Novedades de Microsoft Defender XDR

Enumere las nuevas características y funcionalidades de Microsoft Defender XDR.

Para obtener más información sobre las novedades de otros productos de seguridad de Microsoft Defender y Microsoft Sentinel, consulte:

• Novedades de las operaciones de seguridad unificadas en el portal de Defender
• Novedades de Microsoft Defender para Office 365
• Novedades de Microsoft Defender para punto de conexión
• Novedades de Microsoft Defender for Identity
• Novedades de Microsoft Defender for Cloud Apps
• Novedades de Microsoft Defender for Cloud
• Novedades de Microsoft Sentinel
• Novedades de Microsoft Purview

También puede recibir actualizaciones de productos y notificaciones importantes a través del centro de mensajes.

Julio de 2025

• (versión preliminar) La tabla GraphApiAuditEvents de búsqueda avanzada ya está disponible para la versión preliminar. Esta tabla contiene información sobre Microsoft Entra ID solicitudes de API realizadas a Microsoft Graph API para los recursos del inquilino.

• (versión preliminar) La DisruptionAndResponseEvents tabla, ahora disponible en la búsqueda avanzada, contiene información sobre los eventos de interrupción automática de ataques en Microsoft Defender XDR. Estos eventos incluyen eventos de aplicación de bloques y directivas relacionados con directivas de interrupción de ataque desencadenadas y acciones automáticas que se realizaron en cargas de trabajo relacionadas. Aumente la visibilidad y el conocimiento de los ataques activos y complejos interrumpidos por la interrupción del ataque para comprender el ámbito, el contexto, el impacto y las acciones que se realizan.

Junio de 2025

• (versión preliminar) Microsoft Copilot ahora proporciona mensajes sugeridos como parte de los resúmenes de incidentes en el portal de Microsoft Defender. Los avisos sugeridos le ayudan a obtener más información sobre los recursos específicos implicados en un incidente. Para obtener más información, vea Resumir incidentes con Microsoft Copilot en Microsoft Defender.
• (GA) En la búsqueda avanzada, los usuarios de Microsoft Defender portal ahora pueden usar el adx() operador para consultar las tablas almacenadas en Azure Data Explorer. Ya no es necesario ir a Log Analytics en Microsoft Sentinel para usar este operador si ya está en Microsoft Defender.

Mayo de 2025

• (versión preliminar) En la búsqueda avanzada, ahora puede ver todas las reglas definidas por el usuario(tanto reglas de detección personalizadas como reglas de análisis) en la página Reglas de detección . Esta característica también aporta las siguientes mejoras:

  • Ahora puede filtrar por cada columna (además de frecuencia y ámbito organizativo).
  • Para las organizaciones multitrabajo que han incorporado varias áreas de trabajo para Microsoft Defender, ahora puede ver la columna Id. de área de trabajo y filtrar por área de trabajo.
  • Ahora puede ver el panel de detalles incluso para las reglas de análisis.
  • Ahora puede realizar las siguientes acciones en las reglas de análisis: Activar o desactivar, Eliminar, Editar.

• (versión preliminar) Ahora puede resaltar los logros de las operaciones de seguridad y el impacto de Microsoft Defender mediante el resumen de seguridad unificado. El resumen de seguridad unificado está disponible en el portal de Microsoft Defender y simplifica el proceso para que los equipos de SOC generen informes de seguridad, lo que ahorra tiempo dedicado normalmente a recopilar datos de varios orígenes y a crear informes. Para obtener más información, vea Visualización del impacto en la seguridad con el resumen de seguridad unificado.

• Los usuarios del portal de Defender que han incorporado Microsoft Sentinel y han habilitado el Análisis de comportamiento de usuarios y entidades (UEBA) ahora pueden aprovechar la nueva tabla unificada IdentityInfo en la búsqueda avanzada. Esta versión más reciente ahora incluye el conjunto más grande posible de campos comunes tanto a Defender como a Azure Portal.

• (versión preliminar) Las siguientes tablas de esquema de búsqueda avanzada ahora están disponibles para obtener una vista previa que le ayudarán a examinar los eventos de Microsoft Teams y la información relacionada:

  • La tabla MessageEvents contiene detalles sobre los mensajes enviados y recibidos dentro de la organización en el momento de la entrega.
  • La tabla MessagePostDeliveryEvents contiene información sobre los eventos de seguridad que se produjeron después de la entrega de un mensaje de Microsoft Teams en su organización.
  • La tabla MessageUrlInfo contiene información sobre las direcciones URL enviadas a través de mensajes de Microsoft Teams en su organización.

Abril de 2025

• (versión preliminar) Ahora puede crear investigaciones de seguridad de datos en el portal de Microsoft Defender con la integración de Investigaciones de seguridad de datos de Microsoft Purview (versión preliminar) y Microsoft Defender XDR. Esta integración permite a los equipos del Centro de operaciones de seguridad (SOC) mejorar su investigación y respuesta ante posibles incidentes de seguridad de datos, como infracciones de datos o pérdidas de datos. Para obtener más información, consulte Creación de investigaciones de seguridad de datos en el portal de Microsoft Defender.

• (versión preliminar) Contener direcciones IP de dispositivos no detectados: el contenedor de direcciones IP asociadas a dispositivos que no se detectan o no están incorporados a Defender para punto de conexión está ahora en versión preliminar. Al contener una dirección IP, los atacantes no pueden propagar ataques a otros dispositivos que no están en peligro. Para obtener más información, consulte Contener direcciones IP de dispositivos no detectados .

• (versión preliminar) La tabla OAuthAppInfo ya está disponible para la versión preliminar en la búsqueda avanzada. La tabla contiene información sobre las aplicaciones de OAuth conectadas a Microsoft 365 registradas con Microsoft Entra ID y disponibles en la funcionalidad de gobernanza de aplicaciones Defender for Cloud Apps.

• Las OnboardingStatus columnas y NetworkAdapterDnsSuffix ahora están disponibles en la tabla en la DeviceNetworkInfo búsqueda avanzada.

Marzo de 2025

• (versión preliminar) La descripción del incidente se ha movido dentro de la página del incidente. La descripción del incidente ahora se muestra después de los detalles del incidente. Para obtener más información, consulte Detalles del incidente.

• Las directivas de alertas de Microsoft 365 ahora solo se pueden administrar en el portal de Microsoft Defender. Para obtener más información, consulte Directivas de alerta en Microsoft 365.

• Ahora puede vincular informes de Análisis de amenazas al configurar detecciones personalizadas. Más información

Febrero de 2025

• (versión preliminar) Las direcciones IP ahora se pueden excluir de las respuestas automatizadas en la interrupción de ataques. Esta característica permite excluir direcciones IP específicas de las acciones de contención automatizadas desencadenadas por la interrupción de ataques. Para obtener más información, consulte Exclusión de recursos de respuestas automatizadas en la interrupción automática de ataques.

• (versión preliminar) La PrivilegedEntraPimRoles columna está disponible en versión preliminar en la tabla IdentityInfo de búsqueda avanzada.

• (GA) Ahora puede ver cómo Security Copilot ha llegado a la sugerencia de consulta en sus respuestas en Microsoft Defender búsqueda avanzada. Seleccione Ver la lógica detrás de la consulta debajo del texto de la consulta para validar que la consulta se alinea con la intención y las necesidades, incluso si no tiene conocimientos expertos de KQL.