Microsoft Defender for Endpoint 中的新增功能

项目
03/09/2023

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

以下功能在最新版本的 Microsoft Defender for Endpoint 中处于预览状态或正式发布 (正式发布) 。

有关预览功能的详细信息，请参阅预览功能。

提示

RSS 源: 通过将以下 URL 复制并粘贴到源阅读器中，可以在页面更新时收到通知:

https://learn.microsoft.com/api/search/rss?search=%22features+are+generally+available+%28GA%29+in+the+latest+release+of+Microsoft+Defender+for+Endpoint%22&locale=en-us&facet=

有关 Windows 上的Microsoft Defender for Endpoint新增功能的详细信息，请参阅：Windows 上的 Microsoft Defender for Endpoint 中的新增功能

有关其他Microsoft Defender安全产品的新增功能的详细信息，请参阅：

有关特定操作系统Microsoft Defender for Endpoint的详细信息：

2023 年 3 月

对混合许可方案的支持现已推出预览版！借助这些功能，可以跨客户端设备管理Microsoft Defender for Endpoint订阅设置 (预览版！) 。

2023 年 2 月

Microsoft Defender for Identity集成切换现已从“Microsoft Defender for Endpoint设置高级功能”>页中删除。由于 Defender for Identity 现在已与 Microsoft 365 Defender 集成，因此不再需要此切换。无需手动配置服务之间的集成。请参阅新增功能 - Microsoft Defender for Identity。

2023 年 1 月

现在，当使用 Microsoft Intune 部署时，篡改防护可以保护排除项。请参阅排除项如何？
实时响应现已正式发布，适用于 macOS 和 Linux。有关详细信息，请参阅使用实时响应调查设备上的实体。
适用于 Linux 和 macos 的实时响应 API 和库 API 现已正式发布
现在可以在 Linux 和 macos 上运行实时响应 API 命令。

2022 年 12 月

Microsoft Defender for Endpoint设备控制可移动存储访问控制更新：
1. Microsoft Intune现在支持可移动存储访问控制。请参阅使用Intune用户界面部署可移动存储访问控制
2. 可移动存储访问控制的新默认强制策略适用于所有设备控制功能。打印机保护现在可用于此策略。如果创建默认拒绝策略，则会在组织中阻止打印机。
  - Intune：./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
    请参阅使用 Intune 部署和管理可移动存储访问控制
  - 组策略：计算机配置>管理模板 > Windows 组件>Microsoft Defender防病毒>功能 > 设备控制 > 选择设备控制默认强制
    请参阅使用组策略部署和管理可移动存储访问控制
Microsoft Defender for Endpoint设备控制用于管理打印机的新打印机保护解决方案现已推出。有关详细信息，请参阅打印机保护概述

2022 年 11 月

内置保护现已正式发布。内置保护通过默认设置帮助确保设备受到保护，帮助保护组织免受勒索软件和其他威胁的侵害。
Zeek 现已正式发布为 Microsoft Defender for Endpoint 的一个组件。

Microsoft 与 Corelight（开放源代码网络检测和响应 (NDR) 的领导者）合作，提供与 Zeek for Defender for Endpoint 的新开源集成。通过这种集成，组织可以通过丰富的网络信号为其调查工作充电，并通过从终结点的角度对网络流量具有前所未有的可见性来减少检测基于网络的威胁所需的时间。

以下知识库文章在最新版本的 Defender for Endpoint 代理中提供了新的 Zeek 集成：
注意

此集成目前不支持使用自定义脚本来了解额外的信号。

2022 年 10 月

网络保护 C2 检测和修正现已正式发布。
攻击者通常会破坏现有的已连接 Internet 的服务器，成为其命令和控制服务器。攻击者可以使用受攻击的服务器来隐藏恶意流量，并部署用于感染终结点的恶意机器人。网络保护检测和修正将有助于缩短安全操作 (SecOps) 团队查明和响应希望入侵终结点的恶意网络威胁所需的时间。

2022 年 9 月

攻击面减少 (ASR) 规则报告现已在 Microsoft 365 Defender 门户中提供。
攻击面减少 (ASR) 规则报告现已在 Microsoft 365 Defender 门户中提供。此 ASR 报告提供有关应用于组织中的设备的攻击面减少规则的信息，并帮助你检测威胁、阻止潜在威胁以及了解 ASR 和设备配置。
即将推出内置保护 (预览版) 。内置保护是一组默认设置，例如打开篡改防护，以帮助保护设备免受勒索软件和其他威胁的侵害。
设备运行状况报告现已正式发布。
设备运行状况报告提供有关终结点的运行状况和安全性的信息。该报告包括显示传感器运行状况、防病毒状态、OS 平台、Windows 10版本和Microsoft Defender防病毒更新版本的趋势信息。
设备运行状况报告现在可供使用 Defender for Endpoint 的美国政府客户使用。
设备运行状况报告现在可供 GCC、GCC High 和 DoD 客户使用。
故障排除模式现在可用于更多 Windows 操作系统，包括Windows Server 2012 R2 及更高版本。有关所需更新的详细信息，请参阅文章。

2022 年 8 月

设备运行状况
设备运行状况状态卡显示特定设备的汇总运行状况报告。
设备运行状况报告 (预览版)
设备状态报告提供有关组织中设备的概要信息。该报告包括显示传感器运行状况、防病毒状态、OS 平台和Windows 10版本的趋势信息。
macOS 上的篡改防护现已正式发布
此功能将在默认启用审核模式的情况下发布，你可以决定是强制实施 (阻止) 还是关闭该功能。今年晚些时候，我们将提供逐步推出机制，该机制会自动将终结点切换到阻止模式：请注意，仅当尚未选择启用 (块模式) 或禁用该功能时，此功能才适用。
适用于 macOS 和 Linux 的网络保护和 Web 保护现已推出公共预览版！
网络保护有助于减少设备受到基于 Internet 的事件的攻击面。它可以防止员工使用任何应用程序访问在 Internet 上托管网络钓鱼欺诈、攻击和其他恶意内容的危险域。它是构建适用于Microsoft Defender for Endpoint的 Web 保护的基础。这些功能包括 Web 威胁防护、Web 内容筛选和 IP/URL 自定义指示器。通过 Web 保护，可以保护设备免受 Web 威胁，并有助于监管不需要的内容。
改进了 Windows Server 2012 R2 和 Windows Server 2016 的 Microsoft Defender for Endpoint (MDE) 载入
Configuration Manager版本 2207 现在支持自动部署适用于 Windows Server 2012 R2 2016 & 的新式统一Microsoft Defender for Endpoint。如果Windows Server 2012和 2016 设备针对Microsoft Defender for Endpoint载入策略，则使用统一代理而不是基于现有 Microsoft Monitoring Agent 的解决方案（如果通过客户端设置进行配置）。

2022 年 7 月

添加域控制器设备 - 评估实验室增强功能
现已正式发布 - 添加域控制器以运行复杂方案，例如跨多个设备进行横向移动和多阶段攻击。
宣布Microsoft Defender for Endpoint中的“文件”页增强功能
你是否调查过Microsoft Defender for Endpoint中的文件？现在，我们最近宣布了“文件”页面和侧面板的增强功能，使其更加轻松。用户现在可以通过在一个位置托管所有这些信息的更高效的导航体验来简化流程。
引入新的警报抑制体验
我们很高兴地分享新的高级警报抑制体验现已正式发布。新体验提供更严格的粒度和控制，允许用户优化Microsoft Defender for Endpoint警报。
使用“包含”防止已泄露的非托管设备在组织中横向移动
从今天开始，当未在Microsoft Defender for Endpoint中注册的设备被怀疑遭到入侵时，作为 SOC 分析师，你将能够“包含”它。因此，在 Microsoft Defender for Endpoint 中注册的任何设备现在都将阻止与可疑设备的任何传入/传出通信。
现在，使用 Defender for Endpoint 的美国政府客户提供移动设备支持
美国政府客户的Microsoft Defender for Endpoint是在 Azure 美国政府环境中构建的，它使用与 Azure 商业版中的 Defender 相同的基础技术。此产品/服务适用于 GCC、GCC High 和 DoD 客户，并进一步将我们的平台可用性从 Windows、macOS 和 Linux 扩展到 Android 和 iOS 设备。

2022 年 6 月

Defender for Servers 计划 2 现在与 MDE 统一解决方案集成
现在，可以使用一个按钮开始将适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案部署到 Defender for Servers 计划 2 涵盖的服务器。
Android & iOS 上的 Microsoft Defender for Endpoint 移动网络保护现已以公共预览版提供
Microsoft 在 Defender for Endpoint 中提供了移动网络保护功能，可帮助组织在强大的威胁情报的帮助下识别、评估和修正终结点弱点。我们很高兴地宣布，用户现在可以从 Android 和 iOS 平台上的这项新功能中受益，Microsoft Defender for Endpoint。

2022 年 5 月

macOS (预览版) 的篡改保护
篡改保护有助于防止在 macOS 上未经授权删除Microsoft Defender for Endpoint。
添加域控制器设备 - 评估实验室增强 (预览版)
添加域控制器以跨多个设备运行复杂方案，例如横向移动和多阶段攻击。
Microsoft Defender for Endpoint的故障排除模式现已正式发布
引入故障排除模式，这是调查和调整设备上的配置的独特、创新且安全的方法。此模式将使设备上的本地管理员能够覆盖设备上的Microsoft Defender防病毒安全策略配置，包括篡改保护。
宣布推出适用于 Android Enterprise 的 Defender for Endpoint 个人配置文件的公共预览版
我们很高兴地宣布，希望在工作场所的 BYOD 计划中注册自己的设备的用户现在可以从其个人资料中Microsoft Defender for Endpoint提供的保护中受益。
Microsoft Defender for Endpoint中的安全设置管理现已正式发布
2021 年底，我们宣布Microsoft Defender for Endpoint扩展其配置管理功能。此版本使安全团队能够使用所需的安全设置配置设备，而无需部署和实施其他工具或基础结构。借助Microsoft Intune，组织可以从单个视图中管理防病毒 (AV) 、终结点检测和响应 (EDR) ，以及防火墙 (FW) 策略。今天，我们宣布此功能现已正式适用于 Windows 客户端和 Windows 服务器，支持Windows 10、Windows 11和Windows Server 2012 R2 或更高版本。

2022 年 4 月

更新了 Windows Server 2012 R2 和 Windows Server 2016) 的载入和功能奇偶校验
新的统一解决方案包现已正式发布，通过删除依赖项和安装步骤，可以更轻松地加入服务器。此外，此统一解决方案包还附带了许多新功能改进。
与 Tunnel for iOS 集成。 iOS 上的Microsoft Defender for Endpoint现在可以与 Microsoft Tunnel 集成，Microsoft Tunnel 是一种 VPN 网关解决方案，用于在单个应用中实现安全性和连接性。此功能以前仅在 Android 上可用。
Microsoft Defender for Endpoint Android 中的增强反恶意软件保护
我们很高兴地分享 Android 上Microsoft Defender for Endpoint恶意软件保护功能的主要更新。这些新功能构成了Microsoft Defender for Endpoint中下一代保护的主要组成部分。此保护将机器学习、大数据分析、深入威胁研究和 Microsoft 云基础结构结合在一起，以保护组织中的 Android 设备 (或终结点) 。
适用于 Linux 和 macOS 的增强反恶意软件引擎功能
我们宣布在 Linux 和 macOS 上使用新的增强引擎对下一代保护进行重大升级。 Microsoft Defender防病毒反恶意软件引擎是下一代保护的关键组件。这种保护带来了机器学习、大数据分析、深入的威胁研究和 Microsoft 云基础结构，以保护组织中的设备 (或终结点) 。此主要更新的主要优势包括性能和防护改进，以及添加对 macOS 和 Linux 上的自定义文件指示器的支持。
设备控制和Windows Defender防火墙的新报告功能
我们很高兴地宣布在Microsoft 365 Defender门户中推出新的终结点报告功能。此工作将新的终结点报表汇集在一起，以便只需单击几下即可查看环境中发生的情况。我们的报表旨在深入了解设备行为和活动，同时允许你充分利用Microsoft 365 Defender门户中的集成体验，例如设备时间线和高级搜寻。
Microsoft 365 Defender中的统一提交现已正式发布！
安全团队现在有一个“一站式商店”，用于在一个易于使用的提交体验中提交电子邮件、URL、电子邮件附件和文件。为了简化提交过程，我们很高兴地宣布在Microsoft 365 Defender门户中 () https://security.microsoft.com 推出新的统一提交体验。使用统一提交，可以在门户中将文件提交到Microsoft 365 Defender以供审阅。我们还将添加直接从Microsoft Defender for Endpoint警报页面提交文件的功能。
宣布扩展对实时响应 API 的支持和功能
我们很高兴地分享，我们将继续在Microsoft Defender for Endpoint的所有受支持平台上扩展对现有 API 的支持，同时宣布推出有助于简化和增强组织的响应自动化和业务流程的新 API。

2022 年 2 月

适用于 Microsoft 安全的 Splunk 加载项现已推出
我们很高兴地分享，Splunk 支持的适用于 Microsoft Security 的 Splunk 加载项现已推出。此加载项基于 Splunk 1.3.0 的 Microsoft 365 Defender 加载项构建，并将Microsoft Defender for Endpoint警报 API 属性或Microsoft 365 Defender事件 API 属性映射到 Splunk 的通用信息模型 (CIM) 。
弃用旧版 SIEM API - 已推迟
我们之前宣布，SIEM REST API 将于 2022 年 4 月 1 日弃用。我们已听取客户反馈，API 弃用现已推迟，更多详细信息预计将在 2022 年第 3 季度进行。我们期待在 2022 年第 3 季度分享有关 Microsoft Graph 中Microsoft 365 Defender API 的精彩详细信息。

2022 年 1 月

Android 和 iOS 漏洞管理现已正式发布
借助这种新的跨平台覆盖范围，危险和漏洞管理功能现在支持整个组织中的所有主要设备平台-跨工作站、服务器和移动设备。
Microsoft Defender for Endpoint计划 1 现已包含在 Microsoft 365 E3/A3 许可证中
从 1 月 14 日开始，Microsoft Defender for Endpoint计划 1 (P1) 将自动包含在 Microsoft 365 E3/A3 许可证中。
iOS 上Microsoft Defender for Endpoint的零接触载入现在以公共预览版提供
借助这项新功能，企业现在可以在注册Microsoft Intune的 iOS 设备上部署Microsoft Defender for Endpoint，而无需最终用户与应用交互。这可以缓解部署摩擦，并显著减少跨所有设备部署应用所需的时间，因为Microsoft Defender for Endpoint在目标设备上以静默方式激活并开始保护 iOS 资产。