Новые возможности Microsoft Defender XDR
Список новых функций и возможностей Microsoft Defender XDR.
Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender и Microsoft Sentinel см.:
- Новые возможности Microsoft Defender для Office 365
- Новые возможности Microsoft Defender для конечной точки
- Новые возможности Microsoft Defender для удостоверений
- Новые возможности Microsoft Defender for Cloud Apps
- Новые возможности Microsoft Sentinel
Вы также можете получать обновления продуктов и важные уведомления через Центр сообщений.
- (предварительная версия) Пути атак в графе инцидентов теперь доступны на портале Microsoft Defender. История атаки теперь включает потенциальные пути атаки, которые показывают пути, которые злоумышленники могут пройти после компрометации устройства. Эта функция помогает приоритизировать усилия по реагированию. Дополнительные сведения см. в разделе Пути атаки в истории атак.
- (предварительная версия) Microsoft Defender XDR клиенты теперь могут экспортировать данные об инцидентах в PDF. Используйте экспортированные данные, чтобы легко собирать и передавать данные об инцидентах другим заинтересованным лицам. Дополнительные сведения см. в разделе Экспорт данных об инцидентах в PDF-файл.
- (общедоступная версия) Столбец времени последнего обновления в очереди инцидентов теперь общедоступен.
- (предварительная версия) Облачная аналитика и действия реагирования теперь доступны для оповещений, связанных с контейнером, на портале Microsoft Defender. Аналитики центра управления безопасностью (SOC) теперь могут исследовать оповещения, связанные с контейнерами, и реагировать на них практически в реальном времени с помощью облачных действий реагирования и журналов исследований для поиска связанных действий. Дополнительные сведения см. в статье Исследование угроз контейнера и реагирование на них на портале Microsoft Defender.
- (общедоступная версия) Оператор
arg()
расширенной охоты на портале Microsoft Defender теперь общедоступен. Теперь пользователи могут использовать оператор arg() для Azure Resource Graph запросы для поиска ресурсов Azure, и больше не нужно переходить в Log Analytics в Microsoft Sentinel, чтобы использовать этот оператор, если он уже Microsoft Defender. - (предварительная версия) Таблица CloudProcessEvents теперь доступна для предварительной версии в расширенной охоте. Он содержит сведения о событиях процесса в многооблачных средах. Его можно использовать для обнаружения угроз, которые можно наблюдать с помощью сведений о процессе, таких как вредоносные процессы или сигнатуры командной строки.
- (предварительная версия) Перенос пользовательских запросов обнаружения на непрерывную (почти в реальном времени или NRT) частоту теперь доступен для предварительной версии в расширенной охоте. Использование непрерывной частоты (NRT) повышает способность организации быстрее выявлять угрозы. Он не оказывает никакого влияния на использование ресурсов, поэтому его следует учитывать для любого квалифицированного настраиваемого правила обнаружения в вашей организации. Вы можете перенести совместимые запросы KQL, выполнив действия, описанные в разделе Частота непрерывного выполнения (NRT).
- Роли Microsoft Unified RBAC добавляются с новыми уровнями разрешений, чтобы клиенты эксперты Майкрософт по угрозам использовать возможность экспертов в Defender.
- (предварительная версия) При расширенной охоте пользователи портала Microsoft Defender теперь могут использовать оператор arg() для запросов Azure Resource Graph для поиска ресурсов Azure. Вам больше не нужно переходить к Log Analytics в Microsoft Sentinel, чтобы использовать этот оператор, если вы уже находитесь в Microsoft Defender.
- (общедоступная версия) Глобальный поиск для сущностей на портале Microsoft Defender теперь общедоступен. Страница расширенных результатов поиска централизована для всех сущностей. Дополнительные сведения см. в статье Глобальный поиск на портале Microsoft Defender.
- (общедоступная версия) Copilot в Defender теперь включает возможность сводки удостоверений, предоставляя мгновенные сведения об уровне риска пользователя, действиях входа и многое другое. Дополнительные сведения см. в статье Сводка сведений об удостоверениях с помощью Copilot в Defender.
- Аналитика угроз Microsoft Defender клиенты теперь могут просматривать последние популярные статьи аналитики угроз на домашней странице портала Microsoft Defender. На странице Intel Explorer теперь также есть дайджест статей , который уведомляет их о количестве новых статей ПО Defender TI, которые были опубликованы с момента последнего доступа к порталу Defender.
- Microsoft Defender XDR для отправки запросов и просмотра ответов от экспертов Microsoft Defender добавляются унифицированные разрешения RBAC. Вы также можете просматривать ответы на запросы , отправленные экспертам Ask Defender через указанные адреса электронной почты при отправке запроса или на портале Defender, перейдя в сообщения экспертов>Defender.
- (общедоступная версия) Расширенные области контекста охоты теперь доступны в дополнительных интерфейсах. Это позволяет получить доступ к расширенной функции охоты, не выходя из текущего рабочего процесса.
- Для инцидентов и оповещений, создаваемых правилами аналитики, можно выбрать Команду Выполнить запрос , чтобы изучить результаты связанного правила аналитики.
- На шаге Установить логику правила аналитики можно выбрать Просмотреть результаты запроса , чтобы проверить результаты запроса, который вы хотите задать.
- В отчете о ресурсах запросов можно просмотреть любой из запросов, выбрав три точки в строке запроса и выбрав Открыть в редакторе запросов.
- Для сущностей устройств, участвующих в инцидентах или оповещениях, Go hunt также доступен в качестве одного из вариантов после выбора трех точек на боковой панели устройства.
- (предварительная версия) Microsoft Sentinel данные теперь доступны с Defender XDR данными в Microsoft Defender мультитенантном управлении. В настоящее время на единой платформе операций безопасности Майкрософт поддерживается только одна рабочая область Microsoft Sentinel для каждого клиента. Таким образом, Microsoft Defender мультитенантном управлении отображаются данные управления информационной безопасностью и событиями безопасности (SIEM) из одной рабочей области Microsoft Sentinel на клиент. Дополнительные сведения см. в разделе Microsoft Defender мультитенантное управление и Microsoft Sentinel на портале Microsoft Defender.
- Чтобы обеспечить бесперебойную работу при переходе на портале Microsoft Defender, настройте брандмауэр сети, добавив соответствующие адреса в список разрешений. Дополнительные сведения см. в статье Настройка сетевого брандмауэра для Microsoft Defender XDR.
Инциденты с оповещениями, когда скомпрометированное устройство взаимодействовало с устройством операционной технологии (OT), теперь отображаются на портале Microsoft Defender через Microsoft Defender для лицензии Интернета вещей и возможности обнаружения устройств Defender для конечной точки. Используя данные Defender для конечной точки, Defender XDR автоматически сопоставляет эти новые оповещения OT с инцидентами, чтобы обеспечить комплексную историю атаки. Сведения о фильтрации связанных инцидентов см. в статье Определение приоритетов инцидентов на портале Microsoft Defender.
(общедоступная версия) Фильтрация Microsoft Defender для облачных оповещений по связанному идентификатору подписки на оповещения в очередях инцидентов и оповещений теперь общедоступна. Дополнительные сведения см. в разделе Microsoft Defender для облака в Microsoft Defender XDR.
(общедоступная версия) Общедоступная платформа microsoft unified security operations на портале Microsoft Defender. В этом выпуске собраны все возможности Microsoft Sentinel, Microsoft Defender XDR и Microsoft Copilot в Microsoft Defender. Дополнительные сведения см. в следующих источниках:
Запись блога: Общая доступность платформы унифицированных операций безопасности Майкрософт
(предварительная версия) Теперь можно настроить столбцы в очередях инцидентов и оповещений на портале Microsoft Defender. Вы можете добавлять, удалять и изменять порядок столбцов для отображения необходимых сведений. Дополнительные сведения см. в статье Настройка столбцов в очереди инцидентов и очереди оповещений.
(предварительная версия) Критически важные ресурсы теперь являются частью тегов в очередях инцидентов и оповещений. Если критически важный ресурс участвует в инциденте или оповещении, в очередях отображается тег критического ресурса. Дополнительные сведения см. в разделе Теги инцидентов и очередь оповещений.
(предварительная версия) Инциденты теперь упорядочивается в соответствии с последними автоматическими или ручных обновлениями, внесенными в инцидент. Ознакомьтесь со столбцом времени последнего обновления в очереди инцидентов.
(общедоступная версия) Ресурсы центра обучения перемещены с портала Microsoft Defender на learn.microsoft.com. Доступ к Microsoft Defender XDR обучения Ninja, схем обучения, учебных модулей и многого другого. Просмотрите список схем обучения и отфильтруйте их по продукту, роли, уровню и предмету.
(общедоступная версия) Таблица UrlClickEvents в расширенной охоте теперь общедоступна. Используйте эту таблицу для получения сведений о щелчках безопасных ссылок из сообщений электронной почты, Microsoft Teams и приложений Office 365 в поддерживаемых классических, мобильных и веб-приложениях.
(общедоступная версия) Теперь вы можете освобождать или перемещать сообщения электронной почты из карантина обратно в папку "Входящие" пользователя непосредственно в разделе Предпринять действия при расширенной охоте и в пользовательских обнаружениях. Это позволяет операторам безопасности более эффективно управлять ложными срабатываниями без потери контекста.
(предварительная версия) Теперь доступно распространение содержимого через группы клиентов в мультитенантном управлении . Распространение содержимого помогает управлять содержимым в большом масштабе между клиентами в мультитенантном управлении в Microsoft Defender XDR. При распространении содержимого можно создавать группы клиентов для копирования существующего содержимого, например настраиваемых правил обнаружения, из исходного клиента в целевые клиенты, назначенные во время создания группы клиентов. Затем содержимое запускается на устройствах или группах устройств целевого клиента, заданных в группе клиентов область.
(предварительная версия) Теперь вы можете фильтровать Microsoft Defender для облачных оповещений по связанному идентификатору подписки на оповещения в очередях инцидентов и оповещений. Дополнительные сведения см. в разделе Microsoft Defender для облака в Microsoft Defender XDR.
(общедоступная версия) Теперь вы можете фильтровать результаты в расширенной охоте, чтобы сузить свое исследование на конкретных данных, на которые вы хотите сосредоточиться.
(предварительная версия) Аналитики безопасности теперь могут исследовать внутренний риск пользователя на портале Microsoft Defender с уровнем серьезности внутренних рисков и аналитическими сведениями, доступными для Microsoft Defender XDR пользователей с подготовленным доступом к Управление внутренними рисками Microsoft Purview. Дополнительные сведения см. в разделе сведения о сущности на странице пользователя .
(общедоступная версия) Страница политик безопасности конечных точек теперь доступна в мультитенантном управлении в Microsoft Defender XDR. Создание, изменение и удаление политик безопасности для устройств клиентов на странице Политики безопасности конечных точек . Дополнительные сведения см. в статье Политики безопасности конечных точек в мультитенантном управлении.
Создайте правила настройки оповещений с помощью значений серьезности оповещений и заголовка оповещения в качестве условий. Настройка оповещений помогает упростить очередь оповещений, экономя время рассмотрения путем автоматического скрытия или разрешения оповещений при каждом ожидаемом поведении организации и выполнении условий правил. Дополнительные сведения см. в разделе Настройка оповещения.
(предварительная версия) Включите параметры предварительного просмотра в параметрах Microsoft 365 Defender main вместе с другими функциями предварительной версии Microsoft 365 Defender. Клиенты, которые еще не используют предварительные версии функций, по-прежнему будут видеть устаревшие параметры в разделе Параметры > Конечные > точки Расширенные функции > Предварительные версии функций. Дополнительные сведения см. в разделе Предварительные версии функций Microsoft 365 Defender.
(предварительная версия) Страница оптимизации SOC на портале Microsoft Defender теперь доступна на единой платформе операций безопасности. Интегрируйте Microsoft Defender XDR и Microsoft Sentinel и используйте оптимизацию SOC для оптимизации процессов и результатов, не тратя время на ручной анализ и исследования. Дополнительные сведения см. в разделе:
(предварительная версия) Поиск на портале Microsoft Defender теперь включает возможность поиска устройств и пользователей в Microsoft Sentinel. Используйте панель поиска для поиска инцидентов, оповещений и других данных в Microsoft Defender XDR и Microsoft Sentinel. Дополнительные сведения см. в разделе Поиск в Microsoft Defender.
(предварительная версия) Таблица CloudAuditEvents теперь доступна в расширенной охоте. Это позволяет просматривать события аудита облака в Microsoft Defender для облака и создавать пользовательские обнаружения для выявления подозрительных действий уровня управления Resource Manager Azure и Kubernetes (KubeAudit).
(общедоступная версия) Автоматическое обратимое удаление копии отправителя при выборе обратимого удаления в качестве действия для сообщений электронной почты теперь доступно в мастере выполнения действий при расширенной охоте. Эта новая функция упрощает процесс управления отправленными элементами, особенно администраторами, которые используют действия обратимого удаления и перемещения в папку "Входящие ". Дополнительные сведения см. в статье Выполнение действий с электронными письмами .
(предварительная версия) Теперь вы можете запрашивать данные Microsoft Sentinel с помощью API расширенных запросов охоты. Параметр можно использовать для
timespan
запроса Defender XDR и Microsoft Sentinel данных, срок хранения которых превышает Defender XDR по умолчанию 30 дней.(предварительная версия) На едином портале Microsoft Defender теперь можно создавать пользовательские обнаружения при запросе данных, охватывающих Microsoft Sentinel и Defender XDR таблицы. Дополнительные сведения см. в статье Создание пользовательских правил аналитики и обнаружения .
(Предварительная версия) Теперь единая платформа операций по обеспечению безопасности доступна на портале Microsoft Defender. В этом выпуске собраны все возможности Microsoft Sentinel, Microsoft Defender XDR и Microsoft Copilot в Microsoft Defender. Дополнительные сведения см. в следующих источниках:
(Общедоступная версия) Microsoft Copilot в Microsoft Defender теперь общедоступен. Copilot в Defender помогает быстрее и эффективнее расследовать инциденты и реагировать на них. Copilot предоставляет интерактивные ответы, сводки по инцидентам и отчеты, помогает создавать запросы KQL для поиска угроз, предоставляет анализ файлов и скриптов, а также позволяет обобщать релевантную и практическую аналитику угроз.
Клиенты Copilot в Defender теперь могут экспортировать данные об инцидентах в PDF-файлы. Используйте экспортированные данные, чтобы легко обмениваться данными об инцидентах, облегчая обсуждения с группами безопасности и другими заинтересованными лицами. Дополнительные сведения см. в разделе Экспорт данных об инцидентах в PDF-файл.
Уведомления на портале Microsoft Defender теперь доступны. В правой верхней части портала Defender щелкните значок колокольчика, чтобы просмотреть все активные уведомления. Дополнительные сведения об уведомлениях см. на портале Microsoft Defender.
Столбец
AzureResourceId
, показывающий уникальный идентификатор ресурса Azure, связанного с устройством, теперь доступен в таблице DeviceInfo в расширенной охоте.
(Общедоступная версия) Темный режим теперь доступен на портале Microsoft Defender. На портале Defender в правом верхнем углу домашней страницы выберите Темный режим. Выберите Светлый режим, чтобы изменить цветовой режим обратно на значение по умолчанию.
(Общедоступная версия) Назначение уровня серьезности инцидентам, назначение инцидента группе и параметр go hunt из графика истории атак теперь общедоступны. Руководства по назначению или изменению уровня серьезности инцидента и назначению инцидента группеприведены на странице Управление инцидентами. Узнайте, как использовать параметр go hunt, изучив историю атаки.
(Предварительная версия) Теперь доступны настраиваемые правила обнаружения в Microsoft Graph Security API. Создайте настраиваемые правила обнаружения для расширенной охоты, характерные для вашей организации, чтобы заблаговременно отслеживать угрозы и принимать меры.
Предупреждение
Выпуск платформы 2024-02 приводит к несогласованным результатам для пользователей управления устройствами, использующих политики съемных носителей с доступом только на уровне диска или устройства (маски, которые меньше 7). Принудительное применение может работать не так, как ожидалось. Чтобы устранить эту проблему, рекомендуется вернуться к предыдущей версии платформы Defender.
Defender Boxed доступен в течение ограниченного периода времени. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Уделите некоторое время, чтобы отпраздновать улучшение состояния безопасности в вашей организации, общее реагирование на обнаруженные угрозы (вручную и автоматически), заблокированные сообщения электронной почты и многое другое.
- Defender Boxed открывается автоматически при переходе на страницу Инциденты на портале Microsoft Defender.
- Если вы закрыли Defender Boxed и хотите повторно открыть его, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш Defender Boxed.
- Действуйте быстро! Defender Boxed доступен только в течение короткого периода времени.
Эксперты Defender для XDR теперь позволяют получать уведомления и обновления об управляемых ответах с помощью Teams. Вы также можете поговорить с экспертами Defender по поводу инцидентов, в которых был выдан управляемый ответ.
(Общедоступная версия) Новые функции доступных фильтров очереди инцидентов теперь общедоступны. Определение приоритета инцидентов в соответствии с предпочитаемыми фильтрами путем создания наборов фильтров и сохранения запросов фильтров. Дополнительные сведения о фильтрах очереди инцидентов см. в статье Доступные фильтры.
(Общедоступная версия) Интеграция оповещений Microsoft Defender для облака с Microsoft Defender XDR стала общедоступной. Узнайте больше об интеграции Microsoft Defender для облака в Microsoft Defender XDR.
(Общедоступная версия) Журнал действий теперь доступен на странице инцидента. Используйте журнал действий для просмотра всех аудитов и комментариев, а также добавления комментариев в журнал инцидента. Дополнительные сведения см. в разделе Журнал действий.
(Предварительная версия) Теперь доступен журнал запросов в расширенной охоте. Теперь вы можете повторно выполнять или уточнять запросы, которые вы выполнили недавно. В области журнала запросов можно загрузить до 30 запросов за последние 28 дней.
(Предварительная версия) Теперь доступны дополнительные функции, которые можно использовать для дальнейшей детализации результатов запроса в расширенной охоте.
Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR теперь является общедоступным. Единое (RBAC) позволяет администраторам управлять разрешениями пользователей в различных решениях безопасности из единого централизованного расположения. Это предложение также доступно для клиентов GCC Moderate. Дополнительные сведения см. в статье Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR.
Эксперты Microsoft Defender для XDR теперь позволяют исключить устройства из действий по исправлению, выполняемых нашими экспертами, и вместо этого получить рекомендации по исправлению для этих элементов.
Очередь инцидентов на портале Microsoft Defender обновила фильтры, поиск и добавила новую функцию, с помощью которой можно создавать собственные наборы фильтров. Дополнительные сведения см. в разделе Доступные фильтры.
Теперь можно назначать инциденты группе пользователей или другому пользователю. Дополнительные сведения см. в разделе Назначение инцидента.
Эксперты Defender по охоте на угрозы теперь позволяет создавать образцы уведомлений экспертов Defender, чтобы вы могли приступить к работе со службой, не дожидаясь фактического критического действия в вашей среде. Подробнее
(Предварительная версия) Оповещения Microsoft Defender для облака теперь интегрированы в Microsoft Defender XDR. Оповещения Defender для облака автоматически сопоставляются с инцидентами и оповещениями на портале Microsoft Defender, а ресурсы облачных ресурсов можно просматривать в очередях инцидентов и оповещений. Дополнительные сведения об интеграции Defender для облака в Microsoft Defender XDR.
(Предварительная версия) Microsoft Defender XDR теперь имеет встроенную технологию обмана, позволяющую защитить вашу среду от высокоэффективных атак, использующих боковое перемещение, управляемое человеком. Узнайте больше о функции обмана и настройке функции обмана.
Эксперты Microsoft Defender для XDR теперь позволяют выполнять собственную оценку готовности при подготовке среды для службы экспертов Defender для XDR.
(Предварительная версия) Теперь можно получать уведомления по электронной почте о ручных или автоматических действиях в Microsoft 365 Defender. Узнайте, как настроить уведомления по электронной почте о ручных или автоматических действиях реагирования, выполняемых на портале. Подробные сведения см. в разделе Получение уведомлений по электронной почте о действиях реагирования в Microsoft Defender XDR.
(Предварительная версия) Microsoft Security Copilot в Microsoft Defender XDR теперь доступна в предварительной версии. С помощью Security Copilot пользователи Microsoft Defender XDR могут суммировать инциденты, анализировать сценарии и коды, использовать управляемые ответы для разрешения инцидентов, генерировать запросы KQL и создавать отчеты об инцидентах на портале. Security Copilot доступна в предварительной версии только по приглашению. Подробные сведения о Security Copilot см. в разделе Часто задаваемые вопросы о программе раннего доступа Microsoft Security Copilot.
- (Предварительная версия) Настраиваемые обнаружения с использованием данных из Microsoft Defender для удостоверений и Microsoft Defender for Cloud Apps, в частности,
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
иIdentityQueryEvents
таблицы, теперь можно запускать в режимеContinuous (NRT) практически в реальном времени.
Теперь доступны руководства по реагированию на первый инцидент для новых пользователей. Изучите инциденты и научитесь определять приоритеты, анализировать первый инцидент с помощью руководств и видео и устранять атаки, ознакомившись с действиями, доступными на портале.
(Предварительная версия) Управление правилами активов — динамические правила для устройств теперь доступны в общедоступной предварительной версии. Динамические правила помогают управлять контекстом устройства, автоматически присваивая теги и значения устройств на основе определенных критериев.
(предварительная версия) Таблица DeviceInfo в расширенной охоте теперь также включает столбцы
DeviceManualTags
иDeviceDynamicTags
в общедоступной предварительной версии для отображения как вручную, так и динамически назначенных тегов, связанных с устройством, которое вы изучаете.Функция Реагирование по инструкции службы Эксперты Microsoft Defender для XDR переименована в Управляемый ответ. Мы также добавили новый раздел часто задаваемых вопросов об обновлениях инцидентов.
(Общедоступная версия) История атак в инцидентах теперь общедоступна. История атак содержит полную историю атак и позволяет командам реагирования на инциденты просматривать подробные сведения и применять меры по исправлению.
Теперь в Microsoft Defender XDR доступна новая страница URL-адреса и домена. Обновленная страница URL-адреса и домена представляет собой единое окно для просмотра всех сведений об URL-адресе или домене, включая его репутацию, пользователей, щелкнувших его, устройства, которые к нему обращались, и сообщения электронной почты, в которых был виден URL-адрес или домен. Дополнительные сведения см. в разделе Изучение URL-адресов в Microsoft Defender XDR.
- (Общедоступная версия) Служба Эксперты Microsoft Defender для XDR теперь общедоступна. Служба Эксперты Defender для XDR расширяет центр управления безопасности за счет сочетания автоматизации и опыта аналитиков безопасности Майкрософт, помогая обнаруживать угрозы, реагировать на них с уверенностью и повышать уровень безопасности. Служба Эксперты Microsoft Defender для XDR продается отдельно от других продуктов Microsoft Defender XDR. Если вы являетесь клиентом Microsoft Defender XDR и заинтересованы в приобретении службы Эксперты Defender для XDR, см. Обзор Экспертов Microsoft Defender для XDR.
(Общедоступная версия) Настройка оповещений теперь общедоступна. Настройка оповещений позволяет точно настроить оповещения, чтобы сократить время исследования и сосредоточиться на разрешении оповещений с высоким приоритетом. Настройка оповещений заменяет функцию подавления оповещений.
(Общедоступная версия) Автоматическое прерывание атак теперь общедоступно. Эта возможность автоматически нарушает работу управляемых оператором программ-шантажистов (HumOR), технологий компрометации корпоративной почты (BEC) и атак типа «злоумышленник посередине» (adversary-in-the-middle, AiTM).
(Предварительная версия) Пользовательские функции теперь доступны в режиме расширенной охоты. Теперь вы можете создавать собственные пользовательские функции, чтобы повторно использовать любую логику запросов при поиске в среде.
(Общедоступная версия) Вкладка «Унифицированные ресурсы» на странице «Инциденты» теперь общедоступна.
Корпорация Майкрософт использует новую таксономию именования на основе погоды для субъектов угроз. Эта новая схема именования обеспечивает большую ясность, на нее проще ссылаться. Узнайте больше о новой таксономии субъектов угроз.
- (Предварительная версия) Аналитика угроз Microsoft Defender (Defender TI) теперь доступна на портале Microsoft Defender.
Это изменение представляет новое меню навигации на портале Microsoft Defender с именем Аналитика угроз. Подробнее.
(Предварительная версия) Полные отчеты об устройстве для
DeviceInfo
таблицы в режиме расширенной охоты теперь отправляются каждый час (раньше они отправлялись ежедневно). Кроме того, полные отчеты об устройствах также отправляются при каждом изменении предыдущего отчета. В таблицуDeviceInfo
также добавлены новые столбцы, а также несколько улучшений существующих данных в таблицахDeviceInfo
и DeviceNetworkInfo.(Предварительная версия) Пользовательское обнаружение практически в режиме реального времени теперь доступно в общедоступной предварительной версии в расширенных обнаружениях охоты. Существует новая непрерывная частота (NRT), которая проверяет данные из событий по мере их сбора и обработки почти в реальном времени.
(Предварительная версия) Поведение в Microsoft Defender for Cloud Apps теперь доступно в общедоступной предварительной версии. Теперь пользователи предварительной версии могут также искать поведение в режиме расширенной охоты с помощью таблиц BehaviorEntities и BehaviorInfo.
(Общедоступная версия) Отчет о ресурсах запросов в режиме расширенной охоты теперь общедоступен.
(Предварительная версия) Возможность автоматического прерывания атак теперь препятствует компрометации корпоративной почты (BEC).
Теперь доступна новая версия отчета Экспертов Microsoft Defender по охоте на угрозы. Благодаря новому интерфейсу отчета клиенты могут получать больше контекстных сведений о подозрительных действиях, которые эксперты Defender наблюдали в их средах. Здесь также показано, какие подозрительные действия наблюдались из месяца в месяц. Подробные сведения см. в разделе Общие сведения об отчете Экспертов Defender по охоте на угрозы в Microsoft Defender XDR.
(Общедоступная версия) Реагирование в реальном времени теперь общедоступно для macOS и Linux.
(Общедоступная версия) Временная шкала удостоверений теперь общедоступна как часть новой страницы «Удостоверение» в Microsoft Defender XDR. Обновленная страница «Пользователь» имеет новый внешний вид, развернутое представление связанных ресурсов и новую выделенную вкладку временной шкалы. Временная шкала представляет действия и оповещения за последние 30 дней. Она объединяет записи удостоверений пользователя во всех доступных рабочих нагрузках: Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки. С помощью временной шкалы можно легко сосредоточиться на действиях пользователя (или выполняемых с ним действиях) за определенный срок.
- (Предварительная версия) Новая модель управления доступом на основе ролей (RBAC) Microsoft Defender XDR теперь доступна в предварительной версии. Новая модель RBAC повышает эффективность работы администраторов безопасности за счет единой системы централизованного управления привилегиями в нескольких решениях безопасности. В настоящее время поддерживаются Microsoft Defender для конечной точки, Microsoft Defender для Office 365 и Microsoft Defender для удостоверений. Новая модель полностью совместима с существующими отдельными моделями RBAC, которые в настоящее время поддерживает Microsoft Defender XDR. Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) Microsoft Defender XDR.
(Предварительная версия) Служба Эксперты Microsoft Defender для XDR (Эксперты Defender для XDR) теперь доступна в предварительной версии. Эксперты Defender для XDR — это управляемая служба обнаружения и реагирования, благодаря которой сотрудники центров управления безопасностью (SOC) могут сосредоточиться и точно реагировать на важные инциденты. Она обеспечивает расширенное обнаружение и реагирование для клиентов, использующих рабочие нагрузки Microsoft Defender XDR: Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps и Azure Active Directory (Azure AD). Подробные сведения см. в разделе Расширенная предварительная версия Экспертов Microsoft Defender для XDR.
(Предварительная версия) Отчет о ресурсе запроса теперь доступен в режиме расширенной охоты. В отчете показано потребление ресурсов ЦП вашей организацией для охоты на основе запросов, которые выполнялись за последние 30 дней с помощью любого из интерфейсов охоты. Сведения о неэффективных запросах см. в разделе Просмотр отчета о ресурсах запросов.
- (Предварительная версия) Новая возможность автоматического прерывания атак теперь доступна в предварительной версии. Эта возможность объединяет аналитические сведения о безопасности и усовершенствованные модели ИИ для автоматического сдерживания атак. Автоматическое прерывание атак также предоставляет больше времени центрам управления безопасностью (SOC) для полного устранения атаки и ограничивает влияние атаки на организации. Эта предварительная версия автоматически прерывает атаки программ-шантажистов.
(Общедоступная версия) Служба Эксперты Microsoft Defender по охоте на угрозы теперь общедоступна. Если вы являетесь клиентом Microsoft Defender XDR с надежным центром управления безопасностью, но хотите, чтобы корпорация Майкрософт помогала вам заблаговременно искать угрозы в конечных точках, Office 365, облачных приложениях и удостоверениях с помощью данных Microsoft Defender, то узнайте больше о применении, настройке и использовании службы. Служба Эксперты Defender по охоте на угрозы продается отдельно от других продуктов Microsoft Defender XDR.
(Предварительная версия) Интерактивный режим теперь доступен в общедоступной предварительной версии в режиме расширенной охоты. Теперь аналитики могут запрашивать в своей базе данных данные конечных точек, удостоверений, совместной работы по электронной почте и облачных приложений, не зная язык запросов Kusto (KQL). В интерактивном режиме используется удобный, простой стандартный стиль создания запросов с помощью раскрывающихся меню, содержащих доступные фильтры и условия. См. раздел Начало работы с построителем запросов.
- (Предварительная версия) Пользователи общедоступной предварительной версии Экспертов Microsoft Defender по охоте на угрозы в ближайшее время смогут получать ежемесячные отчеты об угрозах, которые служба охоты выявила в их среде, и оповещениях, созданных их продуктами Microsoft Defender XDR. Подробные сведения см. в разделе Общие сведения об отчете Экспертов Defender по охоте на угрозы в Microsoft Defender XDR.
(Предварительная версия) Таблицы DeviceTvmInfoGathering и DeviceTvmInfoGatheringKB теперь доступны в схеме расширенной охоты. Используйте эти таблицы для отслеживания событий оценки в Службе управления уязвимостями Defender, включая состояние различных конфигураций и состояния направлений атаки устройств.
Недавно представленная карта ответа и автоматического исследования на портале Microsoft Defender содержит обзор ожидающих действий по исправлению.
В этой карте сотрудники команды безопасности могут просмотреть все действия, ожидающие утверждения, и установленный срок для утверждения этих действий. Специалисты команды безопасности могут быстро перейти в центр действий и выполнить соответствующие действия по исправлению. Карта ответа и автоматического исследования также содержит ссылку на страницу «Полная автоматизация». Это позволяет сотрудникам команды безопасности эффективно управлять оповещениями и своевременно выполнять действия по исправлению.
- (Предварительная версия) Недавно мы внедрили новую категорию служб под названием Специалисты по безопасности Майкрософт и теперь представляем общедоступную предварительную версию службы Эксперты Microsoft Defender по охоте на угрозы (Эксперты Defender по охоте на угрозы). Служба Эксперты Defender по охоте на угрозы предназначена для клиентов, которые располагают надежным центром управления безопасностью, но хотят, чтобы корпорация Майкрософт помогала им заблаговременно находить угрозы в данных Microsoft Defender, включая конечные точки, Office 365, облачные приложения и удостоверения.
(Предварительная версия) Действия в сообщениях электронной почты теперь можно выполнять непосредственно из результатов поиска запросов. Сообщения электронной почты можно перемещать в другие папки или удалять без возможности восстановления.
(Предварительная версия) Новую
UrlClickEvents
таблицу в режиме расширенной охоты можно использовать для поиска угроз, таких как фишинговые кампании и подозрительные ссылки, на основе информации о щелчках безопасных ссылок в сообщениях электронной почты, Microsoft Teams и приложениях Office 365.
- (Предварительная версия) Очередь инцидентов была расширена с помощью нескольких функций, предназначенных для проведения расследований. Усовершенствования включают такие возможности, как возможность поиска инцидентов по идентификатору или имени, указание настраиваемого диапазона времени и т. д.
- (Общедоступная версия) В режиме расширенной охоты на краткий срок добавлена таблица
DeviceTvmSoftwareEvidenceBeta
, чтобы вы могли просматривать свидетельства обнаружения определенного программного обеспечения на устройстве.
(Предварительная версия) Функция надстройки управления приложениями для Defender for Cloud Apps теперь доступна в Microsoft Defender XDR. Управление приложениями предоставляет возможности управления безопасностью и политиками, предназначенные для приложений с поддержкой OAuth, которые получают доступ к данным Microsoft 365 через API Microsoft Graph. Управление приложениями обеспечивает полную видимость и возможность исправления и управления тем, как эти приложения и их пользователи получают доступ к конфиденциальным данным, хранимым в Microsoft 365, используют их и предоставляют к ним общий доступ, с помощью действенной аналитики, а также автоматических оповещений и действий политик. Дополнительные сведения об управлении приложениями.
(Предварительная версия) Теперь страница расширенной охоты поддерживает несколько вкладок, интеллектуальную прокрутку, упрощенные вкладки схемы, параметры быстрого редактирования для запросов, индикатор использования ресурсов запроса и другие улучшения, которые упрощают настройку и обработку запросов.
(предварительная версия) Теперь вы можете использовать ссылку на функцию инцидента , чтобы включить события или записи из результатов расширенного запроса охоты прямо в новый или существующий инцидент, который вы изучаете.
- (Общедоступная версия) В режиме расширенной охоты в таблицу CloudAppEvents были добавлены дополнительные столбцы. Теперь в запросы можно включить
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
иUserAgentTags
.
(Общедоступная версия) Данные о событиях Microsoft Defender для Office 365 доступны в API потоковой передачи событий в Microsoft Defender XDR. Доступность и состояние типов событий можно просмотреть в разделе Поддерживаемые типы событий Microsoft Defender XDR в API потоковой передачи..
(Общедоступная версия) Данные Microsoft Defender для Office 365, доступные в режиме расширенной охоты, теперь общедоступны.
(Общедоступная версия) Назначение инцидентов и оповещений учетным записям пользователей
Инцидент и все связанные с ним оповещения можно назначить учетной записи пользователя из области Назначить: на панели Управление инцидентом инцидента или панели Управление оповещением оповещения.
(Предварительная версия) Данные Microsoft Defender для Office 365, доступные в режиме расширенной охоты
В режиме расширенной охоты из новых столбцов в таблицах электронной почты можно получить более подробную информацию об угрозах электронной почты для более тщательного исследования. Теперь столбец
AuthenticationDetails
можно включить в таблицу EmailEvents,FileSize
— в таблицу EmailAttachmentInfo,ThreatTypes
иDetectionMethods
— в таблицу EmailPostDeliveryEvents.(Предварительная версия) Граф инцидентов
На новой вкладке Граф на вкладке Сводка инцидента отображается полная область атаки и сведения о том, как атака распространилась по сети с течением времени, где она началась и как далеко зашел злоумышленник.
Каталог профессиональных услуг
Расширьте возможности обнаружения, исследования и аналитики угроз на платформе с помощью поддерживаемых партнерских подключений.
(Предварительная версия) Просмотр отчетов по тегам угроз
Теги угроз помогают сосредоточиться на определенных категориях угроз и просмотреть наиболее релевантные отчеты.
(Предварительная версия) API потоковой передачи
Microsoft Defender XDR поддерживает потоковую передачу всех событий, доступных в режиме расширенной охоты, в Центры событий и (или) учетную запись хранилища Azure.
(Предварительная версия) Своевременные действия в режиме расширенной охоты
Быстро устраняйте угрозы или выявляйте скомпрометированные ресурсы в режиме расширенной охоты.
(Предварительная версия) Справочные материалы по схемам на портале
Получайте сведения о таблицах схем расширенной охоты непосредственно в центре безопасности. Помимо описаний таблиц и столбцов этот удобный справочник содержит сведения о поддерживаемых типах событий (
ActionType
значений) и примеры запросов.(Предварительная версия) Функция DeviceFromIP()
Получите сведения о том, каким устройствам назначен определенный IP-адрес или адреса в заданном диапазоне времени.
Новая страница оповещений на портале Microsoft Defender XDR
Предоставляет расширенные сведения о контексте атаки. Вы можете увидеть, какое другое активированное оповещение вызвало текущее оповещение, а также все затронутые сущности и действия, связанные с атакой, включая файлы, пользователей и почтовые ящики. Дополнительные сведения см. в разделе Изучение оповещений.
График тенденций для инцидентов и оповещений на портале Microsoft Defender XDR
Определите, есть ли несколько оповещений об одном инциденте или подвергается ли ваша организация атаке с несколькими разными инцидентами. Дополнительные сведения см. в разделе Определение приоритетов инцидентов.
Microsoft Defender XDR
Стал доступен улучшенный портал Microsoft Defender XDR. Этот новый интерфейс портала объединяет Defender для конечной точки, Defender для Office 365, Defender для удостоверений и другие решения. Это новая страница администрирования средств управления безопасностью. Узнайте о новых возможностях.
Отчет аналитики угроз Microsoft Defender XDR
Аналитика угроз помогает реагировать на активные атаки и минимизировать их влияние. Вы также можете узнать о попытках атак, заблокированных решениями Microsoft Defender XDR, и принять профилактические меры, которые снижают риск дальнейшего воздействия и повышают устойчивость. В рамках единого интерфейса безопасности аналитика угроз теперь доступна для Microsoft Defender для конечной точки и Microsoft Defender для владельцев лицензий Office E5.
-
Сведения о событиях в различных облачных приложениях и службах, охватываемых Microsoft Defender for Cloud Apps. Эта таблица также содержит сведения, ранее доступные в таблице
AppFileEvents
.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.