Nouveautés de Microsoft Defender XDR

Répertorie les nouvelles fonctionnalités de Microsoft Defender XDR.

Pour plus d’informations sur les nouveautés des autres produits de sécurité Microsoft Defender et Microsoft Sentinel, consultez :

• Nouveautés des opérations de sécurité unifiées dans le portail Defender
• Nouveautés de Microsoft Defender pour Office 365
• Nouveautés dans Microsoft Defender pour point de terminaison
• Nouveautés de Microsoft Defender pour l’identité
• Nouveautés de Microsoft Defender for Cloud Apps
• Nouveautés de Microsoft Defender pour le cloud
• Quoi de neuf dans Microsoft Sentinel
• Nouveautés de Microsoft Purview

Vous pouvez également obtenir des mises à jour de produit et des notifications importantes via le Centre de messages.

Juillet 2025

• (Préversion) La table GraphApiAuditEvents dans la chasse avancée est désormais disponible en préversion. Ce tableau contient des informations sur Microsoft Entra ID demandes d’API adressées à Microsoft API Graph pour les ressources du locataire.

• (Préversion) Le DisruptionAndResponseEvents tableau, désormais disponible dans la chasse avancée, contient des informations sur les événements d’interruption d’attaque automatique dans Microsoft Defender XDR. Ces événements incluent à la fois les événements d’application de bloc et de stratégie liés aux stratégies d’interruption d’attaque déclenchées, ainsi que les actions automatiques qui ont été effectuées sur les charges de travail associées. Augmentez votre visibilité et la sensibilisation aux attaques actives et complexes perturbées par l’interruption des attaques pour comprendre l’étendue, le contexte, l’impact et les actions entreprises des attaques.

Juin 2025

• (Préversion) Microsoft Copilot fournit désormais des invites suggérées dans le cadre des résumés des incidents dans le portail Microsoft Defender. Les invites suggérées vous aident à obtenir plus d’informations sur les ressources spécifiques impliquées dans un incident. Pour plus d’informations, consultez Résumer les incidents avec Microsoft Copilot dans Microsoft Defender.
• (GA) Dans la chasse avancée, Microsoft Defender utilisateurs du portail peuvent désormais utiliser l’opérateur adx() pour interroger les tables stockées dans Azure Data Explorer. Vous n’avez plus besoin d’accéder à Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.

Mai 2025

• (Préversion) Dans la chasse avancée, vous pouvez désormais afficher toutes vos règles définies par l’utilisateur (règles de détection personnalisées et règles d’analyse) dans la page Règles de détection . Cette fonctionnalité apporte également les améliorations suivantes :

  • Vous pouvez désormais filtrer pour chaque colonne (en plus de la fréquence et de l’étendue organisationnelle).
  • Pour les organisations multi-espaces de travail qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID d’espace de travail et filtrer par espace de travail.
  • Vous pouvez maintenant afficher le volet d’informations, même pour les règles d’analyse.
  • Vous pouvez maintenant effectuer les actions suivantes sur les règles d’analyse : Activer/désactiver, Supprimer, Modifier.

• (Préversion) Vous pouvez maintenant mettre en évidence vos réussites en matière d’opérations de sécurité et l’impact de Microsoft Defender à l’aide du résumé unifié de la sécurité. Le résumé unifié de la sécurité est disponible dans le portail Microsoft Defender et simplifie le processus permettant aux équipes SOC de générer des rapports de sécurité, ce qui permet généralement de gagner du temps sur la collecte de données à partir de différentes sources et la création de rapports. Pour plus d’informations, consultez Visualiser l’impact sur la sécurité avec le résumé de sécurité unifié.

• Les utilisateurs du portail Defender qui ont intégré Microsoft Sentinel et qui ont activé l’Analyse du comportement des utilisateurs et des entités (UEBA) peuvent désormais tirer parti de la nouvelle table unifiée IdentityInfo dans la chasse avancée. Cette dernière version inclut désormais le plus grand ensemble possible de champs communs aux portails Defender et Azure.

• (Préversion) Les tables de schéma de chasse avancée suivantes sont désormais disponibles en préversion pour vous aider à examiner les événements Microsoft Teams et les informations associées :

  • La table MessageEvents contient des détails sur les messages envoyés et reçus dans votre organization au moment de la remise
  • La table MessagePostDeliveryEvents contient des informations sur les événements de sécurité qui se sont produits après la remise d’un message Microsoft Teams dans votre organization
  • La table MessageUrlInfo contient des informations sur les URL envoyées via les messages Microsoft Teams dans votre organization

Avril 2025

• (Préversion) Vous pouvez maintenant créer des enquêtes de sécurité des données dans le portail Microsoft Defender avec l’intégration de Enquêtes sur la sécurité des données Microsoft Purview (préversion) et Microsoft Defender XDR. Cette intégration permet aux équipes du centre des opérations de sécurité (SOC) d’améliorer leur investigation et leur réponse aux incidents potentiels de sécurité des données, tels que les violations de données ou les fuites de données. Pour plus d’informations, consultez Créer des enquêtes de sécurité des données dans le portail Microsoft Defender.

• (Préversion) Contenir des adresses IP d’appareils non découverts : les adresses IP associées aux appareils qui ne sont pas découverts ou qui ne sont pas intégrés à Defender pour point de terminaison sont désormais en préversion. Le fait de contenir une adresse IP empêche les attaquants de propager des attaques à d’autres appareils non compromis. Pour plus d’informations, consultez Contenir les adresses IP des appareils non découverts .

• (Préversion) La table OAuthAppInfo est désormais disponible en préversion dans la chasse avancée. Le tableau contient des informations sur les applications OAuth connectées à Microsoft 365 inscrites avec Microsoft Entra ID et disponibles dans la fonctionnalité de gouvernance des applications Defender for Cloud Apps.

• Les OnboardingStatus colonnes et NetworkAdapterDnsSuffix sont désormais disponibles dans le tableau dans la DeviceNetworkInfo chasse avancée.

Mars 2025

• (Préversion) La description de l’incident a été déplacée dans la page de l’incident. La description de l’incident s’affiche maintenant après les détails de l’incident. Pour plus d’informations, consultez Détails de l’incident.

• Les stratégies d’alerte Microsoft 365 ne peuvent désormais être gérées que dans le portail Microsoft Defender. Pour plus d’informations, consultez Stratégies d’alerte dans Microsoft 365.

• Vous pouvez maintenant lier des rapports d’analyse des menaces lors de la configuration des détections personnalisées. En savoir plus

Février 2025

• (Préversion) Les adresses IP peuvent désormais être exclues des réponses automatisées en cas d’interruption d’attaque. Cette fonctionnalité vous permet d’exclure des adresses IP spécifiques des actions de confinement automatisées déclenchées par une interruption d’attaque. Pour plus d’informations, consultez Exclure des ressources des réponses automatisées en cas d’interruption d’attaque automatique.

• (Préversion) La PrivilegedEntraPimRoles colonne est disponible en préversion dans la table IdentityInfo de repérage avancée.

• (GA) Vous pouvez maintenant voir comment Security Copilot a créé la suggestion de requête dans ses réponses dans Microsoft Defender repérage avancé. Sélectionnez Afficher la logique derrière la requête sous le texte de la requête pour vérifier que la requête s’aligne sur votre intention et vos besoins, même si vous n’avez pas une compréhension de KQL de niveau expert.