Neuerungen in Microsoft Defender XDR

Listet die neuen Features und Funktionen in Microsoft Defender XDR auf.

Weitere Informationen zu den Neuerungen bei anderen Microsoft Defender-Sicherheitsprodukten und Microsoft Sentinel finden Sie unter:

• Neuerungen bei einheitlichen Sicherheitsvorgängen im Defender-Portal
• Neuerungen in Microsoft Defender für Office 365
• Neuigkeiten in Microsoft Defender für Endpunkt
• Was ist neu in Microsoft Defender für Identity?
• Neuerungen in Microsoft Defender for Cloud Apps
• Neuerungen in Microsoft Defender für Cloud
• Neuerungen in Microsoft Sentinel
• Neuigkeiten in Microsoft Purview

Sie können Produktupdates und wichtige Benachrichtigungen auch über das Nachrichtencenter abrufen.

Juli 2025

• (Vorschau) Die Tabelle GraphApiAuditEvents in der erweiterten Suche ist jetzt als Vorschau verfügbar. Diese Tabelle enthält Informationen zu Microsoft Entra ID API-Anforderungen, die an Microsoft Graph-API für Ressourcen im Mandanten gesendet werden.

• (Vorschau) Die DisruptionAndResponseEvents Tabelle, die jetzt in der erweiterten Suche verfügbar ist, enthält Informationen zu automatischen Angriffsunterbrechungsereignissen in Microsoft Defender XDR. Diese Ereignisse umfassen sowohl Block- als auch Richtlinienanwendungsereignisse im Zusammenhang mit richtlinien für ausgelöste Angriffsunterbrechungen sowie automatische Aktionen, die für verwandte Workloads ausgeführt wurden. Erhöhen Sie Ihre Sichtbarkeit und Ihr Bewusstsein für aktive, komplexe Angriffe, die durch Angriffsunterbrechungen unterbrochen werden, um den Umfang, den Kontext, die Auswirkungen und die ausgeführten Aktionen der Angriffe zu verstehen.

Juni 2025

• (Vorschau) Microsoft Copilot stellt jetzt vorgeschlagene Eingabeaufforderungen als Teil von Incidentzusammenfassungen im Microsoft Defender-Portal bereit. Vorgeschlagene Eingabeaufforderungen helfen Ihnen, mehr Einblicke in die spezifischen Ressourcen zu erhalten, die an einem Incident beteiligt sind. Weitere Informationen finden Sie unter Zusammenfassen von Incidents mit Microsoft Copilot in Microsoft Defender.
• (GA) Bei der erweiterten Suche können Microsoft Defender-Portalbenutzer jetzt den adx() Operator verwenden, um tabellen abzufragen, die in Azure Data Explorer gespeichert sind. Sie müssen nicht mehr zur Protokollanalyse in Microsoft Sentinel wechseln, um diesen Operator zu verwenden, wenn Sie sich bereits in Microsoft Defender befinden.

Mai 2025

• (Vorschau) Bei der erweiterten Suche können Sie jetzt alle Benutzerdefinierten Regeln – sowohl benutzerdefinierte Erkennungsregeln als auch Analyseregeln – auf der Seite Erkennungsregeln anzeigen. Dieses Feature bietet auch die folgenden Verbesserungen:

  • Sie können jetzt nach jeder Spalte filtern (zusätzlich zu Häufigkeit und Organisationsbereich).
  • Für Organisationen mit mehreren Arbeitsbereichen, die mehrere Arbeitsbereiche in Microsoft Defender integriert haben, können Sie jetzt die Spalte Arbeitsbereichs-ID anzeigen und nach Arbeitsbereich filtern.
  • Sie können jetzt den Detailbereich auch für Analyseregeln anzeigen.
  • Sie können jetzt die folgenden Aktionen für Analyseregeln ausführen: Aktivieren/Deaktivieren, Löschen, Bearbeiten.

• (Vorschau) Mithilfe der einheitlichen Sicherheitszusammenfassung können Sie jetzt Ihre Erfolge bei Sicherheitsvorgängen und die Auswirkungen von Microsoft Defender hervorheben. Die einheitliche Sicherheitszusammenfassung ist im Microsoft Defender-Portal verfügbar und optimiert den Prozess für SOC-Teams zum Generieren von Sicherheitsberichten, wodurch normalerweise Zeit gespart wird, die für das Sammeln von Daten aus verschiedenen Quellen und das Erstellen von Berichten aufgewendet wird. Weitere Informationen finden Sie unter Visualisieren der Auswirkungen auf die Sicherheit mit der einheitlichen Sicherheitszusammenfassung.

• Defender-Portalbenutzer, die Microsoft Sentinel integriert und UEBA (User and Entity Behavior Analytics) aktiviert haben, können jetzt die vorteile der neuen einheitlichen IdentityInfo Tabelle in der erweiterten Suche nutzen. Diese neueste Version enthält jetzt den größtmöglichen Satz von Feldern, die sowohl für Defender- als auch für Azure-Portale gemeinsam sind.

• (Vorschau) Die folgenden erweiterten Schematabellen für die Suche sind jetzt als Vorschau verfügbar, damit Sie Microsoft Teams-Ereignisse und zugehörige Informationen durchsehen können:

  • Die Tabelle MessageEvents enthält Details zu Nachrichten, die zum Zeitpunkt der Übermittlung innerhalb Ihres organization gesendet und empfangen wurden.
  • Die Tabelle MessagePostDeliveryEvents enthält Informationen zu Sicherheitsereignissen, die nach der Zustellung einer Microsoft Teams-Nachricht in Ihrem organization
  • Die Tabelle MessageUrlInfo enthält Informationen zu URLs, die über Microsoft Teams-Nachrichten in Ihrem organization

April 2025

• (Vorschau) Sie können jetzt Untersuchungen zur Datensicherheit im Microsoft Defender-Portal mit der Integration von Microsoft Purview Untersuchungen zur Datensicherheit (Vorschau) und Microsoft Defender XDR erstellen. Durch diese Integration können SoC-Teams (Security Operations Center) ihre Untersuchung und Reaktion auf potenzielle Datensicherheitsvorfälle wie Datenschutzverletzungen oder Datenlecks verbessern. Weitere Informationen finden Sie unter Erstellen von Datensicherheitsuntersuchungen im Microsoft Defender-Portal.

• (Vorschau) Ip-Adressen von nicht entdeckten Geräten enthalten: Die IP-Adressen, die Geräten zugeordnet sind, die nicht entdeckt wurden oder nicht in Defender für Endpunkt integriert sind, befindet sich jetzt in der Vorschau. Das Enthalten einer IP-Adresse verhindert, dass Angreifer Angriffe auf andere nicht kompromittierte Geräte verbreiten. Weitere Informationen finden Sie unter Enthalten von IP-Adressen von nicht entdeckten Geräten .

• (Vorschau) Die OAuthAppInfo-Tabelle ist jetzt für die Vorschau in der erweiterten Suche verfügbar. Die Tabelle enthält Informationen zu mit Microsoft 365 verbundenen OAuth-Anwendungen, die bei Microsoft Entra ID registriert und in der Defender for Cloud Apps App-Governance-Funktion verfügbar sind.

• Die OnboardingStatus Spalten und NetworkAdapterDnsSuffix sind jetzt in der Tabelle in der DeviceNetworkInfo erweiterten Suche verfügbar.

März 2025

• (Vorschau) Die Vorfallbeschreibung wurde innerhalb der Incidentseite verschoben. Die Vorfallbeschreibung wird jetzt nach den Vorfalldetails angezeigt. Weitere Informationen finden Sie unter Incidentdetails.

• Die Microsoft 365-Warnungsrichtlinien können jetzt nur im Microsoft Defender-Portal verwaltet werden. Weitere Informationen finden Sie unter Warnungsrichtlinien in Microsoft 365.

• Sie können jetzt Berichte zur Bedrohungsanalyse verknüpfen, wenn Sie benutzerdefinierte Erkennungen einrichten. Weitere Informationen

Februar 2025

• (Vorschau) IP-Adressen können jetzt von automatisierten Reaktionen bei Angriffsunterbrechungen ausgeschlossen werden. Mit diesem Feature können Sie bestimmte IP-Adressen von automatisierten Einschlussaktionen ausschließen, die durch eine Angriffsunterbrechung ausgelöst werden. Weitere Informationen finden Sie unter Ausschließen von Ressourcen von automatisierten Reaktionen bei automatischen Angriffsunterbrechungen.

• (Vorschau) Die PrivilegedEntraPimRoles Spalte steht für die Vorschau in der IdentityInfo-Tabelle für erweiterte Suche zur Verfügung.

• (GA) Sie können nun anzeigen, wie Security Copilot den Abfragevorschlag in den Antworten in Microsoft Defender erweiterten Suche erhalten haben. Wählen Sie Unter dem Abfragetext die Option Logik hinter der Abfrage anzeigen aus, um zu überprüfen, ob die Abfrage Ihren Absichten und Anforderungen entspricht, auch wenn Sie nicht über kenntnisse von KQL auf Expertenebene verfügen.