Microsoft Defender XDR 中的新增功能
Lists Microsoft Defender XDR 中的新特性和功能。
有关其他Microsoft Defender安全产品和 Microsoft Sentinel 的新增功能的详细信息,请参阅:
- Microsoft Defender for Office 365 中的新增功能
- Microsoft Defender for Endpoint 中的新增功能
- Microsoft Defender for Identity 中的新增功能
- Microsoft Defender for Cloud Apps 中的新增功能
- Microsoft Sentinel 中的新增功能
你还可以通过消息中心获取产品更新和重要通知。
2024 年 5 月
(预览版) Microsoft Defender 门户中的 SOC 优化页现在可用于统一安全操作平台。 集成 Microsoft Defender XDR 和 Microsoft Sentinel,并使用 SOC 优化来优化流程和结果,而无需让 SOC 团队花费时间进行手动分析和研究。 有关更多信息,请参阅:
2024 年 4 月
(预览版) Microsoft Defender 门户中的统一安全操作平台现已推出。 此版本汇集了 Microsoft Defender 中的 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的全部功能。 有关详细信息,请参阅以下资源:
Microsoft Defender 中的 (GA) Microsoft Copilot 现已正式发布。 Defender 中的 Copilot 可帮助你更快、更有效地调查和响应事件。 Copilot 提供引导式响应、事件摘要和报告,可帮助你构建 KQL 查询来搜寻威胁、提供文件和脚本分析,并使你能够汇总相关且可操作的威胁情报。
Defender 中的 Copilot 客户现在可以将事件数据导出到 PDF。 使用导出的数据轻松共享事件数据,促进与安全团队和其他利益干系人的讨论。 有关详细信息,请参阅 将事件数据导出到 PDF。
Microsoft Defender门户中的通知现已可用。 在 Defender 门户的右上角,选择铃铛图标,查看所有活动通知。 支持不同类型的通知,例如成功、信息、警告和错误。 从“通知”选项卡中关闭单个通知或全部关闭。
此
AzureResourceId
列显示与设备关联的 Azure 资源的唯一标识符,现已在高级搜寻的 DeviceInfo 表中提供。
2024 年 2 月
(正式版) 深色模式现已在 Microsoft Defender 门户中提供。 在 Defender 门户中的主页右上角,选择“ 深色模式”。 选择“ 浅色模式 ”,将颜色模式改回默认值。
(正式发布) 为事件分配严重性、 将事件分配给组以及攻击情景图中的 go 搜寻 选项现已正式发布。 有关如何 分配或更改事件严重性 以及 将事件分配给组 的指南位于 “管理事件 ”页中。 了解如何通过浏览攻击故事来使用 go 搜寻选项。
(预览版) Microsoft Graph 安全 API 中的自定义检测规则 现已推出。 Create特定于组织的高级搜寻自定义检测规则,以主动监视威胁并采取措施。
警告
2024-02 平台版本导致设备控制客户使用磁盘/设备级访问的可移动媒体策略的结果不一致, (掩码小于 7) 。 强制执行可能无法按预期工作。 若要缓解此问题,建议回滚到 Defender 平台的早期版本。
2024 年 1 月
Defender Boxed 在有限时间内可用。 Defender Boxed 重点介绍组织在 2023 年的安全成功、改进和响应操作。 花点时间庆祝组织在安全状况方面的改进、对检测到的威胁的总体响应 (手动和自动) 、阻止的电子邮件等。
- 转到 Microsoft Defender 门户中的“事件”页时,Defender Boxed 会自动打开。
- 如果关闭 Defender Boxed 并想要重新打开它,请在Microsoft Defender门户中转到“事件”,然后选择“你的 Defender Boxed”。
- 快速行动! Defender Boxed 仅在短时间内可用。
适用于 XDR 的 Defender 专家现在允许 你使用 Teams 接收托管响应通知和更新。 还可以与 Defender 专家就发出托管响应的事件进行聊天。
(GA) 事件队列的可用筛选器 中的新功能现已正式发布。 通过创建筛选器集并保存筛选器查询,根据首选筛选器确定事件的优先级。 在可用筛选器中详细了解事件队列 筛选器。
(正式版云警报与 Microsoft Defender XDR 集成) Microsoft Defender 现已正式发布。 详细了解 Microsoft Defender XDR Microsoft Defender for Cloud 中的集成。
(正式发布) 活动日志 现在可在事件页中使用。 使用活动日志查看所有审核和注释,并向事件的日志添加注释。 有关详细信息,请参阅 活动日志。
(预览版) 高级搜寻中的查询历史记录现已推出。 现在可以重新运行或优化最近运行的查询。 查询历史记录窗格中最多可以加载过去 28 天内的 30 个查询。
(预览版) 高级搜寻中可用于从查询结果进一步 向下钻取 的其他功能现已推出。
2023 年 12 月
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) 现已正式发布。 统一 (RBAC) 允许管理员从单个集中位置跨不同安全解决方案管理用户权限。 GCC Moderate 客户也可以使用此产品/服务。 若要了解详细信息,请参阅 Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 。
Microsoft Defender XDR 专家现在允许从专家采取的修正操作中排除设备,并获取这些实体的修正指导。
Microsoft Defender门户的事件队列已更新筛选器、搜索,并添加了一个新函数,可在其中创建自己的筛选器集。 有关详细信息,请参阅 可用筛选器。
现在可以将事件分配给用户组或其他用户。 有关详细信息,请参阅 分配事件。
2023 年 11 月
Microsoft Defender 搜寻专家现在可生成示例 Defender 专家通知,以便可以开始体验服务,而无需等待环境中发生实际的关键活动。 了解更多
(预览版云警报) Microsoft Defender 现已集成到 Microsoft Defender XDR 中。 Defender for Cloud 警报自动关联到Microsoft Defender门户中的事件和警报,可以在事件和警报队列中查看云资源资产。 详细了解 Microsoft Defender XDR 中的 Defender for Cloud 集成。
(预览版) Microsoft Defender XDR 现在内置了欺骗技术,以保护你的环境免受使用人工操作的横向移动的高影响攻击。 详细了解欺骗功能以及如何 配置欺骗功能。
Microsoft Defender XDR 专家现在允许你在为 Defender Experts for XDR 服务准备环境时执行自己的就绪情况评估。
2023 年 10 月
(预览版) 现在可以获取在 Microsoft Defender XDR 中完成的手动或自动操作电子邮件通知。 了解如何为门户中执行的手动或自动响应操作配置电子邮件通知。 有关详细信息,请参阅获取Microsoft Defender XDR中的响应操作电子邮件通知。
Microsoft Defender XDR 中的 Microsoft Security Copilot (预览版) 现已推出预览版。 Microsoft Defender XDR用户可以利用安全 Copilot 功能来汇总事件、分析脚本和代码、使用引导响应来解决事件、生成 KQL 查询并在门户中创建事件报告。 安全性 Copilot 处于仅对受邀用户提供预览版。 在 Microsoft 安全 Copilot 抢先体验计划常见问题解答中详细了解安全 Copilot。
2023 年 9 月
- (预览版)使用来自 Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 的数据的自定义检测,具体而言,
CloudAppEvents
、IdentityDirectoryEvents
、IdentityLogonEvents
和IdentityQueryEvents
表 现在可以以接近实时的连续 (NRT) 频率运行。
2023 年 8 月
新用户首次事件响应指南现已上线。 了解事件并学会分流和优先处理,使用教程和视频分析首次事件,并通过了解门户网站中的可用操作来修复攻击。
(预览版)资产规则管理 - 设备的动态规则现提供公共预览版。 动态规则可以通过根据特定条件自动分配标记和设备值来帮助管理设备上下文。
(预览版)高级搜寻中的 DeviceInfo 表现在还包括公共预览版中的列
DeviceManualTags
和DeviceDynamicTags
,以手动和动态地显示与你正在调查的设备相关的标记。Microsoft Defender Experts for XDR 中的引导式响应功能已重命名为“托管响应”。 我们还添加了有关事件更新的 新常见问题解答部分。
2023 年 7 月
(正式发布)事件中的“攻击情景”现已正式发布。 攻击情景提供攻击的完整情景,并允许事件响应团队查看详细信息并应用修正。
Microsoft Defender XDR中现在提供了新的 URL 和域页面。 更新后的 URL 和域页面提供了一个位置来查看有关 URL 或域的所有信息,包括其信誉、单击它的用户、访问它的设备,以及看到 URL 或域的电子邮件。 有关详细信息,请参阅调查Microsoft Defender XDR中的 URL。
2023 年 6 月
- (正式发布)Microsoft Defender Experts for XDR 现已正式发布。 Defender Experts for XDR 通过结合自动化和 Microsoft 的安全分析师专业知识,增强你的安全运营中心,帮助你自信地检测和应对威胁,并改善你的安全状况。 Microsoft Defender XDR 专家与其他Microsoft Defender XDR产品分开销售。 如果你是Microsoft Defender XDR客户,并且有兴趣购买适用于 XDR 的 Defender 专家,请参阅 XDR Microsoft Defender专家概述。
2023 年 5 月
(正式发布)警报优化现已正式发布。 通过警报优化,可以微调警报以缩短调查时间,并专注于解决高优先级警报。 “警报优化”将替换“警报抑制”功能。
(正式发布)自动攻击中断现已正式发布。 此功能会自动中断人工操作的勒索软件 (HumOR)、企业电子邮件泄露 (BEC) 和中间人攻击 (AiTM)。
(预览版)自定义函数现可用于高级搜寻。 现在可以创建自己的自定义函数,以便在环境中搜寻时可以重复使用任何查询逻辑。
2023 年 4 月
(正式发布)“事件”页中的“统一资产”选项卡现已正式发布。
Microsoft 正在使用一种基于天气的命名分类法来描述威胁行为者。 此新的命名架构将提供更清晰的说明,并且更易于引用。 详细了解新的威胁参与者分类。
2023 年 3 月
- (预览版) Microsoft Defender 威胁智能 (Defender TI) 现已在 Microsoft Defender 门户中提供。
此更改在Microsoft Defender门户中引入了名为“威胁情报”的新导航菜单。 了解更多
(预览版)高级搜寻中
DeviceInfo
表的完整设备报告现在每小时发送一次(而不是按以前的每日节奏)。 此外,每当更改任何以前的报表时,也会发送完整的设备报告。 此外,还向DeviceInfo
表添加了新列,并对DeviceInfo
和 DeviceNetworkInfo 表中的现有数据进行了多项改进。(预览版)近实时自定义检测现可用于高级搜寻自定义检测中的公共预览版。 有一个新的连续 (NRT) 频率,它以近实时收集和处理事件时检查事件的数据。
(预览版)Microsoft Defender for Cloud Apps 中的行为现提供公共预览版。 预览版客户现在还可以使用 BehaviorEntities 和 BehaviorInfo 表在高级搜寻中搜寻行为。
2023 年 2 月
(正式发布)高级搜寻中的查询资源报表现已正式发布。
(预览版)自动攻击中断功能现在会中断企业电子邮件泄露 (BEC)。
2023 年 1 月
新版本的 Microsoft Defender 搜寻专家报告现已发布。 报表的新界面现在可让客户更详细地了解 Defender 专家在其环境中观察到的可疑活动。 它还显示了哪些可疑活动在逐月呈持续增长趋势。 有关详细信息,请参阅了解Microsoft Defender XDR中的Defender 搜寻专家报表。
(正式发布)实时响应现已正式发布到 macOS 和 Linux。
(正式版) 标识时间线现已正式发布,作为 Microsoft Defender XDR 中新“标识”页的一部分。 更新后的“用户”页面具有新外观、相关资产的扩展视图和新的专用时间线选项卡。时间线表示过去 30 天的活动和警报。 它将跨所有可用工作负载(Microsoft Defender for Identity、Microsoft Defender for Cloud Apps和Microsoft Defender for Endpoint)统一用户的标识条目。 使用时间线可帮助你轻松专注于特定时间范围内用户的活动(或对其执行的活动)。
2022 年 12 月
- (预览版) 新的 Microsoft Defender XDR基于角色的访问控制 (RBAC) 模型现已推出预览版。 新的 RBAC 模型使安全管理员能够以更高的效率集中管理单个系统内多个安全解决方案的特权,目前支持 Microsoft Defender for Endpoint、Microsoft Defender for Office 365 和 Microsoft Defender for Identity。 新模型与 Microsoft Defender XDR 中当前支持的现有单个 RBAC 模型完全兼容。 有关详细信息,请参阅 Microsoft Defender XDR基于角色的访问控制 (RBAC) 。
2022 年 11 月
(预览版)Microsoft Defender Experts for XDR (Defender Experts for XDR) 现提供预览版。 Defender Experts for XDR 是一种托管检测和响应服务,可帮助安全运营中心 (SOC) 专注于并准确响应重要的事件。 它为使用Microsoft Defender XDR工作负载的客户提供扩展的检测和响应:Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps 和 Azure Active Directory (Azure AD) 。 有关详细信息,请参阅扩展的 Microsoft Defender Experts for XDR 预览版。
(预览版)查询资源报表现已在高级搜寻中提供。 该报告显示了组织在过去 30 天内使用任何搜寻界面运行的查询所消耗的 CPU 资源。 请参阅“查看查询资源报表”以查找效率低下的查询。
2022 年 10 月
- (预览版)新的自动攻击中断功能现已提供预览版。 该功能结合了安全研究见解和先进的 AI 模型,可自动遏制正在进行的攻击。 自动攻击中断还为安全操作中心 (SOC) 提供了更多时间来完全修正攻击,并限制攻击对组织的影响。 此预览会自动中断勒索软件攻击。
2022 年 8 月
(正式发布)Microsoft Defender 搜寻专家现已正式发布。 如果你是具有强大安全运营中心的Microsoft Defender XDR客户,但希望 Microsoft 帮助你使用Microsoft Defender数据跨终结点、Office 365、云应用程序和标识主动搜寻威胁,请详细了解如何应用、设置和使用服务。 Defender 搜寻专家与其他Microsoft Defender XDR产品分开销售。
(预览版)引导模式现可用于高级搜寻中的公共预览版。 分析人员现在可以开始查询其数据库中的终结点、标识、电子邮件 & 协作和云应用数据,而无需知道 Kusto 查询语言 (KQL) 。 引导模式具有易于使用的友好构建基块样式,通过包含可用筛选器和条件的下拉菜单构造查询。 请参阅查询生成器入门。
2022 年 7 月
- (预览版) Microsoft Defender 搜寻专家 公共预览版参与者现在可以期待收到每月报告,以帮助他们了解搜寻服务在其环境中出现的威胁,以及Microsoft Defender XDR产品生成的警报。 有关详细信息,请参阅了解Microsoft Defender XDR中的Defender 搜寻专家报表。
2022 年 6 月
(预览版)DeviceTvmInfoGathering 和 DeviceTvmInfoGatheringKB 表现已在高级搜寻架构中提供。 使用这些表在 Defender 漏洞管理中查找评估事件,包括各种配置的状态和设备的攻击外围状态。
Microsoft Defender 门户中新引入的自动调查 & 响应卡概述了挂起的修正操作。
安全运营团队可以查看所有待审批的操作,以及批准卡片本身中这些操作的指定时间。 安全团队可以快速导航到操作中心并采取适当的修正措施。 自动调查 & 响应卡还提供了指向“完全自动化”页的链接。 这使安全运营团队能够有效地管理警报并及时完成修正操作。
2022 年 5 月
- (预览版)根据最近宣布扩展到名为“Microsoft 安全专家”的新服务类别,我们将推出 Microsoft Defender 搜寻专家(Defender 搜寻专家)公开预览版。 Defender 搜寻专家适用于拥有可靠安全运营中心但希望 Microsoft 帮助他们主动搜寻跨 Microsoft Defender 数据(包括终结点、Office 365、云应用程序和标识)的威胁的客户。
2022 年 4 月
(预览版)现在可以直接从搜寻查询结果对电子邮件执行操作。 电子邮件可以移动到其他文件夹或永久删除。
(预览版)高级搜寻中的新
UrlClickEvents
表可用于根据电子邮件、Microsoft Teams 和 Office 365 应用中的安全链接单击中的信息来搜寻网络钓鱼活动和可疑链接等威胁。
2022 年 3 月
- (预览版)事件队列已通过几项旨在帮助调查功能的功能得到增强。 增强功能包括按 ID 或名称搜索事件、指定自定义时间范围等功能。
2021 年 12 月
- (正式发布)该
DeviceTvmSoftwareEvidenceBeta
表是在高级搜寻中短期添加的,用于查看设备上检测到特定软件的证据。
2021 年 11 月
(预览版) Defender for Cloud Apps 的应用程序治理加载项功能现已在 Microsoft Defender XDR 中提供。 应用管理提供了一种安全性和策略管理功能,专为支持 OAuth 的应用而设计,这些应用通过 Microsoft Graph API 访问 Microsoft 365 数据。 应用治理通过可操作的见解和自动化的策略警报和操作,对这些应用及其用户如何访问、使用和共享存储在 Microsoft 365 中的敏感数据提供全面的可见性、修复和治理。 了解有关应用程序治理的详细信息。
(预览版)高级搜寻页面现在提供多重表支持、智能滚动、简化的架构选项卡、查询的快速编辑选项、查询资源使用指示器和其他改进,使查询更流畅、更易于微调。
(预览版)现在可以使用链接到事件功能将高级搜寻查询结果中的事件或记录直接包含到你正在调查的新事件或现有事件中。
2021 年 10 月
- (正式发布)在高级搜寻中,CloudAppEvents 表中添加了更多列。 现在可以将
AccountType
、IsExternalUser
、IsImpersonated
、IPTags
、IPCategory
和UserAgentTags
包含到查询中。
2021 年 9 月
Microsoft Defender XDR事件流式处理 API 中提供了 (GA) Microsoft Defender for Office 365 事件数据。 可以在流式处理 API 中支持的Microsoft Defender XDR事件类型中查看事件类型的可用性和状态。
(正式发布)高级搜寻中提供的 Microsoft Defender for Office 365 数据现已正式发布。
(正式发布)将事件和警报分配给用户帐户
可以将事件及其关联的所有警报分配给用户帐户,从“分配到:事件的“管理事件”窗格上的 或警报的“管理警报”窗格。
2021 年 8 月
(预览版)高级搜寻中提供的 Microsoft Defender for Office 365 数据
电子邮件表中的新列可以更深入地了解基于电子邮件的威胁,以便使用高级搜寻进行更全面的调查。 现在可以在 EmailEvents 中的
AuthenticationDetails
列、 EmailAttachmentInfo 中的FileSize
以及 EmailPostDeliveryEvents 表中的ThreatTypes
和DetectionMethods
。(预览版)事件图
事件的“摘要”选项卡上的一个新的“图”选项卡显示攻击的全部范围、攻击如何随时间推移在网络中传播、其开始的位置以及攻击者执行了多长时间。
2021 年 7 月
-
通过受支持的合作伙伴连接,增强平台的检测、调查和威胁情报功能。
2021 年 6 月
(预览) [查看每个威胁标记的报告] (threat-analytics.md#view- reports-by-category)
威胁标记可帮助你专注于特定的威胁类别并查看最相关的报告。
(预览版)流式处理 API
Microsoft Defender XDR支持将通过高级搜寻提供的所有事件流式传输到事件中心和/或 Azure 存储帐户。
(预览版)在高级搜寻中采取措施
快速包含威胁或处理在高级搜寻中发现的外泄资产。
(预览版)门户内架构参考
直接在安全中心获取有关高级搜寻架构表的信息。 除了表和列的描述之外,此引用包括受支持的事件类型(
ActionType
值)和示例查询。(预览版)DeviceFromIP() 函数
获取有关在给定时间范围内为哪些设备分配了特定 IP 地址的信息。
2021 年 5 月
-
提供有关攻击上下文的增强信息。 可以看到哪些其他触发的警报导致了当前警报,以及攻击涉及的所有受影响实体和活动,包括文件、用户和邮箱。 有关详细信息,请参阅调查警报。
Microsoft Defender门户中事件和警报的趋势图
确定单个事件是否存在多个警报,或者组织是否受到多个不同事件的攻击。 有关详细信息,请参阅优先处理事件。
2021 年 4 月
Microsoft Defender XDR
改进的Microsoft Defender XDR门户现已推出。 此新体验将 Defender for Endpoint、Defender for Office 365、Defender for Identity 等整合到单个门户中。 这是管理安全控制的新主页。 了解新增功能。
-
威胁分析可帮助你响应并最大程度地减少活动攻击的影响。 还可以了解Microsoft Defender XDR解决方案阻止的攻击尝试,并采取预防性措施,以降低进一步暴露的风险并提高复原能力。 作为统一安全体验的一部分,威胁分析现在适用于 Microsoft Defender for Endpoint 和 Microsoft Defender for Office E5 许可证持有者。
2021 年 3 月
-
查找有关 Microsoft Defender for Cloud Apps 涵盖的各种云应用和服务中的事件的信息。 此表还包括之前在
AppFileEvents
表中提供的信息。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈