Nieuw in Microsoft Defender XDR
Hiermee wordt een overzicht gegeven van de nieuwe functies en functionaliteit in Microsoft Defender XDR.
Raadpleeg voor meer informatie over wat er nieuw is voor andere Microsoft Defender-beveiligingsproducten en Microsoft Sentinel:
- Nieuw in Defender voor Office 365
- Wat is er nieuw in Microsoft Defender voor Eindpunt
- Wat is er nieuw voor Microsoft Defender for Identity
- Wat is er nieuw in Microsoft Defender for Cloud Apps
- Wat is er nieuw in Microsoft Sentinel
Je kunt ook productupdates en belangrijke meldingen ontvangen via het berichtencentrum.
- (Preview) Aanvalspaden in de incidentgrafiek zijn nu beschikbaar in de Microsoft Defender-portal. Het aanvalsverhaal bevat nu potentiële aanvalspaden die de paden laten zien die aanvallers mogelijk kunnen nemen nadat ze een apparaat in gevaar hebben brengen. Met deze functie kunt u prioriteit geven aan uw reactie-inspanningen. Zie aanvalspaden in het aanvalsverhaal voor meer informatie.
- (Preview) Microsoft Defender XDR klanten kunnen nu incidentgegevens exporteren naar PDF. Gebruik de geëxporteerde gegevens om incidentgegevens eenvoudig vast te leggen en te delen met andere belanghebbenden. Zie Incidentgegevens exporteren naar PDF voor meer informatie.
- (GA) De kolom Tijd voor laatste update in de incidentwachtrij is nu algemeen beschikbaar.
- (Preview) Cloudeigen onderzoeks- en reactieacties zijn nu beschikbaar voor containergerelateerde waarschuwingen in de Microsoft Defender portal. SOC-analisten (Security Operations Center) kunnen nu in bijna realtime containergerelateerde waarschuwingen onderzoeken en erop reageren met cloudeigen reactieacties en onderzoekslogboeken om te zoeken naar gerelateerde activiteiten. Zie Containerbedreigingen onderzoeken en erop reageren in de Microsoft Defender portal voor meer informatie.
- (GA) De
arg()
operator in geavanceerde opsporing in Microsoft Defender portal is nu algemeen beschikbaar. Gebruikers kunnen nu de operator arg() gebruiken voor Azure Resource Graph-query's om te zoeken naar Azure-resources en hoeven niet langer naar Log Analytics in Microsoft Sentinel te gaan om deze operator te gebruiken als deze al in Microsoft Defender. - (Preview) De tabel CloudProcessEvents is nu beschikbaar voor preview in geavanceerde opsporing. Het bevat informatie over procesgebeurtenissen in gehoste omgevingen met meerdere clouds. U kunt het gebruiken om bedreigingen te detecteren die kunnen worden waargenomen via procesdetails, zoals schadelijke processen of opdrachtregelhandtekeningen.
- (Preview) Het migreren van aangepaste detectiequery's naar continue frequentie (bijna realtime of NRT) is nu beschikbaar voor preview in geavanceerde opsporing. Het gebruik van de continue frequentie (NRT) vergroot de mogelijkheid van uw organisatie om bedreigingen sneller te identificeren. Het heeft minimale tot geen invloed op uw resourcegebruik en moet daarom worden overwogen voor elke gekwalificeerde aangepaste detectieregel in uw organisatie. U kunt compatibele KQL-query's migreren door de stappen in Continue frequentie (NRT) te volgen.
- Microsoft Unified RBAC-rollen worden toegevoegd met nieuwe machtigingsniveaus voor Microsoft Threat Experts klanten om de mogelijkheid van Ask Defender-experts te gebruiken.
- (Preview) Bij geavanceerde opsporing kunnen gebruikers van Microsoft Defender portal nu de operator arg() voor Azure Resource Graph-query's gebruiken om te zoeken naar Azure-resources. U hoeft niet langer naar Log Analytics in Microsoft Sentinel te gaan om deze operator te gebruiken als u zich al in Microsoft Defender bevindt.
- (GA) De algemene zoekopdracht voor entiteiten in de Microsoft Defender-portal is nu algemeen beschikbaar. De pagina met verbeterde zoekresultaten centraliseert de resultaten van alle entiteiten. Zie Globaal zoeken in de Microsoft Defender portal voor meer informatie.
- (GA) Copilot in Defender bevat nu de mogelijkheid voor identiteitsoverzichten, waardoor direct inzicht wordt geboden in het risiconiveau van een gebruiker, aanmeldingsactiviteiten en meer. Zie Identiteitsgegevens samenvatten met Copilot in Defender voor meer informatie.
- Microsoft Defender-bedreigingsinformatie klanten kunnen nu de meest recente artikelen over bedreigingsinformatie bekijken op de startpagina van de Microsoft Defender portal. De Intel Explorer-pagina bevat nu ook een samenvatting van het artikel waarin ze worden gewaarschuwd over het aantal nieuwe Defender TI-artikelen dat is gepubliceerd sinds ze de Defender-portal voor het laatst hebben geopend.
- Microsoft Defender XDR Unified RBAC-machtigingen worden toegevoegd om vragen in te dienen en antwoorden van Microsoft Defender experts weer te geven. U kunt ook antwoorden bekijken op vragen die zijn ingediend bij Ask Defender-experts via uw vermelde e-mailadressen wanneer u uw aanvraag indient of in de Defender-portal door te navigeren naar Rapporten Defender>Experts-berichten.
- (GA) Geavanceerde deelvensters voor opsporingscontext zijn nu beschikbaar in meer ervaringen. Hierdoor hebt u toegang tot de geavanceerde opsporingsfunctie zonder uw huidige werkstroom te verlaten.
- Voor incidenten en waarschuwingen die worden gegenereerd door analyseregels, kunt u Query uitvoeren selecteren om de resultaten van de gerelateerde analyseregel te verkennen.
- In de stap Regellogica instellen van de wizard Analyseregel kunt u Queryresultaten weergeven selecteren om de resultaten te controleren van de query die u gaat instellen.
- In het rapport queryresources kunt u alle query's weergeven door de drie puntjes in de queryrij te selecteren en Openen in queryeditor te selecteren.
- Voor apparaatentiteiten die betrokken zijn bij incidenten of waarschuwingen, is Go Hunt ook beschikbaar als een van de opties na het selecteren van de drie puntjes op het deelvenster aan de apparaatzijde.
- (Preview) Microsoft Sentinel gegevens zijn nu beschikbaar met Defender XDR gegevens in Microsoft Defender multitenantbeheer. Er wordt momenteel slechts één Microsoft Sentinel werkruimte per tenant ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft. Microsoft Defender multitenantbeheer toont dus SIEM-gegevens (Security Information and Event Management) van één Microsoft Sentinel werkruimte per tenant. Zie Microsoft Defender multitenantbeheer en Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.
- Voor een soepele ervaring tijdens het navigeren in de Microsoft Defender portal configureert u uw netwerkfirewall door de juiste adressen toe te voegen aan uw acceptatielijst. Zie Netwerkfirewallconfiguratie voor Microsoft Defender XDR voor meer informatie.
Incidenten met waarschuwingen waarbij een gecompromitteerd apparaat communiceert met een apparaat met operationele technologie (OT) zijn nu zichtbaar in de Microsoft Defender portal via de Microsoft Defender voor IoT-licentie en de mogelijkheden voor apparaatdetectie van Defender for Endpoint. Met behulp van Defender for Endpoint-gegevens correleert Defender XDR deze nieuwe OT-waarschuwingen automatisch aan incidenten om een uitgebreid aanvalsverhaal te bieden. Zie Incidenten prioriteren in de Microsoft Defender portal om gerelateerde incidenten te filteren.
(GA) Filteren Microsoft Defender op cloudwaarschuwingen op de bijbehorende abonnements-id voor waarschuwingen in de wachtrij incidenten en waarschuwingen is nu algemeen beschikbaar. Zie Microsoft Defender for Cloud in Microsoft Defender XDR voor meer informatie.
(GA) Het geïntegreerde Microsoft-platform voor beveiligingsbewerkingen in de Microsoft Defender-portal is algemeen beschikbaar. Deze release combineert de volledige mogelijkheden van Microsoft Sentinel, Microsoft Defender XDR en Microsoft Copilot in Microsoft Defender. Zie de volgende hulpmiddelen voor meer informatie:
Blogbericht: Algemene beschikbaarheid van het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft
(Preview) U kunt nu kolommen aanpassen in de wachtrij incidenten en waarschuwingen in de Microsoft Defender portal. U kunt kolommen toevoegen, verwijderen en opnieuw ordenen om de informatie weer te geven die u nodig hebt. Zie Kolommen aanpassen in de incidentwachtrij en waarschuwingswachtrij voor meer informatie.
(Preview) Kritieke assets maken nu deel uit van de tags in de incident- en waarschuwingswachtrijen. Wanneer een kritieke asset betrokken is bij een incident of waarschuwing, wordt de kritieke assettag weergegeven in de wachtrijen. Zie incidenttags en de waarschuwingswachtrij voor meer informatie.
(Preview) Incidenten worden nu gerangschikt volgens de meest recente automatische of handmatige updates van een incident. Lees meer over de tijdkolom voor de laatste update in de incidentwachtrij.
(GA) Learning Hub-resources zijn verplaatst van de Microsoft Defender portal naar learn.microsoft.com. Krijg toegang tot Microsoft Defender XDR Ninja-training, leertrajecten, trainingsmodules en meer. Blader door de lijst met leertrajecten en filter op product, rol, niveau en onderwerp.
(GA) De tabel UrlClickEvents in geavanceerde opsporing is nu algemeen beschikbaar. Gebruik deze tabel voor informatie over klikken op veilige koppelingen in e-mailberichten, Microsoft Teams en Office 365-apps in ondersteunde desktop-, mobiele en web-apps.
(GA) U kunt e-mailberichten nu rechtstreeks vanuit quarantaine vrijgeven of verplaatsen naar het Postvak IN van de gebruiker vanuit Acties uitvoeren in geavanceerde opsporing en in aangepaste detecties. Hierdoor kunnen beveiligingsoperators fout-positieven efficiënter beheren zonder context te verliezen.
(Preview) Inhoudsdistributie via tenantgroepen in multitenantbeheer is nu beschikbaar. Met inhoudsdistributie kunt u inhoud op schaal beheren tussen tenants in multitenantbeheer in Microsoft Defender XDR. Bij inhoudsdistributie kunt u tenantgroepen maken om bestaande inhoud, zoals aangepaste detectieregels, te kopiëren van de brontenant naar de doeltenants die u toewijst tijdens het maken van de tenantgroep. De inhoud wordt vervolgens uitgevoerd op de apparaten of apparaatgroepen van de doeltenant die u hebt ingesteld in het bereik van de tenantgroep.
(Preview) U kunt nu uw Microsoft Defender filteren op cloudwaarschuwingen op de bijbehorende abonnements-id voor waarschuwingen in de wachtrijen Incidenten en waarschuwingen. Zie Microsoft Defender for Cloud in Microsoft Defender XDR voor meer informatie.
(GA) U kunt nu uw resultaten filteren in geavanceerde opsporing, zodat u uw onderzoek kunt beperken op specifieke gegevens waarop u zich wilt concentreren.
(Preview) Beveiligingsanalisten kunnen nu het interne risico van een gebruiker onderzoeken in de Microsoft Defender-portal met de ernst van het interne risico en inzichten die beschikbaar zijn voor Microsoft Defender XDR gebruikers met ingerichte toegang tot Microsoft Purview Beheer van insider-risico's. Zie de entiteitsdetails op de gebruikerspagina voor meer informatie.
(GA) De pagina eindpuntbeveiligingsbeleid is nu beschikbaar in multitenantbeheer in Microsoft Defender XDR. Maak, bewerk en verwijder beveiligingsbeleid voor de apparaten van uw tenants op de pagina Eindpuntbeveiligingsbeleid . Zie Eindpuntbeveiligingsbeleid in multitenantbeheer voor meer informatie.
Maak regels voor het afstemmen van waarschuwingen met de ernst van waarschuwingen en de titelwaarden van de waarschuwing als voorwaarden. Het afstemmen van waarschuwingen kan u helpen bij het stroomlijnen van de waarschuwingswachtrij, waardoor tijd wordt bespaard door waarschuwingen automatisch te verbergen of op te lossen, telkens wanneer een bepaald verwacht gedrag van de organisatie optreedt en aan regelvoorwaarden wordt voldaan. Zie Een waarschuwing afstemmen voor meer informatie.
(Preview) Schakel preview-opties in de hoofdinstellingen van Microsoft 365 Defender in samen met andere preview-functies van Microsoft 365 Defender. Klanten die nog geen preview-functies gebruiken, blijven de verouderde instellingen zien onder Instellingen > Eindpunten > Geavanceerde functies > Preview-functies. Zie Preview-functies van Microsoft 365 Defender voor meer informatie.
(Preview) De pagina SOC-optimalisaties in de Microsoft Defender portal is nu beschikbaar met het geïntegreerde platform voor beveiligingsbewerkingen. Integreer Microsoft Defender XDR en Microsoft Sentinel en gebruik SOC-optimalisaties om zowel processen als resultaten te optimaliseren, zonder dat uw SOC-teams tijd hoeven te besteden aan handmatige analyse en onderzoek. Zie voor meer informatie:
(Preview) Zoeken in de Microsoft Defender portal bevat nu de mogelijkheid om te zoeken naar apparaten en gebruikers in Microsoft Sentinel. Gebruik de zoekbalk om te zoeken naar incidenten, waarschuwingen en andere gegevens in Microsoft Defender XDR en Microsoft Sentinel. Zie Zoeken in Microsoft Defender voor meer informatie.
(Preview) De tabel CloudAuditEvents is nu beschikbaar in geavanceerde opsporing. Hiermee kunt u cloudcontrolegebeurtenissen opsporen in Microsoft Defender voor Cloud en aangepaste detecties maken om verdachte activiteiten van het Besturingsvlak van Azure Resource Manager en Kubernetes (KubeAudit) op te sporen.
(GA) Automatisch voorlopig verwijderen van de kopie van de afzender wanneer Voorlopig verwijderen is geselecteerd als een actie voor e-mailberichten, is nu beschikbaar in de wizard Acties ondernemen in geavanceerde opsporing. Deze nieuwe functie stroomlijnt het proces voor het beheren van verzonden items, met name beheerders die de acties Voorlopig verwijderen en Verplaatsen naar Postvak IN gebruiken. Lees Acties uitvoeren op e-mailberichten voor meer informatie.
(Preview) U kunt nu Microsoft Sentinel gegevens opvragen met behulp van de geavanceerde opsporingsquery-API. U kunt de
timespan
parameter gebruiken om query's uit te voeren op Defender XDR en gegevens te Microsoft Sentinel die een langere gegevensretentie hebben dan de Defender XDR standaard van 30 dagen.(Preview) In de geïntegreerde Microsoft Defender-portal kunt u nu aangepaste detecties maken bij het opvragen van gegevens die Microsoft Sentinel en Defender XDR tabellen omvatten. Lees Aangepaste analyse- en detectieregels maken voor meer informatie.
Bijgewerkte stappen voor probleemoplossing voor Microsoft Defender Experts-app-machtigingen in Microsoft Teams.
(Preview) Het platform voor unified security operations in de Microsoft Defender-portal is nu beschikbaar. Deze release combineert de volledige mogelijkheden van Microsoft Sentinel, Microsoft Defender XDR en Microsoft Copilot in Microsoft Defender. Zie de volgende hulpmiddelen voor meer informatie:
(GA) Microsoft Copilot in Microsoft Defender is nu algemeen beschikbaar. Met Copilot in Defender kun je incidenten sneller en effectiever onderzoeken en erop reageren. Copilot biedt begeleide reacties, samenvattingen van incidenten en rapporten, helpt u bij het bouwen van KQL-query's om bedreigingen op te sporen, bestands- en scriptanalyses te bieden en u in staat te stellen relevante en bruikbare bedreigingsinformatie samen te vatten.
Copilot in Defender-klanten kunnen nu incidentgegevens exporteren naar PDF. Gebruik de geëxporteerde gegevens om eenvoudig incidentgegevens te delen, zodat je discussies met je beveiligingsteams en andere belanghebbenden kunt vergemakkelijken. Zie Incidentgegevens exporteren naar PDF voor meer informatie.
Meldingen in de Microsoft Defender-portal zijn nu beschikbaar. Selecteer rechtsboven in de Defender-portal het belpictogram om al je actieve meldingen weer te geven. Meer informatie over meldingen in de Microsoft Defender portal.
De
AzureResourceId
-kolom, met de unieke id van de Azure-resource die is gekoppeld aan een apparaat, is nu beschikbaar in de tabel DeviceInfo in geavanceerde opsporing.
(GA) Donkere modus is nu beschikbaar in de Microsoft Defender-portal. Selecteer in de Defender-portal rechtsboven op de startpagina de optie Donkere modus. Selecteer Lichte modus om de kleurmodus weer in de standaardmodus te wijzigen.
(GA) Het toewijzen van ernst aan incidenten, het toewijzen van een incident aan een groep en de optie Go Hunt uit de grafiek van het aanvalsverhaal zijn nu algemeen beschikbaar. Handleidingen voor informatie over het toewijzen of wijzigen van de ernst van incidenten en het toewijzen van een incident aan een groep vind je op de pagina Incidenten beheren. Ontdek hoe je de optie Go Hunt kunt gebruiken door het aanvalsverhaal te verkennen.
(Preview) Aangepaste detectieregels in de Microsoft Graph-beveiligings-API zijn nu beschikbaar. Maak geavanceerde opsporingsregels voor aangepaste detectie die specifiek zijn voor je organisatie om proactief te controleren op bedreigingen en actie te ondernemen.
Waarschuwing
De platformrelease 2024-02 veroorzaakt inconsistente resultaten voor klanten met apparaatbeheer die beleid voor verwisselbare media gebruiken met alleen toegang op schijf-/apparaatniveau (maskers die kleiner zijn dan 7). De afdwinging werkt mogelijk niet zoals verwacht. Je kunt dit probleem oplossen door terug te keren naar de vorige versie van het Defender-platform.
Defender Boxed is gedurende een beperkte periode beschikbaar. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van je organisatie in 2023. Neem even de tijd om de verbeteringen in de beveiligingspostuur van je organisatie, de algehele reactie op gedetecteerde bedreigingen (handmatig en automatisch), geblokkeerde e-mailberichten en meer te vieren.
- Defender Boxed wordt automatisch geopend wanneer je naar de pagina Incidenten in de Microsoft Defender-portal gaat.
- Als je Defender Boxed sluit en je deze opnieuw wilt openen, ga je in de Microsoft Defender-portal naar Incidenten en selecteer je vervolgens Jouw Defender Boxed.
- Handel snel! Defender Boxed is slechts voor een korte periode beschikbaar.
Met Defender Experts voor XDR kun je nu meldingen en updates voor beheerde reacties ontvangen met behulp van Teams. Je kunt ook chatten met Defender-experts over incidenten waarbij beheerde reacties worden uitgegeven.
(GA) Nieuwe functionaliteit in de beschikbare filters van de incidentwachtrij is nu algemeen beschikbaar. Geef prioriteit aan incidenten op basis van je voorkeursfilters door filtersets te maken en filterquery's op te slaan. Meer informatie over wachtrijfilters voor incidenten vind je in Beschikbare filters.
(GA) Microsoft Defender voor Cloud-waarschuwingsintegratie met Microsoft Defender XDR is nu algemeen beschikbaar. Meer informatie over de integratie in Microsoft Defender voor Cloud in Microsoft Defender XDR.
(GA) Activiteitenlogboek is nu beschikbaar op een incidentpagina. Gebruik het activiteitenlogboek om alle controles en opmerkingen te bekijken en opmerkingen toe te voegen aan het logboek van een incident. Zie Activiteitenlogboek voor meer informatie.
(Preview) Querygeschiedenis in geavanceerde opsporing is nu beschikbaar. Je kunt nu query's die je onlangs hebt uitgevoerd, opnieuw uitvoeren of verfijnen. In het deelvenster querygeschiedenis kunnen maximaal 30 query's in de afgelopen 28 dagen worden geladen.
(Preview) Aanvullende functies die je kunt gebruiken om verder in te zoomen op je queryresultaten in geavanceerde opsporing, zijn nu beschikbaar.
Microsoft Defender XDR Geïntegreerd toegangsbeheer op basis van rollen (RBAC) is nu algemeen beschikbaar. Met Unified (RBAC) kunnen beheerders gebruikersmachtigingen voor verschillende beveiligingsoplossingen beheren vanaf één centrale locatie. Deze aanbieding is ook beschikbaar voor GCC Moderate-klanten. Zie Op rollen gebaseerd toegangsbeheer (RBAC) van Microsoft Defender XDR voor meer informatie.
Met Microsoft Defender Experts voor XDR kun je nu apparaten uitsluiten van herstelacties van onze experts en in plaats daarvan herstelrichtlijnen voor deze entiteiten krijgen.
De wachtrij voor incidenten in de Microsoft Defender-portal bevat bijgewerkte filters, zoekopdrachten en een nieuwe functie toegevoegd waarmee je je eigen filtersets kunt maken. Zie Beschikbare filters voor meer informatie.
Je kunt nu incidenten toewijzen aan een gebruikersgroep of een andere gebruiker. Zie Een incident toewijzen voor meer informatie.
Met Microsoft Defender-experts voor opsporing kun je nu voorbeeldmeldingen van Defender-experts genereren, zodat u de service kunt ervaren zonder dat je hoeft te wachten tot er een werkelijke kritieke activiteit plaatsvindt in je omgeving. Meer informatie
(Preview) Microsoft Defender voor Cloud-waarschuwingen zijn nu geïntegreerd in Microsoft Defender XDR. Defender for Cloud-waarschuwingen worden automatisch gecorreleerd aan incidenten en waarschuwingen in de Microsoft Defender-portal en cloudresources kunnen worden weergegeven in de wachtrijen voor incidenten en waarschuwingen. Meer informatie over de Defender for Cloud-integratie in Microsoft Defender XDR.
(Preview) Microsoft Defender XDR heeft nu ingebouwde technologie voor beveiliging om je omgeving te beschermen tegen aanvallen met grote impact die gebruikmaken van door de mens uitgevoerde zijdelingse beweging. Meer informatie over de functie voor misleiding en het configureren van de functie voor misleiding.
Met Microsoft Defender-experts voor XDR kun je nu je eigen gereedheidsevaluatie uitvoeren bij het voorbereiden van de omgeving voor de Defender Experts voor XDR-service.
(Preview) Je kunt nu e-mailmeldingen ontvangen voor handmatige of geautomatiseerde acties die worden uitgevoerd in Microsoft Defender XDR. Meer informatie over het configureren van e-mailmeldingen voor handmatige of geautomatiseerde reactieacties die in de portal worden uitgevoerd. Raadpleeg E-mailmeldingen ontvangen voor reactieacties in Microsoft Defender XDR voor meer informatie.
(Preview) Microsoft Copilot voor beveiliging in Microsoft Defender XDR is nu beschikbaar als preview. Met Microsoft Defender XDR kunnen gebruikers gebruikmaken van de mogelijkheden van Copilot voor beveiliging om incidenten samen te vatten, scripts en codes te analyseren, begeleide reacties te gebruiken om incidenten op te lossen, KQL-query's te genereren en incidentrapporten te maken in de portal. De preview van Copilot voor beveiliging is alleen op uitnodiging beschikbaar. Meer informatie over Copilot voor beveiliging vind je in de veelgestelde vragen over het Early Access Program van Microsoft Copilot voor beveiliging.
- (Preview) Aangepaste detectie met behulp van gegevens uit Microsoft Defender for Identity en Microsoft Defender for Cloud Apps, met name de
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
enIdentityQueryEvents
tabellen kunnen nu in een bijna realtime worden uitgevoerd doorlopende (NRT)-frequentie.
Handleidingen voor het reageren op je eerste incident voor nieuwe gebruikers zijn nu live. Krijg inzicht in incidenten en leer hoe je je eerste incident kunt sorteren en prioriteren, analyseren met behulp van zelfstudies en video's, en aanvallen kunt herstellen door de beschikbare acties in de portal te begrijpen.
(Preview) Beheer van assetregels: dynamische regels voor apparaten zijn nu beschikbaar als openbare preview. Met dynamische regels kun je de apparaatcontext beheren door automatisch labels en apparaatwaarden toe te wijzen op basis van bepaalde criteria.
(Preview) De tabel DeviceInfo in geavanceerde opsporing bevat nu ook de kolommen
DeviceManualTags
enDeviceDynamicTags
in openbare preview om zowel handmatige als dynamisch toegewezen tags weer te geven die betrekking hebben op het apparaat dat u onderzoekt.De naam van de functie Begeleide respons in Microsoft Defender-experts voor XDR is gewijzigd in Beheerde respons. We hebben ook een nieuwe sectie met veelgestelde vragen toegevoegd over incidentupdates.
(GA) Het aanvalsverhaal over incidenten is nu algemeen beschikbaar. Het aanvalsverhaal biedt het volledige verhaal van de aanval en stelt incidentreactieteams in staat om de details te bekijken en herstel toe te passen.
Er is nu een nieuwe URL en domeinpagina beschikbaar in Microsoft Defender XDR. De bijgewerkte URL- en domeinpagina biedt één plek om alle informatie over een URL of een domein te bekijken, inclusief de reputatie, de gebruikers die erop hebben geklikt, de apparaten die de URL of het domein hebben geopend en e-mailberichten waarin de URL of het domein is gezien. Zie URL's onderzoeken in Microsoft Defender XDR voor meer informatie.
- (GA) Microsoft Defender-experts voor XDR is nu algemeen beschikbaar. Defender-experts voor XDR vergroot je centrum voor beveiligingsbewerkingen door automatisering en de expertise van beveiligingsanalisten van Microsoft te combineren, zodat je bedreigingen met vertrouwen kunt detecteren, erop kunt reageren en je beveiligingspostuur kunt verbeteren. Microsoft Defender-experts voor XDR wordt afzonderlijk van andere Microsoft Defender XDR producten verkocht. Als je een Microsoft Defender XDR-klant bent en geïnteresseerd bent in het aanschaffen van Defender-experts voor XDR, raadpleeg je Overzicht van Microsoft Defender-experts voor XDR.
(GA) Het afstemmen van waarschuwingen is nu algemeen beschikbaar. Met het afstemmen van waarschuwingen kun je waarschuwingen verfijnen om de onderzoekstijd te verkorten, zodat je je kunt richten op het oplossen van waarschuwingen met hoge prioriteit. Het afstemmen van waarschuwingen vervangt de functie Waarschuwingsonderdrukking.
(GA) Automatische onderbreking van aanvallen is nu algemeen beschikbaar. Deze mogelijkheid verstoort automatisch door mensen beheerde ransomware (HumOR), inbreuk op zakelijke e-mailcompromittatie (BEC) en adversary-in-the-middle (AiTM)-aanvallen.
(Preview) Aangepaste functies zijn nu beschikbaar in geavanceerde opsporing. Je kunt nu je eigen aangepaste functies maken, zodat je de querylogica opnieuw kunt gebruiken tijdens het opsporing in je omgeving.
(GA) Het tabblad Unified Assets op de pagina Incidenten is nu algemeen beschikbaar.
Microsoft gebruikt een nieuwe op weer gebaseerde naamgevingstaxonomie voor bedreigingsactoren. Dit nieuwe naamgevingsschema biedt meer duidelijkheid en is gemakkelijker te raadplegen. Meer informatie over de nieuwe taxonomie van bedreigingsacteur.
- (Preview) Microsoft Defender-bedreigingsinformatie (Defender TI) is nu beschikbaar in de Microsoft Defender-portal.
Deze wijziging introduceert een nieuw navigatiemenu in de Microsoft Defender-portal met de naam Bedreigingsinformatie. Meer informatie.
(Preview) Volledige apparaatrapporten voor de
DeviceInfo
-tabel in geavanceerde opsporing worden nu elk uur verzonden (in plaats van de vorige dagelijkse frequentie). Daarnaast worden er ook volledige apparaatrapporten verzonden wanneer er een wijziging is in een eerder rapport. Er zijn ook nieuwe kolommen toegevoegd aan de tabelDeviceInfo
, samen met verschillende verbeteringen in bestaande gegevens in de tabellenDeviceInfo
en DeviceNetworkInfo.(Preview) Aangepaste detectie in bijna realtime is nu beschikbaar voor openbare preview in aangepaste detectie van geavanceerde opsporing. Er is een nieuwe continue frequentie (NRT), waarmee gegevens van gebeurtenissen worden gecontroleerd wanneer ze in bijna realtime worden verzameld en verwerkt.
(Preview) Gedrag in Microsoft Defender for Cloud Apps is nu beschikbaar voor openbare preview. Preview-klanten kunnen nu ook gedrag opsporen in geavanceerde opsporing met behulp van de tabellen BehaviorEntities en BehaviorInfo.
(GA) Het rapport queryresources in geavanceerde opsporing is nu algemeen beschikbaar.
(Preview) De mogelijkheid voor automatische aanvalsonderbreking verstoort nu zakelijke e-mailcompromittatie (BEC).
De nieuwe rapportversie van Microsoft Defender-experts voor opsporing is nu beschikbaar. Met de nieuwe interface van het rapport kunnen klanten nu meer contextuele details krijgen over de verdachte activiteiten die Defender-experts hebben waargenomen in hun omgevingen. Ook wordt weergegeven welke verdachte activiteiten van maand tot maand voortdurend trending zijn. Raadpleeg Inzicht in het rapport Microsoft Defender-experts voor opsporing in Microsoft Defender XDR voor meer informatie.
(GA) Live Reactie is nu algemeen beschikbaar voor macOS en Linux.
(GA) De identiteitstijdlijn is nu algemeen beschikbaar als onderdeel van de nieuwe identiteitspagina in Microsoft Defender XDR. De bijgewerkte gebruikerspagina heeft een nieuw uiterlijk, een uitgevouwen weergave van gerelateerde assets en een nieuw toegewezen tijdlijntabblad. De tijdlijn vertegenwoordigt de activiteiten en waarschuwingen van de afgelopen 30 dagen. Hiermee worden de identiteitsvermeldingen van een gebruiker in alle beschikbare workloads samengevoegd: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Microsoft Defender voor Eindpunt. Als je de tijdlijn gebruikt, kun je je eenvoudig concentreren op de activiteiten van een gebruiker (of activiteiten die op de gebruiker worden uitgevoerd) in specifieke periodes.
- (Preview) Het nieuwe model van Microsoft Defender XDR op rollen gebaseerd toegangsbeheer (RBAC) is nu beschikbaar voor preview. Het nieuwe RBAC-model stelt beveiligingsbeheerders in staat om bevoegdheden voor meerdere beveiligingsoplossingen binnen één systeem centraal te beheren met een grotere efficiëntie, dit wordt momenteel ondersteund voor Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365 en Microsoft Defender for Identity. Het nieuwe model is volledig compatibel met de bestaande afzonderlijke RBAC-modellen die momenteel worden ondersteund in Microsoft Defender XDR. Raadpleeg Microsoft Defender XDR op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
(Preview) Microsoft Defender-experts voor XDR (Defender Experts for XDR) is nu beschikbaar voor preview. Defender-experts voor XDR is een beheerde detectie- en reactieservice waardoor je Security Operations Centers (SOC's) zich kunnen concentreren en nauwkeurig kunnen reageren op incidenten die belangrijk zijn. Het biedt uitgebreide detectie en respons voor klanten die gebruikmaken van Microsoft Defender XDR-workloads: Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Azure Active Directory (Azure AD). Raadpleeg Uitgebreide Microsoft Defender-experts voor XDR preview voor meer informatie.
(Preview) Het queryresourcerapport is nu beschikbaar in geavanceerde opsporing. Het rapport toont het verbruik van CPU-resources voor opsporing in je organisatie op basis van query's die in de afgelopen 30 dagen zijn uitgevoerd met behulp van een van de opsporingsinterfaces. Raadpleeg het rapport Queryresources weergeven om inefficiënte query's te vinden.
- (Preview) De nieuwe mogelijkheid voor automatische aanvalsonderbreking is nu in preview. Deze functie combineert inzichten uit beveiligingsonderzoek met geavanceerde AI-modellen om automatisch aanvallen te beperken. Automatische onderbreking van aanvallen biedt ook meer tijd aan Security Operations Centers (SOC's) om een aanval volledig te herstellen en beperkt de impact van een aanval op organisaties. Deze preview verstoort automatisch ransomware-aanvallen.
(GA) Microsoft Defender-experts voor opsporing is nu algemeen beschikbaar. Als je een Microsoft Defender XDR-klant bent met een robuust centrum voor beveiligingsbewerkingen, maar je wilt dat Microsoft je proactief helpt bij het opsporen van bedreigingen voor eindpunten, Office 365, cloudtoepassingen en identiteit met behulp van Microsoft Defender-gegevens, lees je meer over het toepassen, instellen en gebruiken van de service. Defender-experts voor opsporing wordt afzonderlijk van andere Microsoft Defender XDR producten verkocht.
(Preview) De begeleide modus is nu beschikbaar voor openbare preview in geavanceerde opsporing. Analisten kunnen nu een query uitvoeren op hun database voor eindpunten, identiteiten, e-mail samenwerking en gegevens van cloud-apps zonder dat ze de Kusto-querytaal (KQL) kennen. De begeleide modus biedt een gemakkelijk toe te passen, gebruiksvriendelijke bouwsteenstijl voor het samenstellen van query's via vervolgkeuzelijsten met beschikbare filters en voorwaarden. Raadpleeg Aan de slag met de opbouwfunctie voor query's.
- (Preview) Deelnemers van de openbare preview van Microsoft Defender-experts voor opsporing kunnen nu uitkijken naar de maandelijkse rapporten om inzicht te krijgen in de bedreigingen die de opsporingsservice in hun omgeving heeft gevonden, samen met de waarschuwingen die door hun Microsoft Defender XDR-producten worden gegenereerd. Raadpleeg Het rapport Defender-experts voor opsporing in Microsoft Defender XDR begrijpen voor meer informatie.
(Preview) De tabellen DeviceTvmInfoGathering en DeviceTvmInfoGatheringKB zijn nu beschikbaar in het geavanceerde opsporingsschema. Gebruik deze tabellen om evaluatiegebeurtenissen in Defender Vulnerability Management te doorzoeken, waaronder de status van verschillende configuraties en statussen van de kwetsbaarheid voor aanvallen van apparaten.
De zojuist geïntroduceerde responskaart voor geautomatiseerd onderzoek en in de Microsoft Defender XDR-portal biedt een overzicht van openstaande herstelacties.
Het team voor beveiligingsbewerkingen kan alle acties in afwachting van goedkeuring en de tijd die is ingepland om deze acties goed te keuren op de kaart zelf weergeven. Het beveiligingsteam kan snel naar het actiecentrum navigeren en de juiste herstelacties uitvoeren. De responskaart Geautomatiseerd onderzoek bevat ook een koppeling naar de pagina Volledige automatisering. Hierdoor kan het team voor beveiligingsbewerkingen waarschuwingen effectief beheren en herstelacties tijdig voltooien.
- (Preview) In overeenstemming met de onlangs aangekondigde uitbreiding naar een nieuwe servicecategorie met de naam Microsoft Security-experts, introduceren we de beschikbaarheid van Microsoft Defender-experts voor opsporing (Defender Experts for Hunting) voor openbare preview. Defender-experts voor opsporing is bedoeld voor klanten die een robuust centrum voor beveiligingsbewerkingen hebben, maar willen dat Microsoft hen helpt proactief bedreigingen op te sporen in Microsoft Defender-gegevens, waaronder eindpunten, Office 365, cloudtoepassingen en identiteit.
(Preview) Er kunnen nu acties worden uitgevoerd op e-mailberichten die rechtstreeks vanuit queryresultaten komen. E-mailberichten kunnen worden verplaatst naar andere mappen of definitief worden verwijderd.
(Preview) De nieuwe
UrlClickEvents
-tabel in geavanceerde opsporing kan worden gebruikt om bedreigingen zoals phishingcampagnes en verdachte koppelingen op te sporen op basis van informatie die afkomstig is van klikken op veilige koppelingen in e-mailberichten, Microsoft Teams en Office 365-apps.
- (Preview) De wachtrij voor incidenten is uitgebreid met verschillende functies die zijn ontworpen om je onderzoeken vooruit te helpen. Verbeteringen omvatten mogelijkheden zoals het zoeken naar incidenten op id of naam, het opgeven van een aangepast tijdsbereik en meer.
- (GA) De tabel
DeviceTvmSoftwareEvidenceBeta
is op korte termijn toegevoegd tijdens geavanceerde opsporing, zodat je kunt zien waar specifieke software op een apparaat is gedetecteerd.
(Preview) De functie App-governance-invoegtoepassing voor Defender for Cloud Apps is nu beschikbaar in Microsoft Defender XDR. App-governance biedt een mogelijkheid voor beveiligings- en beleidsbeheer die is ontworpen voor OAuth-apps die toegang hebben tot Microsoft 365-gegevens via Microsoft Graph-API's. App-beheer biedt volledig inzicht, herstel en beheer van hoe deze apps en hun gebruikers toegang krijgen tot uw gevoelige gegevens die zijn opgeslagen in Microsoft 365, hoe ze deze gebruiken en delen via bruikbare inzichten en geautomatiseerde beleidswaarschuwingen en -acties. Meer informatie over app-governance.
(Preview) De pagina geavanceerde opsporing heeft nu ondersteuning voor meerdere tabbladen, slim schuiven, gestroomlijnde schematabbladen, snelle bewerkingsopties voor query's, een indicator voor het gebruik van querybronnen en andere verbeteringen om het uitvoeren van query's soepeler en gemakkelijker af te stemmen.
(Preview) U kunt nu de functie Koppeling naar incident gebruiken om gebeurtenissen of records uit de resultaten van de geavanceerde opsporingsquery op te nemen in een nieuw of bestaand incident dat u onderzoekt.
- (GA) In geavanceerde opsporing zijn meer kolommen toegevoegd aan de tabel CloudAppEvents. Je kunt nu
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
IPCategory
enUserAgentTags
toevoegen aan je query's.
(GA) Microsoft Defender voor Office 365-gebeurtenisgegevens is beschikbaar in de Microsoft Defender XDR-API voor gebeurtenisstreaming. Je kunt de beschikbaarheid en status van gebeurtenistypen weergeven in de ondersteunde Microsoft Defender XDR-API voor gebeurtenistypen in streaming.
(GA) Microsoft Defender voor Office 365-gegevens die beschikbaar is in geavanceerde opsporing is nu algemeen beschikbaar.
(GA) Incidenten en waarschuwingen toewijzen aan gebruikersaccounts
Je kunt een incident en alle bijbehorende waarschuwingen toewijzen aan een gebruikersaccount via Toewijzen aan: in het deelvenster Incident beheren van een incident of in het deelvenster Waarschuwing beheren van een waarschuwing.
(Preview) Microsoft Defender voor Office 365-gegevens die beschikbaar zijn in geavanceerde opsporing
Nieuwe kolommen in e-mailtabellen kunnen meer inzicht bieden in bedreigingen op basis van e-mail voor grondiger onderzoek met behulp van geavanceerde opsporing. Je kunt de kolom
AuthenticationDetails
nu opnemen in EmailEvents,FileSize
in EmailAttachmentInfo enThreatTypes
enDetectionMethods
in de tabellen EmailPostDeliveryEvents.(Preview) Incidentgrafiek
Een nieuw tabblad Graph op het tabblad Samenvatting van een incident geeft het volledige bereik van de aanval weer, hoe de aanval zich in de loop van de tijd verspreidt over je netwerk, waar deze is begonnen en hoe ver de aanvaller is gegaan.
Catalogus met professionele services
Verbeter de mogelijkheden voor detectie, onderzoek en bedreigingsinformatie van het platform met ondersteunde partnerverbindingen.
(Preview) Rapporten per bedreigingslabel weergeven
Met behulp van bedreigingslabels kunt je je concentreren op specifieke bedreigingscategorieën en de meest relevante rapporten bekijken.
(Preview) Streaming-API
Microsoft Defender XDR ondersteunt het streamen van alle gebeurtenissen die beschikbaar zijn via Geavanceerde opsporing naar een opslagaccount van Event Hubs en/of Azure.
(Preview) Actie ondernemen met geavanceerde opsporing
Bedreigingen snel inperken of gecompromitteerde assets aanpakken die je vindt in geavanceerde opsporing.
(Preview) Schemaverwijzing in de portal
Informatie ophalen over schematabellen voor geavanceerde opsporing rechtstreeks in het beveiligingscentrum. Naast de tabel- en kolombeschrijvingen biedt deze handige referentie informatie over ondersteunde gebeurtenistypen (
ActionType
-waarden) en sample-query's.(Preview) Functie DeviceFromIP()
Informatie ophalen over welke apparaten een specifiek IP-adres of specifieke IP-adressen toegewezen hebben gekregen in een bepaald tijdsbereik.
Nieuwe waarschuwingspagina in de Microsoft Defender-portal
Hiermee wordt verbeterde informatie voor de context van een aanval geboden. U kunt zien welke andere geactiveerde waarschuwing de huidige waarschuwing heeft veroorzaakt en alle betrokken entiteiten en activiteiten die bij de aanval betrokken zijn, inclusief bestanden, gebruikers en postvakken. Raadpleeg Waarschuwingen onderzoeken voor meer informatie.
Trendgrafiek voor incidenten en waarschuwingen in de Microsoft Defender-portal
Bepaal of er meerdere waarschuwingen zijn voor één incident of dat je organisatie wordt aangevallen met verschillende incidenten. Raadpleeg Prioriteit geven aan incidenten voor meer informatie.
Microsoft Defender XDR
De verbeterde Microsoft Defender XDR-portal is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender for Office 365, Defender for Identity en meer samen in één portal. Dit is de nieuwe thuisbasis voor het beheren van je beveiligingscontroles. Ontdek wat er nieuw is.
Rapport van Microsoft Defender XDR-bedreigingsanalyse
Met bedreigingsanalyse kun je reageren op actieve aanvallen en de impact ervan minimaliseren. Je kunt ook meer te weten komen over aanvalspogingen die zijn geblokkeerd door Microsoft Defender XDR-oplossingen en preventieve acties ondernemen die het risico op verdere blootstelling beperken en de tolerantie vergroten. Als onderdeel van de geïntegreerde beveiligingservaring is bedreigingsanalyse nu beschikbaar voor licentiehouders van Microsoft Defender voor Eindpunt en Microsoft Defender voor Office E5.
-
Vind informatie over gebeurtenissen in verschillende cloud-apps en -services die worden gedekt door Microsoft Defender for Cloud Apps. Deze tabel bevat ook informatie die eerder beschikbaar was in de tabel
AppFileEvents
.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.