrer Sicherheitskontrollen. Erfahren Sie, was es Neues gibt.
Microsoft Defender XDR-Bedrohungsanalysebericht
Bedrohungsanalysen helfen Ihnen, auf aktive Angriffe zu reagieren und die Auswirkungen zu minimieren. Sie können sich auch über Angriffsversuche informieren, die von Microsoft Defender XDR-Lösungen blockiert werden, sowie präventive Maßnahmen ergreifen, die das Risiko einer weiteren Gefährdung verringern und die Resilienz erhöhen. Im Rahmen der einheitlichen Sicherheitsumgebung ist die Bedrohungsanalyse jetzt für Microsoft Defender for Endpoint- und Microsoft Defender for Office E5-Lizenzinhaber verfügbar.
März 2021
-
Hier finden Sie Informationen zu Ereignissen in verschiedenen Cloud-Apps und Diensten, die von Microsoft Defender for Cloud Apps abgedeckt werden. Diese Tabelle enthält auch Informationen, die zuvor in der
AppFileEvents
-Tabelle verfügbar waren.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.