Novidades no Microsoft Defender XDR
Lista os novos recursos e funcionalidades do Microsoft Defender XDR.
Para obter mais informações sobre as novidades do Microsoft Sentinel e de outros produtos de segurança do Microsoft Defender, confira:
- Novidades no Microsoft Defender para Office 365
- Novidades no Microsoft Defender para Ponto de Extremidade
- Novidades do Microsoft Defender para Identidade
- Novidades no Microsoft Defender para Aplicativos em Nuvem
- Novidades do Microsoft Sentinel
Você também pode receber atualizações de produtos e notificações importantes por meio da central de mensagens.
- (Pré-visualização) Os caminhos de ataque no gráfico de incidentes estão agora disponíveis no portal Microsoft Defender. A história do ataque inclui agora potenciais caminhos de ataque que mostram os caminhos que os atacantes podem potencialmente seguir depois de comprometer um dispositivo. Esta funcionalidade ajuda-o a priorizar os seus esforços de resposta. Para obter mais informações, veja caminhos de ataque na história do ataque.
- (Pré-visualização) Microsoft Defender XDR clientes podem agora exportar dados de incidentes para PDF. Utilize os dados exportados para capturar e partilhar facilmente dados de incidentes com outros intervenientes. Para obter detalhes, confira Exportar dados de incidentes para PDF.
- (GA) A última coluna de hora da atualização na fila de incidentes está agora disponível para o público.
- (Pré-visualização) As ações de investigação e resposta nativas da cloud estão agora disponíveis para alertas relacionados com contentores no portal do Microsoft Defender. Os analistas do Centro de Operações de Segurança (SOC) podem agora investigar e responder a alertas relacionados com contentores em tempo quase real com ações de resposta nativa da cloud e registos de investigação para investigar atividades relacionadas. Para obter mais informações, veja Investigar e responder a ameaças de contentor no portal do Microsoft Defender.
- (GA) O
arg()
operador na investigação avançada no portal do Microsoft Defender está agora disponível em geral. Os utilizadores podem agora utilizar o operador arg() para consultas de Resource Graph do Azure para procurar recursos do Azure e já não precisam de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador, se já estiver no Microsoft Defender. - (Pré-visualização) A tabela CloudProcessEvents está agora disponível para pré-visualização na investigação avançada. Contém informações sobre eventos de processo em ambientes alojados em várias clouds. Pode utilizá-lo para detetar ameaças que podem ser observadas através de detalhes do processo, como processos maliciosos ou assinaturas de linha de comandos.
- (Pré-visualização) A migração de consultas de deteção personalizadas para a frequência Contínua (quase em tempo real ou NRT) está agora disponível para pré-visualização na investigação avançada. A utilização da frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. Tem um impacto mínimo ou nenhum na utilização de recursos e, por conseguinte, deve ser considerado para qualquer regra de deteção personalizada qualificada na sua organização. Pode migrar consultas KQL compatíveis ao seguir os passos em Frequência contínua (NRT).
- As funções RBAC Unificadas da Microsoft são adicionadas com novos níveis de permissão para os clientes Especialistas em Ameaças da Microsoft utilizarem a funcionalidade Pergunte aos especialistas do Defender.
- (Pré-visualização) Na investigação avançada, Microsoft Defender utilizadores do portal podem agora utilizar o operador arg() para consultas de Resource Graph do Azure para procurar recursos do Azure. Já não precisa de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador se já estiver no Microsoft Defender.
- (GA) O pesquisa global para entidades no portal do Microsoft Defender está agora disponível em geral. A página de resultados de pesquisa melhorada centraliza os resultados de todas as entidades. Para obter mais informações, veja Pesquisa global no portal do Microsoft Defender.
- (GA) O Copilot no Defender inclui agora a capacidade de resumo de identidades, fornecendo informações instantâneas sobre o nível de risco de um utilizador, atividade de início de sessão e muito mais. Para obter mais informações, veja Summarize identity information with Copilot in Defender (Resumir informações de identidade com o Copilot no Defender).
- Informações sobre Ameaças do Microsoft Defender clientes podem agora ver os artigos de informações sobre ameaças em destaque mais recentes na home page do portal do Microsoft Defender. A página intel explorer tem agora também um resumo de artigos que os notifica do número de novos artigos do Defender TI publicados desde a última vez que acederam ao portal do Defender.
- Microsoft Defender XDR permissões RBAC unificadas são adicionadas para submeter inquéritos e ver respostas de especialistas Microsoft Defender. Também pode ver respostas a inquéritos submetidos a Pergunte aos Especialistas do Defender através dos seus endereços de e-mail listados ao submeter a sua consulta ou no portal do Defender ao navegar para mensagens de Relatórios>de Especialistas do Defender.
- (GA) Os painéis de contexto de investigação avançados estão agora disponíveis em mais experiências. Isto permite-lhe aceder à funcionalidade de investigação avançada sem sair do fluxo de trabalho atual.
- Para incidentes e alertas gerados por regras de análise, pode selecionar Executar consulta para explorar os resultados da regra de análise relacionada.
- No passo Definir lógica da regra de análise do assistente de regras de análise, pode selecionar Ver resultados da consulta para verificar os resultados da consulta que está prestes a definir.
- No relatório de recursos de consulta, pode ver qualquer uma das consultas ao selecionar as reticências na linha de consulta e selecionar Abrir no editor de consultas.
- Para entidades de dispositivos envolvidas em incidentes ou alertas, a opção Go hunt também está disponível como uma das opções depois de selecionar os três pontos no painel do lado do dispositivo.
- (Pré-visualização) Microsoft Sentinel dados estão agora disponíveis com Defender XDR dados na gestão multi-inquilino Microsoft Defender. Apenas um Microsoft Sentinel área de trabalho por inquilino é atualmente suportado na plataforma de operações de segurança unificada da Microsoft. Assim, Microsoft Defender gestão multi-inquilino mostra dados de gestão de informações e eventos de segurança (SIEM) de uma área de trabalho Microsoft Sentinel por inquilino. Para obter mais informações, veja Microsoft Defender gestão e Microsoft Sentinel multi-inquilinosno portal do Microsoft Defender.
- Para garantir uma experiência suave ao navegar no portal do Microsoft Defender, configure a firewall de rede ao adicionar os endereços adequados à sua lista de permissões. Para obter mais informações, veja Configuração da firewall de rede para Microsoft Defender XDR.
Os incidentes com alertas em que um dispositivo comprometido comunicado com um dispositivo de tecnologia operacional (OT) estão agora visíveis no portal do Microsoft Defender através do Microsoft Defender da licença IoT e das capacidades de deteção de dispositivos do Defender para Endpoint. Ao utilizar dados do Defender para Endpoint, Defender XDR correlaciona automaticamente estes novos alertas de OT com incidentes para fornecer uma história de ataque abrangente. Para filtrar incidentes relacionados, veja Priorizar incidentes no portal do Microsoft Defender.
(GA) A filtragem de Microsoft Defender para alertas da Cloud pelo ID de subscrição de alerta associado nas filas Incidentes e Alertas está agora disponível em geral. Para obter mais informações, veja Microsoft Defender para a Cloud no Microsoft Defender XDR.
(GA) A plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender está geralmente disponível. Essa versão reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender. Para obter mais informações, consulte os seguintes recursos:
Mensagem de blogue: Disponibilidade geral da plataforma de operações de segurança unificada da Microsoft
(Pré-visualização) Agora, pode personalizar colunas nas filas Incidentes e Alertas no portal do Microsoft Defender. Pode adicionar, remover e reordenar colunas para apresentar as informações de que precisa. Para obter mais informações, veja como personalizar colunas na fila de incidentes e na fila de alertas.
(Pré-visualização) Os recursos críticos fazem agora parte das etiquetas nas filas de incidentes e alertas. Quando um recurso crítico está envolvido num incidente ou alerta, a etiqueta de recurso crítico é apresentada nas filas. Para obter mais informações, veja etiquetas de incidentes e a fila de alertas.
(Pré-visualização) Os incidentes estão agora organizados de acordo com as atualizações automáticas ou manuais mais recentes efetuadas a um incidente. Leia sobre a coluna hora da última atualização na fila de incidentes.
(GA) Os recursos do hub de aprendizagem passaram do portal do Microsoft Defender para o learn.microsoft.com. Aceda Microsoft Defender XDR formação Ninja, percursos de aprendizagem, módulos de formação e muito mais. Procure na lista de percursos de aprendizagem e filtre por produto, função, nível e assunto.
(GA) A tabela UrlClickEvents na investigação avançada está agora disponível em geral. Utilize esta tabela para obter informações sobre ligações seguras cliques a partir de mensagens de e-mail, Microsoft Teams e aplicações Office 365 em aplicações de ambiente de trabalho, móveis e Web suportadas.
(GA) Agora, pode libertar ou mover mensagens de e-mail da quarentena para a caixa de entrada do utilizador diretamente a partir de Efetuar ações na investigação avançada e em deteções personalizadas. Isto permite que os operadores de segurança giram falsos positivos de forma mais eficiente e sem perder o contexto.
(Pré-visualização) A distribuição de conteúdos através de grupos de inquilinos na gestão multi-inquilino está agora disponível. A distribuição de conteúdos ajuda-o a gerir conteúdos em escala entre inquilinos na gestão multi-inquilino no Microsoft Defender XDR. Na distribuição de conteúdos, pode criar grupos de inquilinos para copiar conteúdos existentes, como regras de deteção personalizadas, do inquilino de origem para os inquilinos de destino que atribuir durante a criação do grupo de inquilinos. Em seguida, o conteúdo é executado nos dispositivos ou grupos de dispositivos do inquilino de destino que definiu no âmbito do grupo de inquilinos.
(Pré-visualização) Agora, pode filtrar os seus Microsoft Defender para alertas da Cloud pelo ID de subscrição de alerta associado nas filas Incidentes e Alertas. Para obter mais informações, veja Microsoft Defender para a Cloud no Microsoft Defender XDR.
(GA) Agora, pode filtrar os seus resultados na investigação avançada para que possa restringir a sua investigação em dados específicos nos quais pretende focar-se.
(Pré-visualização) Os analistas de segurança podem agora investigar o risco interno de um utilizador no portal do Microsoft Defender com gravidade de risco interno e informações disponíveis para Microsoft Defender XDR utilizadores com acesso aprovisionado a Gerenciamento de Risco Interno do Microsoft Purview. Veja os detalhes da entidade na página do utilizador para obter mais informações.
(GA) A página de políticas de segurança de ponto final está agora disponível na gestão multi-inquilino no Microsoft Defender XDR. Crie, edite e elimine políticas de segurança para os dispositivos dos inquilinos a partir da página Políticas de segurança de ponto final. Para obter mais informações, veja Políticas de segurança de ponto final na gestão multi-inquilino.
Crie regras de otimização de alertas com a Gravidade do alerta e os valores de título do Alerta como condições. A otimização de alertas pode ajudá-lo a simplificar a fila de alertas, a poupar tempo de triagem ao ocultar ou resolver alertas automaticamente, sempre que ocorrer um determinado comportamento organizacional esperado e as condições das regras forem cumpridas. Para obter mais informações, veja Otimizar um alerta.
(Pré-visualização) Ative as opções de pré-visualização no main definições do Microsoft 365 Defender juntamente com outras funcionalidades de pré-visualização do Microsoft 365 Defender. Os clientes que ainda não estão a utilizar funcionalidades de pré-visualização continuarão a ver as definições legadas em Definições Pontos Finais > Funcionalidades avançadas Funcionalidades >> de pré-visualização. Para obter mais informações, consulte Funcionalidades de pré-visualização do Microsoft 365 Defender.
(Pré-visualização) A página otimizações do SOC no portal Microsoft Defender está agora disponível com a plataforma de operações de segurança unificada. Integre Microsoft Defender XDR e Microsoft Sentinel e utilize otimizações SOC para otimizar processos e resultados, sem que as suas equipas soc despendam tempo em análises e pesquisas manuais. Para saber mais, confira:
(Pré-visualização) A pesquisa no portal do Microsoft Defender inclui agora a capacidade de procurar dispositivos e utilizadores no Microsoft Sentinel. Utilize a barra de pesquisa para procurar incidentes, alertas e outros dados em Microsoft Defender XDR e Microsoft Sentinel. Para obter mais informações, consulte Procurar no Microsoft Defender.
(Pré-visualização) A tabela CloudAuditEvents está agora disponível na investigação avançada. Isto permite-lhe investigar eventos de auditoria na cloud no Microsoft Defender para a Cloud e criar deteções personalizadas para ver atividades suspeitas do plano de controlo do Azure Resource Manager e kubernetes (KubeAudit).
(GA) A eliminação recuperável automática da cópia do remetente quando a Eliminação recuperável é selecionada como uma ação para mensagens de e-mail está agora disponível no assistente Tomar ações na investigação avançada. Esta nova funcionalidade simplifica o processo de gestão de Itens enviados, em particular os administradores que utilizam a eliminação recuperável e mover para ações da caixa de entrada . Leia Tomar medidas em e-mails para obter detalhes.
(Pré-visualização) Agora, pode consultar Microsoft Sentinel dados com a API de consulta de investigação avançada. Pode utilizar o
timespan
parâmetro para consultar Defender XDR e Microsoft Sentinel dados que tenham uma retenção de dados mais longa do que a predefinição Defender XDR de 30 dias.(Pré-visualização) No portal de Microsoft Defender unificado, agora pode criar deteções personalizadas na consulta de dados que abrangem Microsoft Sentinel e Defender XDR tabelas. Leia Criar análises personalizadas e regras de deteção para obter mais informações.
(Versão Prévia) A plataforma de operações de segurança unificada no portal do Microsoft Defender já está disponível. Essa versão reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender. Para obter mais informações, consulte os seguintes recursos:
(GA) O Microsoft Copilot no Microsoft Defender já está em disponibilidade geral. O Copilot no Defender ajudará você a investigar e responder a incidentes com mais rapidez e eficiência. O Copilot fornece respostas orientadas, resumos de incidentes e relatórios, ajuda-o a criar consultas KQL para investigar ameaças, fornecer análises de ficheiros e scripts e permitir-lhe resumir informações sobre ameaças relevantes e acionáveis.
Os clientes do Copilot no Defender agora podem exportar dados de incidentes para PDF. Use os dados exportados para compartilhar facilmente dados de incidentes, facilitando discussões com suas equipes de segurança e outros stakeholders. Para obter detalhes, confira Exportar dados de incidentes para PDF.
As notificações no portal do Microsoft Defender já estão disponíveis. No lado superior direito do portal do Defender, selecione o ícone de sino para exibir todas as notificações ativas. Saiba mais sobre as notificações no portal do Microsoft Defender.
A coluna
AzureResourceId
, que mostra o identificador exclusivo do recurso do Azure associado a um dispositivo, agora está disponível na tabela DeviceInfo na busca avançada.
(GA) O Modo Escuro já está disponível no portal do Microsoft Defender. No portal do Defender, no lado superior direito da página inicial, selecione Modo Escuro. Selecione Modo Claro para alterar o modo de cor de volta para o padrão.
(GA) A atribuição de gravidade a incidentes, a atribuição de um incidente a um grupo e a opção go hunt do grafo de histórico de ataques já estão disponíveis em disponibilidade geral. Os guias para saber como atribuir ou alterar a gravidade do incidente e atribuir um incidente a um grupo estão na página Gerenciar incidentes. Saiba como você pode usar a opção go hunt explorando o histórico de ataques.
(Versão Prévia) As regras de detecção personalizadas na API de Segurança do Microsoft Graph já estão disponíveis. Crie regras de detecção personalizadas de busca avançada de ameaças específicas para sua organização para monitorar proativamente as ameaças e tomar medidas.
Aviso
A versão 2024-02 da plataforma causa resultados inconsistentes para clientes de controle de dispositivo usando políticas de mídia removíveis somente com acesso no nível de disco/dispositivo (máscaras menores ou iguais a 7). A imposição pode não funcionar conforme o esperado. Para atenuar esse problema, é recomendável reverter para a versão anterior da plataforma do Defender.
O Defender Boxed está disponível por um período limitado. O Defender Boxed destaca os sucessos, melhorias e ações de resposta de segurança de sua organização durante 2023. Reserve um momento para comemorar as melhorias na postura de segurança de sua organização, a resposta geral às ameaças detectadas (manuais e automáticas), emails bloqueados e muito mais.
- O Defender Boxed é aberto automaticamente ao acessar a página Incidentes no portal do Microsoft Defender.
- Se você fechar o Defender Boxed e quiser reabri-lo, no portal do Microsoft Defender, vá para Incidentese selecione Seu Defender Boxed.
- Aja rapidamente! O Defender Boxed está disponível apenas por um curto período de tempo.
Os Especialistas do Defender para XDR agora permitem que você receba notificações de resposta gerenciada e atualizações usando o Teams. Você também pode conversar com os Especialistas do Defender sobre incidentes em que a resposta gerenciada é emitida.
(GA) A nova funcionalidade nos filtros disponíveis da fila de incidentes já está em disponibilidade geral. Priorize incidentes de acordo com seus filtros preferenciais criando conjuntos de filtros e salvando consultas de filtro. Saiba mais sobre filtros de filas de incidentes em Filtros disponíveis.
(GA) A integração de alertas do Microsoft Defender para Nuvem com o Microsoft Defender XDR já está em disponibilidade geral. Saiba mais sobre a integração do Microsoft Defender para Nuvem no Microsoft Defender XDR.
(GA) O log de atividades agora está disponível em uma página de incidentes. Use o log de atividades para exibir todas as auditorias e comentários e adicionar comentários ao log de um incidente. Para obter detalhes, confira Log de atividades.
(Versão Prévia) O histórico de consultas na busca avançada já está disponível. Agora você pode executar novamente ou refinar consultas executadas recentemente. Até 30 consultas nos últimos 28 dias podem ser carregadas no painel de histórico de consultas.
(Versão Prévia) Os recursos adicionais que você pode usar para fazer drill down mais aprofundado dos resultados da consulta na busca avançada já estão disponíveis.
O controle de acesso baseado em função (RBAC) unificado do Microsoft Defender XDR já está em disponibilidade geral. O RBAC unificado permite que os administradores gerenciem permissões de usuário em diferentes soluções de segurança de um único local centralizado. Essa oferta também está disponível para clientes do GCC Moderado. Para saber mais, confira Controle de acesso baseado em função (RBAC) unificado do Microsoft Defender XDR.
Os Especialistas do Microsoft Defender para XDR agora permitem excluir dispositivos das ações de correção executadas por nossos especialistas e, em vez disso, obter diretrizes de correção para essas entidades.
A fila de incidentes do portal do Microsoft Defender atualizou filtros, pesquisa e adicionou uma nova função na qual você pode criar seus próprios conjuntos de filtros. Para obter detalhes, confira Filtros disponíveis.
Agora você pode atribuir incidentes a um grupo de usuários ou a outro usuário. Para obter detalhes, confira Atribuir um incidente.
Os Especialistas do Microsoft Defender para Busca agora permitem gerar exemplos de Notificações de Especialistas do Defender para que você possa começar a experimentar o serviço sem precisar esperar que uma atividade crítica real ocorra em seu ambiente. Saiba Mais
(Versão Prévia) Os alertas do Microsoft Defender para Nuvem agora estão integrados ao Microsoft Defender XDR. Os alertas do Defender para Nuvem são correlacionados automaticamente a incidentes e alertas no portal do Microsoft Defender e os ativos de recursos de nuvem podem ser exibidos nas filas de incidentes e alertas. Saiba mais sobre a integração do Defender para Nuvem no Microsoft Defender XDR.
(Versão Prévia) O Microsoft Defender XDR agora tem tecnologia contra atividade enganosa integrada para proteger seu ambiente contra ataques de alto impacto que usam movimento lateral operado por humanos. Saiba mais sobre o recurso contra atividade enganosa e como configurar o recurso contra atividade enganosa.
Os Especialistas do Microsoft Defender para XDR agora permite que você execute sua própria avaliação de preparação ao preparar o ambiente para o serviço de Especialistas do Defender Experts para XDR.
(Versão Prévia) Agora você pode receber notificações por email sobre ações manuais ou automatizadas realizadas no Microsoft Defender XDR. Saiba como configurar notificações por email para ações de resposta manuais ou automatizadas realizadas no portal. Para obter detalhes, confira Obter notificações por email para ações de resposta no Microsoft Defender XDR.
(Versão Prévia) O Copilot da Segurança da Microsoft no Microsoft Defender XDR já está em versão prévia. Os usuários do Microsoft Defender XDR podem aproveitar os recursos do Copilot da Segurança para resumir incidentes, analisar scripts e códigos, usar respostas guiadas para resolver incidentes, gerar consultas KQL e criar relatórios de incidentes no portal. O Copilot da Segurança está em uma versão prévia somente para convidados. Saiba mais sobre o Copilot da Segurança nas Perguntas frequentes do programa de acesso antecipado do Copilot da Segurança da Microsoft.
- (Versão Prévia) Detecções personalizadas usando dados do Microsoft Defender para Identidade e do Microsoft Defender para Aplicativos de Nuvem, especificamente as tabelas
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
eIdentityQueryEvents
tabelas agora podem ser executadas em quase frequência contínua (NRT) em tempo real.
Guias para responder ao seu primeiro incidente para novos usuários já estão disponíveis. Entenda os incidentes e aprenda a fazer triagem e priorizar, analisar seu primeiro incidente usando tutoriais e vídeos e remediar ataques compreendendo as ações disponíveis no portal.
(Versão Prévia) Gerenciamento de regras de ativos – Regras dinâmicas para dispositivos agora está em versão preliminar pública. As regras dinâmicas podem ajudar a gerenciar o contexto do dispositivo, atribuindo macas e valores de dispositivo automaticamente com base em determinados critérios.
(Pré-visualização) A tabela DeviceInfo na investigação avançada inclui agora também as colunas
DeviceManualTags
eDeviceDynamicTags
a pré-visualização pública para apresentar etiquetas atribuídas manualmente e dinamicamente relacionadas com o dispositivo que está a investigar.O recurso Resposta guiada no Especialistas do Microsoft Defender para XDR foi renomeado para Resposta gerenciada. Também adicionamos uma nova seção de perguntas frequentes sobre atualizações de incidentes.
(GA) A história de ataque em incidentes já está disponível para o público geral. A história do ataque fornece a história completa do ataque e permite que as equipes de resposta a incidentes exibem os detalhes e apliquem a correção.
Uma nova URL e página de domínio já estão disponíveis no Microsoft Defender XDR. A página atualizada de URL e domínio fornece um único local para exibir todas as informações sobre um URL ou domínio, incluindo sua reputação, os usuários que clicaram nele, os dispositivos que o acessaram e os emails onde a URL ou domínio foi visto. Para obter detalhes, confira Investigar URLs no Microsoft Defender XDR.
- (GA) O Especialistas do Microsoft Defender para XDR já está disponível para o público geral. O Defender Experts for XDR aumenta seu centro de operações de segurança combinando automação e a experiência de analista de segurança da Microsoft, ajudando você a detectar e responder a ameaças com confiança e a melhorar sua postura de segurança. Os Especialistas do Microsoft Defender para XDR são vendidos separadamente de outros produtos do Microsoft Defender XDR. Se você for cliente do Microsoft Defender XDR e estiver interessado em adquirir os Especialistas do Defender para XDR, confira Visão geral do Especialistas do Microsoft Defender para XDR.
(GA) O ajuste de alertas agora está disponível para todos. O ajuste de alertas permite ajustar alertas para reduzir o tempo de investigação e focar na resolução de alertas de alta prioridade. O ajuste de alerta substitui o recurso de supressão de alerta.
(GA) A interrupção automática de ataques já está disponível para todos. Esse recurso interrompe automaticamente ataques de ransomware operado por humanos (HumOR), comprometimento de email empresarial (BEC) e ataques de adversário intermediário (AiTM).
(Versão Prévia) Funções personalizadas agora estão disponíveis na busca avançada de ameaças. Agora você pode criar suas próprias funções personalizadas para poder reutilizar qualquer lógica de consulta ao pesquisar em seu ambiente.
(GA) A guia Ativos unificados na página Incidentes agora está disponível para todos.
A Microsoft está usando uma nova taxonomia de nomenclatura baseada no clima para agentes de ameaças. Esse novo esquema de nomenclatura fornecerá mais clareza e será mais fácil de consultar. Saiba mais sobre a taxonomia do novo ator de ameaças.
- (Versão Prévia) As Informações sobre Ameaças do Microsoft Defender (Defender TI) já está disponível no portal do Microsoft Defender.
Essa alteração introduz um novo menu de navegação no portal do Microsoft Defender chamado Informações sobre Ameaças. Saiba mais.
(Versão Prévia) Relatórios completos de dispositivos para a
DeviceInfo
tabela na busca avançada de ameaças agora são enviados a cada hora (em vez da cadência diária anterior). Além disso, os relatórios completos do dispositivo também são enviados sempre que ocorrer uma alteração a qualquer relatório anterior. Novas colunas também foram adicionadas à tabelaDeviceInfo
, juntamente com diversas melhorias nos dados existentes nas tabelasDeviceInfo
e DeviceNetworkInfo.(Versão Prévia) A detecção personalizada quase em tempo real agora está disponível para versão preliminar pública em detecções personalizadas de busca avançada de ameaças. Existe uma nova frequência Contínua (NRT), que verifica os dados dos eventos à medida que são recolhidos e processados quase em tempo real.
(Versão Prévia) Comportamentos no Microsoft Defender para Aplicativos em Nuvem agora estão disponíveis para versão preliminar pública. Os clientes de versão prévia agora também podem procurar comportamentos na busca avançada de ameaças usando as tabelas BehaviorEntities e BehaviorInfo.
(GA) O relatório de recursos de consulta na busca avançada de ameaças já está disponível para todos.
(Versão Prévia) O recurso de interrupção automática de ataques agora interrompe o comprometimento de email empresarial (BEC).
A nova versão do relatório do Especialistas do Defender para Busca já está disponível. A nova interface do relatório agora permite que os clientes tenham mais detalhes contextuais sobre as atividades suspeitas que os Especialistas do Defender observaram em seus ambientes. Ele também mostra quais atividades suspeitas têm sido continuamente populares de mês a mês. Para obter detalhes, confira o relatório Entenda os Especialistas do Defender para Busca no Microsoft Defender XDR.
(GA) A Resposta Imediata agora está disponível para macOS e Linux.
(GA) A linha do tempo da identidade agora está disponível como parte da nova página Identidade no Microsoft Defender XDR. A página do Usuário atualizada tem uma nova aparência, um modo de exibição expandido dos ativos relacionados e uma nova guia de linha do tempo dedicada. A linha do tempo representa atividades e alertas dos últimos 30 dias. Ele unifica as entradas de identidade de um usuário em todas as cargas de trabalho disponíveis: Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Ponto de Extremidade. Usar a linha do tempo ajuda você a se concentrar facilmente nas atividades de um usuário (ou nas atividades realizadas nele) em intervalos de tempo específicos.
- (Versão Prévia) O novo modelo de controle de acesso baseado em função (RBAC) do Microsoft Defender XDR já está disponível para versão prévia. O novo modelo RBAC permite que os administradores de segurança gerenciem centralmente privilégios em várias soluções de segurança em um único sistema com maior eficiência, atualmente com suporte ao Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365 e Microsoft Defender para Identidade. O novo modelo é totalmente compatível com os modelos RBAC individuais existentes atualmente com suporte no Microsoft Defender XDR. Para obter mais informações, confira Controle de acesso baseado em função (RBAC) do Microsoft Defender XDR.
(Versão Prévia) O Especialistas do Microsoft Defender para XDR (Especialistas do Defender para XDR) já está disponível para versão prévia. Os Especialistas do Defender para XDR é um serviço gerenciado de detecção e resposta que ajuda seus centros de operações de segurança (SOCs) a se concentrarem e a responderem com precisão a incidentes importantes. Ele fornece detecção e resposta estendida para clientes que usam cargas de trabalho do Microsoft Defender XDR: Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Azure Active Directory (Azure AD). Para obter detalhes, consulte Versão Prévia expandida do Especialistas do Microsoft Defender para XDR.
(Versão Prévia) O relatório de recursos de consulta agora está disponível na busca avançada de ameaças. O relatório mostra o consumo de recursos de CPU da sua organização para busca com base em consultas executadas nos últimos 30 dias usando qualquer uma das interfaces de caça. Consulte Exibir relatório de recursos de consulta para encontrar consultas ineficientes.
- (Versão Prévia) O novo recurso de interrupção automática de ataques está agora em versão prévia. Esse recurso combina insights de pesquisas de segurança e modelos avançados de IA para conter automaticamente ataques em andamento. A interrupção automática de ataques também proporciona mais tempo aos centros de operações de segurança (SOCs) para remediar totalmente um ataque e limita o impacto de um ataque nas organizações. Essa versão prévia interrompe automaticamente os ataques de ransomware.
(GA) O Especialistas do Defender para Busca já está disponível para o público geral. Se você é um cliente do Microsoft Defender XDR com um centro de operações de segurança robusto, mas quer que a Microsoft lhe ajude a procurar proativamente ameaças em pontos de extremidade, Office 365, aplicativos em nuvem e identidade usando dados do Microsoft Defender, saiba mais sobre como aplicar, configurar e usar o serviço. Os Especialistas do Defender para Busca são vendidos separadamente de outros produtos do Microsoft Defender XDR.
(Versão Prévia) O modo guiado agora está disponível para versão preliminar pública na busca avançada de ameaças. Os analistas agora podem começar a consultar seus bancos de dados para obter dados de pontos de extremidade, identidades, email e colaboração e aplicativos em nuvem sem conhecer a Kusto Query Language (KQL). O modo guiado apresenta um estilo de construção de consultas amigável e fácil de usar por meio de menus suspensos contendo filtros e condições disponíveis. Consulte Introdução ao criador de consultas.
- (Versão Prévia) Os participantes da visualização pública dos Especialistas do Microsoft Defender para Busca agora podem esperar receber relatórios mensais para ajudá-los a entender as ameaças que o serviço de busca detectou em seu ambiente, juntamente com os alertas gerados por seus produtos do Microsoft Defender XDR. Para obter detalhes, veja Entenda o relatório dos Especialistas do Defender para Busca no Microsoft Defender XDR.
(Versão Prévia) As tabelas DeviceTvmInfoGathering e DeviceTvmInfoGatheringKB agora estão disponíveis no esquema de busca avançada de ameaças. Use essas tabelas para pesquisar eventos de avaliação no Gerenciamento de Vulnerabilidades do Defender, incluindo o status de várias configurações e estados de área de superfície de ataque de dispositivos.
O recém-introduzido Cartão de resposta de investigação automatizada no portal do Microsoft Defender fornece uma visão geral sobre ações de correção pendentes.
A equipe de operações de segurança pode exibir todas as ações pendentes de aprovação e o tempo estipulado para aprovação dessas ações no próprio cartão. A equipe de segurança pode navegar rapidamente até a Central de ações e tomar as ações de correção apropriadas. O Cartão de investigação e resposta automatizada também tem um link para a página Automação Completa. Isso permite que a equipe de operações de segurança gerencie alertas com eficácia e conclua ações de correção em tempo hábil.
- (Versão Prévia) Em linha com a expansão recentemente anunciada para uma nova categoria de serviço chamada Especialistas em Segurança da Microsoft, estamos introduzindo a disponibilidade do Especialistas do Defender para Busca (Especialistas do Defender para Busca) para versão preliminar pública. O Especialistas do Defender para Busca é para clientes que possuem um centro de operações de segurança robusto, mas desejam que a Microsoft os ajude a procurar proativamente ameaças nos dados do Microsoft Defender, incluindo pontos de extremidade, Office 365, aplicativos em nuvem e identidade.
(Versão Prévia) Ações agora pode ser recebido em mensagens de email diretamente dos resultados da consulta de busca. Os emails podem ser movidos para outras pastas ou excluídos permanentemente.
(Versão Prévia) A nova
UrlClickEvents
tabela na busca avançada de ameaças pode ser usada para buscar ameaças como campanhas de phishing e links suspeitos com base em informações provenientes de cliques em Links Seguros em mensagens de email, Microsoft Teams e aplicativos do Office 365.
- (Versão Prévia) A fila de incidentes foi aprimorada com vários recursos projetados para ajudar nas suas investigações. As melhorias incluem recursos como a capacidade de pesquisar incidentes por ID ou nome, especificar um intervalo de tempo personalizado e outros.
- (GA) A tabela
DeviceTvmSoftwareEvidenceBeta
foi adicionada a curto prazo na busca avançada de ameaças para permitir que você exiba evidências de onde um software específico foi detectado em um dispositivo.
(Versão Prévia) O recurso complementar de governança de aplicativos do Defender para Aplicativos de Nuvem já está disponível no Microsoft Defender XDR. A governança de aplicativos fornece um recurso de gerenciamento de segurança e política projetado para aplicativos habilitados para OAuth que acessam dados do Microsoft 365 por meio de APIs do Microsoft Graph. A governança de aplicativos proporciona total visibilidade, correção e governança sobre como esses aplicativos e seus usuários acessam, usam e compartilham seus dados confidenciais armazenados no Microsoft 365 através de insights acionáveis e alertas e ações automatizadas de políticas. Saiba mais sobre governança de aplicativos.
(Versão Prévia) A página de busca avançada de ameaças agora tem suporte para múltiplas guias, rolagem inteligente, guias de esquema simplificadas, opções de edição rápida para consultas, um indicador de uso de recursos de consulta e outras melhorias para tornar a consulta mais suave e fácil de ajustar.
(Pré-visualização) Agora, pode utilizar a ligação para a funcionalidade incidente para incluir eventos ou registos dos resultados da consulta de investigação avançada diretamente num incidente novo ou existente que está a investigar.
- (GA) Na busca avançada de ameaças, mais colunas foram adicionadas à tabela CloudAppEvents. Agora você pode incluir
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
eUserAgentTags
em suas consultas.
(GA) Os dados de eventos do Microsoft Defender para Office 365 estão disponíveis na API de streaming de eventos do Microsoft Defender XDR. Você pode ver a disponibilidade e o status dos tipos de eventos em Tipos de eventos com suporte pelo Microsoft Defender XDR na API de streaming.
(GA) Os dados do Microsoft Defender para Office 365 disponíveis na busca avançada de ameaças agora estão disponíveis para o público geral.
(GA) Atribuir incidentes e alertas a contas de usuários
Você pode atribuir um incidente e todos os alertas associados a ele a uma conta de usuário em Atribuir a: no painel Gerenciar incidente de um incidente ou em Gerenciar alerta painel de um alerta.
(Versão Prévia) Dados do Microsoft Defender para Office 365 disponíveis na busca avançada de ameaças
Novas colunas nas tabelas de email podem fornecer mais informações sobre ameaças baseadas em email para investigações mais completas usando busca avançada de ameaças. Agora você pode incluir a coluna
AuthenticationDetails
em EmailEvents,FileSize
em EmailAttachmentInfo eThreatTypes
eDetectionMethods
em tabelas EmailPostDeliveryEvents.(Versão Prévia) Gráfico de incidentes
Uma nova guia Gráfico na guia Resumo de um incidente mostra o escopo completo do ataque, como o ataque se espalhou pela sua rede ao longo do tempo, onde começou e até que ponto o invasor foi.
Catálogo de serviços profissionais
Aprimore os recursos de detecção, investigação e inteligência contra ameaças da plataforma com conexões de parceiros compatíveis.
(Versão Prévia) Visualizar relatórios por marcas de ameaça
As marcas de ameaças ajudam você a se concentrar em categorias específicas de ameaças e a examinar os relatórios mais relevantes.
(Versão Prévia) API de Streaming
O Microsoft Defender XDR dá suporte ao streaming de todos os eventos disponíveis por meio da Busca Avançada de Ameaças para um Hub de Eventos e/ou conta de armazenamento do Azure.
(Versão Prévia) Executar ação na busca avançada de ameaças
Contenha ameaças rapidamente ou resolva ativos comprometidos encontrados na busca avançada de ameaças.
(Versão Prévia) Referência de esquema no portal
Obtenha informações sobre tabelas de esquemas de busca avançada de ameaças diretamente na central de segurança. Além das descrições de tabelas e colunas, esta referência inclui tipos de eventos suportados (valores
ActionType
) e consultas de amostra.(Versão Prévia) função DeviceFromIP()
Obtenha informações sobre quais dispositivos receberam um endereço ou endereços IP específicos em um determinado intervalo de tempo.
Nova página de alerta no portal do Microsoft Defender
Fornece informações aprimoradas para o contexto de um ataque. Pode ver que outro alerta acionado causou o alerta atual e todas as entidades e atividades afetadas envolvidas no ataque, incluindo ficheiros, utilizadores e caixas de correio. Consulte Investigar alertas para obter mais informações.
Gráfico de tendências para incidentes e alertas no portal do Microsoft Defender
Determine se há vários alertas para um único incidente ou se sua organização está sob ataque com vários incidentes diferentes. Consulte Priorizar incidentes para obter mais informações.
Microsoft Defender XDR
O portal aprimorado do Microsoft Defender XDR já está disponível. Essa nova experiência reúne Defender para Ponto de Extremidade, Defender para Office 365, Defender para Identidade e muito mais em um único portal. Essa é a nova página inicial para gerenciar seus controles de segurança. Conheça as novidades.
Relatório de análise de ameaças do Microsoft Defender XDR
A análise de ameaças ajuda você a responder e minimizar o impacto de ataques ativos. Você também pode saber mais sobre as tentativas de ataque bloqueadas pelas soluções do Microsoft Defender XDR e tomar medidas preventivas que reduzam o risco de exposição adicional e aumentem a resiliência. Como parte da experiência de segurança unificada, a análise de ameaças agora está disponível para titulares da licenças Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office E5.
-
Encontre informações sobre eventos em vários aplicativos e serviços em nuvem cobertos pelo Microsoft Defender para Aplicativos em Nuvem. Essa tabela também inclui informações anteriormente disponíveis na tabela
AppFileEvents
.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.