Microsoft Defender 的新增功能

清單 Microsoft Defender 全面偵測回應 中的新功能。

如需其他 Microsoft Defender 安全性產品和 Microsoft Sentinel 新功能的詳細資訊，請參閱：

• 適用於 Office 365 的 Microsoft Defender 的新功能
• 適用於端點的 Microsoft Defender 新功能
• 適用於身分識別的 Microsoft Defender 的新功能
• Microsoft Defender for Cloud Apps 有什麼新功能
• Microsoft Sentinel 的新功能

您也可以透過 訊息中心 取得產品更新和重要通知。

2024年4月

• (預覽) Microsoft Defender 入口網站中的統一安全性作業平臺現已推出。 此版本將 Microsoft Sentinel、Microsoft Defender 全面偵測回應 和 Microsoft Copilot 的完整功能整合在 Microsoft Defender 中。 如需詳細資訊，請參閱下列資源：

  • 部落格公告： 整合安全性作業平臺已準備好徹底改變保護和效率
  • Microsoft Defender 入口網站中的 Microsoft Sentinel
  • 將 Microsoft Sentinel 連線到 Microsoft Defender 全面偵測回應
  • Microsoft Defender 中的 Microsoft Security Copilot

• (GA) Microsoft Copilot in Microsoft Defender 現已正式推出。 Defender 中的 Copilot 可協助您更快速且更有效率地調查和回應事件。 Copilot 提供引導式回應、事件摘要和報告、協助您建置 KQL 查詢以搜捕威脅、提供檔案和腳本分析，以及讓您摘要相關且可採取動作的威脅情報。

• Defender 客戶中的 Copilot 現在可以將事件數據匯出至 PDF。 使用導出的數據輕鬆地共用事件數據，促進與安全性小組和其他項目關係人的討論。 如需詳細資訊，請參閱 將事件數據匯出至 PDF。

• Microsoft Defender 入口網站中的通知現已可供使用。 在Defender入口網站右上方，選取鈴鐺圖示以檢視所有作用中通知。 支援不同類型的通知，例如成功、資訊、警告和錯誤。 關閉個別通知，或從 [通知] 索引標籤關閉所有通知。

• 數據 AzureResourceId 行會顯示與裝置相關聯之 Azure 資源的唯一標識碼，現在可在進階搜捕中的 DeviceInfo 數據表中取得。

2024 年 2 月

• (GA) 現在可在 Microsoft Defender 入口網站中使用深色模式。 在 Defender 入口網站的首頁右上方，選取 [ 深色模式]。 選取 [淺色模式 ] 將色彩模式變更回預設值。

• (GA) 將嚴重性指派給事件、 將事件指派給群組，現在已正式推出攻擊案例圖表中的 go 搜捕 選項。 若要瞭解如何 指派或變更事件嚴重性 ，並將 事件指派給群組 的指南，請參閱 管理事件 頁面。 瞭解如何藉由探索攻擊故事來使用 Go 搜捕選項。

• (Preview) Microsoft Graph 安全性 API 中的自定義偵測規則 現已推出。 建立組織專屬的進階搜捕自定義偵測規則，以主動監視威脅並採取動作。

警告

2024-02 平臺版本讓使用抽取式媒體原則且磁碟/裝置層級存取的客戶，只會 (小於 7) 的遮罩，導致裝置控制客戶產生不一致的結果。 強制執行可能無法如預期般運作。 若要減輕此問題，建議復原至舊版的Defender平臺。

2024 年 1 月

• Defender Boxed 可在一段有限的時間內使用。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 花點時間來慶祝貴組織在安全性狀態的改善、針對偵測到威脅的整體回應， (手動和自動) 、封鎖的電子郵件等等。

  • 當您移至 Microsoft Defender 入口網站中的 [事件] 頁面時，Defender Boxed 會自動開啟。
  • 如果您關閉 Defender Boxed 並想要重新開啟它，請在 Microsoft Defender 入口網站中移至 [事件]，然後選取 [您的 Defender Boxed]。
  • 快速採取行動！ Defender Boxed 僅提供一小段時間。

• 適用於 XDR 的 Defender 專家現在可讓您 使用 Teams 接收受控回應通知和更新。 您也可以與 Defender 專家討論發出受控回應的事件。

• (GA) 事件佇列可用篩選器 中的新功能現已正式推出。 藉由建立篩選集和儲存篩選查詢，根據您慣用的篩選器排定事件的優先順序。 在 [可用的篩選] 中深入瞭解事件佇列篩選。

• (雲端警示與 Microsoft Defender 全面偵測回應 整合的 GA) Microsoft Defender 現已正式推出。 深入瞭解 Microsoft Defender 全面偵測回應 中雲端 Microsoft Defender 整合。

• (GA) 活動記錄 現在可在事件頁面中取得。 使用活動記錄來檢視所有稽核和批注，並將批注新增至事件記錄檔。 如需詳細資訊，請參閱 活動記錄。

• (預覽) 進階搜捕中的查詢歷程記錄現已推出。 您現在可以重新執行或精簡最近執行的查詢。 在過去 28 天內，最多可在查詢歷程記錄窗格中載入 30 個查詢。

• (預覽) 您可用來進一步向 下切入 查詢結果的其他功能，現在可以使用進階搜捕。

2023 年 12 月

• Microsoft Defender 全面偵測回應 RBAC) (統一角色型訪問控制現已正式推出。 整合 (RBAC) 可讓系統管理員從單一集中式位置管理不同安全性解決方案的用戶權力。 此供應專案也適用於 GCC Moderate 客戶。 若要深入瞭解，請參閱 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 。

• Microsoft Defender XDR 專家現在可讓您從我們的專家所採取的補救動作中排除裝置，並改為取得這些實體的補救指引。

• Microsoft Defender 入口網站的事件佇列已更新篩選、搜尋及新增函式，您可以在其中建立自己的篩選集。 如需詳細資訊，請參閱 可用的篩選條件。

• 您現在可以將事件指派給使用者群組或其他使用者。 如需詳細資訊， 請參閱指派事件。

2023 年 11 月

• Microsoft Defender 搜補專家 現在可讓您產生範例 Defender 專家通知，讓您可以開始體驗服務，而不需要等待實際的重要活動在您的環境中發生。 深入了解

• (雲端警示的預覽) Microsoft Defender 現在已整合到 Microsoft Defender 全面偵測回應 中。 適用於雲端的Defender警示會自動與 Microsoft Defender入口網站中的事件和警示相互關聯，而且可以在事件和警示佇列中檢視雲端資源資產。 深入瞭解適用於雲端的Defender整合Microsoft Defender 全面偵測回應。

• (預覽版) Microsoft Defender 全面偵測回應 現在已內建內建的內建技術，可保護您的環境免於遭受使用人為操作橫向移動的高影響力攻擊。 深入瞭解容錯功能，以及如何 設定容錯功能。

• Microsoft Defender XDR 專家現在可讓您在準備適用於 XDR 的 Defender 專家服務的環境時，執行自己的整備評估。

2023 年 10 月

• (預覽) 您現在可以取得在 Microsoft Defender 全面偵測回應 中手動或自動化動作的電子郵件通知。 瞭解如何為在入口網站中執行的手動或自動回應動作設定電子郵件通知。 如需詳細資訊，請參閱取得 Microsoft Defender 全面偵測回應 中回應動作的電子郵件通知。

• (預覽版) Microsoft Security Copilot in Microsoft Defender 全面偵測回應 現在處於預覽狀態。 Microsoft Defender 全面偵測回應 使用者可以利用 Security Copilot 功能來摘要事件、分析腳本和程式代碼、使用引導式回應來解決事件、產生 KQL 查詢，以及在入口網站中建立事件報告。 安全性 Copilot 處於僅限邀請的預覽狀態。 深入瞭解 Microsoft 安全性 Copilot 搶先體驗計劃常見問題 中的安全性 Copilot。

2023 年 9 月

• (預覽版) 使用來自適用于身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 的資料進行自訂偵測，特別是 CloudAppEvents、IdentityDirectoryEvents、IdentityLogonEvents 和 IdentityQueryEvents資料表，現在可以以近乎即時的 連續 (NRT) 頻率執行。

2023 年 8 月

• 針對新使用者回應第一個事件的指南現在已上線。 瞭解事件 並瞭解如何分級和排定優先順序、使用教學課程和影片來 分析您的第一個事件，以及瞭解入口網站中可用的動作來 補救攻擊。

• (預覽版) 資產規則管理 - 裝置的動態規則 現在處於公開預覽狀態。 動態規則可以根據特定準則自動指派標籤和裝置值，以協助管理裝置內容。

• (預覽版) 進階搜捕中的 DeviceInfo 資料表現在也包含資料行 DeviceManualTags 和 DeviceDynamicTags 于公開預覽，以顯示與您正在調查之裝置相關的手動和動態指派標籤。

• 適用於 XDR 的 Microsoft Defender 專家中的 引導式回應 功能已重新命名為受控回應。 我們也在事件更新上新增了 新常見問題區段。

2023 年 7 月

• (GA) 事件中的 攻擊案例 現已正式推出。 攻擊案例提供攻擊的完整案例，並可讓事件回應小組檢視詳細資料並套用補救。

• 新的 URL 和網域頁面現在可在 Microsoft Defender 全面偵測回應 中使用。 更新的 URL 和網域頁面提供單一位置來檢視 URL 或網域的所有相關資訊，包括其信譽、點擊它的使用者、存取它的裝置，以及看到該 URL 或網域的電子郵件。 如需詳細資訊，請參閱調查 Microsoft Defender 全面偵測回應 中的URL。

2023 年 6 月

• (GA) 適用於 XDR 的 Defender 專家現已正式推出。 適用於 XDR 的 Defender 專家結合自動化和 Microsoft 的安全性分析師專業知識，協助您放心地偵測和回應威脅，並改善您的安全性狀態，以增強您的安全性作業中心。 Microsoft Defender XDR 專家與其他 Microsoft Defender 全面偵測回應 產品分開銷售。 如果您是 Microsoft Defender 全面偵測回應 客戶，而且有興趣購買適用於 XDR 的 Defender 專家，請參閱 XDR Microsoft Defender 專家概觀。

2023 年 5 月

• (GA) 警示微調 現已正式推出。 警示微調可讓您微調警示以減少調查時間，並專注于解決高優先順序警示。 警示微調會取代警示抑制功能。

• (GA) 自動攻擊中斷 現已正式推出。 這項功能會自動中斷人為操作的勒索軟體 (HumOR)、商業電子郵件入侵 (BEC) 以及中間敵人 (AiTM) 攻擊。

• (預覽版) 自訂函數 現在可在進階搜捕中使用。 您現在可以建立自己的自訂函數，以便在環境中搜捕時重複使用任何查詢邏輯。

2023 年 4 月

• (GA) [事件] 頁面中的統一 [資產] 索引標籤 現已正式推出。

• Microsoft 正在針對威脅執行者使用新的氣象型命名分類法。 這個新的命名結構描述將更清楚，而且更容易參考。 深入瞭解新的命名分類法。

2023 年 3 月

• (預覽版) Microsoft Defender 威脅情報 (Defender TI) 現在可在 Microsoft Defender 入口網站中使用。

這項變更會在名為 Threat Intelligence 的 Microsoft Defender 入口網站內導入新的導覽功能表。 深入了解

• (預覽版) 進階搜捕中 DeviceInfo資料表 的完整裝置報告現在會 每小時 傳送 (而非先前的每日頻率)。 此外，每當任何先前的報告有所變更時，也會傳送完整的裝置報告。 新的資料行也已新增至 DeviceInfo 資料表，並對 DeviceInfo 和 DeviceNetworkInfo 資料表中的現有資料進行了數項改進。

• (預覽版) 在進階搜捕自訂偵測中，近乎即時的自訂偵測現在可供公開預覽。 有新的 連續 (NRT) 頻率，它會在近乎即時地收集和處理事件資料時，檢查事件中的資料。

• (預覽版) Microsoft Defender for Cloud Apps 中的行為 現已可供公開預覽。 預覽版客戶現在也可以使用 BehaviorEntities 和 BehaviorInfo 資料表，在進階搜捕中搜捕行為。

2023 年 2 月

• (GA) 進階搜捕中的查詢資源報告 現已正式推出。

• (預覽版) 自動攻擊中斷 功能現在會中斷商業電子郵件外洩 (BEC)。

2023 年 1 月

• 新版的 Microsoft Defender 搜補專家報告現已推出。 報告的新介面現在可讓客戶更深入瞭解 Defender 專家在其環境中觀察到的可疑活動。 它也會顯示哪些可疑活動持續出現逐月趨勢。 如需詳細資訊，請參閱瞭解 Microsoft Defender 全面偵測回應 中的 Defender 搜補專家 報表。

• (GA) 即時回應現已正式推出 macOS 和 Linux 版本。

• (GA) 身分識別時間表現在已在 Microsoft Defender 全面偵測回應 的新 [身分識別] 頁面中正式推出。 更新的 [使用者] 頁面具有新外觀、相關資產的展開檢視，以及新的專用時間表索引標籤。時間表代表過去 30 天的活動和警示。 它會在所有可用的工作負載中，將使用者的身分識別專案一致：適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於端點的 Microsoft Defender。 使用時間表可協助您輕鬆地將焦點放在特定時間範圍內使用者的活動 (或在其上執行的活動)。

2022 年 12 月

• (預覽) RBAC) 模型的新 Microsoft Defender 全面偵測回應 角色型訪問控制 (現在可供預覽。 新的 RBAC 模型可讓安全性系統管理員以更高的效率集中管理單一系統內多個安全性解決方案的特殊權限，目前支援適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender 和適用於身分識別的 Microsoft Defender。 新模型與 Microsoft Defender 全面偵測回應 中目前支援的現有個別 RBAC 模型完全相容。 如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 角色型訪問控制 (RBAC) 。

2022 年 11 月

• (預覽版) 適用于 XDR 的 Microsoft Defender 專家 (適用于 XDR 的 Defender 專家) 現已可供預覽。 適用于 XDR 的 Defender 專家是受控偵測和回應服務，可協助您的安全性作業中心 (SOC) 專注並正確地回應重要的事件。 它會為使用 Microsoft Defender 全面偵測回應 工作負載的客戶提供延伸偵測和回應：適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 Azure Active Directory (Azure AD) 。 如需詳細資訊，請參閱 擴充的適用於 XDR 的 Microsoft Defender 專家預覽。

• (預覽版) 查詢資源報告現在可在進階搜捕中使用。 此報告會根據過去 30 天內使用任何搜捕介面執行的查詢，顯示貴組織對搜捕的 CPU 資源耗用量。 請參閱 檢視查詢資源報告 以尋找沒有效率的查詢。

2022 年 10 月

• (預覽) 新的自動攻擊中斷功能現在為預覽狀態。 這項功能結合了安全性研究深入解析和進階 AI 模型，以自動包含進行中的攻擊。 自動攻擊中斷也提供更多時間給安全性作業中心 (SOC) 以完全補救攻擊，並限制攻擊對組織的影響。 此預覽會自動中斷勒索軟體攻擊。

2022 年 8 月

• (GA) Microsoft Defender 搜補專家 現已正式推出。 如果您是 Microsoft Defender 全面偵測回應 客戶，但想要 Microsoft 協助您使用 Microsoft Defender 數據主動搜捕端點、Office 365、雲端應用程式和身分識別的威脅，請深入瞭解如何套用、設定及使用服務。 Defender 搜補專家 與其他 Microsoft Defender 全面偵測回應產品分開銷售。

• (預覽版) 引導模式 現在可在進階搜捕中公開預覽。 分析師現在可以開始查詢其資料庫的端點、身分識別、電子郵件 & 共同作業和雲端應用程式數據，而不需要知道 KQL Kusto 查詢語言 () 。 引導模式會透過包含可用篩選和條件的下拉式功能表，提供友善、易用、具建置組塊風格的建構查詢。 請參閱 開始使用查詢建立器。

2022 年 7 月

• (預覽) Microsoft Defender 搜補專家 公開預覽版參與者現在可以期待收到每月報告，以協助他們瞭解搜捕服務在其環境中所呈現的威脅，以及其 Microsoft Defender 全面偵測回應 產品所產生的警示。 如需詳細資訊，請參閱瞭解 Microsoft Defender 全面偵測回應 中的 Defender 搜補專家 報表。

2022 年 6 月

• (預覽版) DeviceTvmInfoGathering 和 DeviceTvmInfoGatheringKB 資料表現在可在進階搜捕結構描述中取得。 使用這些資料表來搜捕 Defender 弱點管理中的評量事件，包括各種設定的狀態和裝置的攻擊面區域狀態。

• Microsoft Defender 入口網站中新引進的自動化調查 & 回應卡提供擱置補救動作的概觀。

安全性作業小組可以檢視所有擱置核准的動作，以及在卡片本身核准這些動作的規定時間。 安全性小組可以快速瀏覽至控制中心，並採取適當的補救動作。 自動調查 & 回應卡也有 [完整自動化] 頁面的連結。 這可讓安全性作業小組有效地管理警示，並及時完成補救動作。

2022 年 5 月

• (預覽版) 根據最近宣佈的擴充至名為 Microsoft 安全性專家 的新服務類別，我們正在推出 Microsoft Defender 搜捕專家 (Defender 搜捕專家) 可用性的公開預覽版。 Defender 搜捕專家適用于擁有強大安全性作業中心但希望 Microsoft 協助他們主動搜捕跨 Microsoft Defender 資料的威脅的客戶，包括端點、Office 365、雲端應用程式和身分識別。

2022 年 4 月

• (預覽版) 現在可以直接從搜捕查詢結果對電子郵件訊息採取 動作。 可以將電子郵件移至其他資料夾或永久刪除。

• (預覽版) 進階搜捕中的新 UrlClickEvents資料表 可用來搜捕威脅 (如網路釣魚活動和根據來自電子郵件訊息、Microsoft Teams 和 Office 365 應用程式中 [安全連結] 點選的資訊的可疑連結等)。

2022 年 3 月

• (預覽版) 事件佇列已透過數個專為協助您調查而設計的功能來增強。 增強功能包括依識別碼或名稱搜尋事件、指定自訂時間範圍等功能。

2021 年 12 月

• (GA) 在進階搜捕的短期基礎上新增的 DeviceTvmSoftwareEvidenceBeta 資料表，可讓您檢視在裝置上偵測到特定軟體的證據。

2021 年 11 月

• (預覽) 適用於雲端應用程式的Defender的應用程式控管附加元件功能現在可在 Microsoft Defender 全面偵測回應 中使用。 應用程式控管提供安全性和原則管理功能，專為已啟用 OAuth 的應用程式所設計，可透過 Microsoft Graph API 存取 Microsoft 365 資料。 應用程式控管透過可採取動作的深入解析和自動化原則警示和動作，提供這些應用程式及其使用者存取、使用和共用儲存在 Microsoft 365 中敏感性資料之方式的完整可見度、補救和控管。 深入瞭解應用程式控管。

• (預覽版) 進階搜捕 頁面現在有多重資料表支援、智慧型捲動、簡化的結構描述索引標籤、進行查詢的快速編輯選項、查詢資源使用量指標以及其他改善功能，讓查詢更順暢且更容易進行微調。

• (預覽版) 您現在可以使用 連結到事件 功能，將進階搜捕查詢結果中的事件或記錄直接包含到您正在調查的新事件或現有事件中。

2021 年 10 月

• (GA) 在進階搜捕中，CloudAppEvents 資料表中新增了更多資料行。 您現在可以將 AccountType、IsExternalUser、IsImpersonated、IPTags、IPCategory 和 UserAgentTags 包含在查詢中。

2021 年 9 月

• (GA) 適用於 Office 365 的 Microsoft Defender 事件數據可在 Microsoft Defender 全面偵測回應 事件串流 API 中取得。 您可以在串流 API 中支援的 Microsoft Defender 全面偵測回應 事件類型中查看事件類型的可用性和狀態。

• (GA) 進階搜捕中的適用於 Office 365 的 Microsoft Defender 資料現已正式推出。

• (GA) 將事件和警示指派給使用者帳戶

  您可以在事件的 [管理事件] 窗格或警示的 [管理警示] 窗格上的 [指派給:]，將事件及其相關聯的所有警示指派給使用者帳戶。

2021 年 8 月

• (預覽版) 進階搜捕中的適用於 Office 365 的 Microsoft Defender 資料

  電子郵件資料表中的新資料行可讓您更深入瞭解電子郵件型威脅，以使用進階搜捕進行更徹底的調查。 您現在可以在 EmailEvents 中包含 AuthenticationDetails 資料行，在 EmailAttachmentInfo 中包含 FileSize 和在 EmailPostDeliveryEvents 資料表中包含 ThreatTypes 和 DetectionMethods。

• (預覽版) 事件圖表

  事件的 [摘要] 索引標籤上的新 [圖表] 索引標籤會顯示攻擊的完整範圍、攻擊如何隨著時間分散到您的網路、其開始位置，以及攻擊者所攻擊的程度。

2021 年 7 月

• 專業服務目錄

  使用支援的合作夥伴連線，增強平臺的偵測、調查和威脅情報功能。

2021 年 6 月

• (預覽) [檢視每個威脅卷標的報告] (threat-analytics.md#view- reports-by-category)

  威脅標籤可協助您專注于特定的威脅類別，並檢閱最相關的報告。

• (預覽版) 串流 API

  Microsoft Defender 全面偵測回應 支援透過進階搜捕將所有可用的事件串流至事件中樞和/或 Azure 儲存器帳戶。

• (預覽版) 在進階搜捕中採取動作

  迅速包含您在 進階搜捕 中找到的威脅或位址遭到洩漏的資產。

• (預覽版) 入口網站內結構描述參考

  直接在安全性中心中取得進階搜捕結構資料表的資訊。 除了資料表和資料行描述，這個參考資料還包含支援的事件類型 (ActionType 值) 和範例查詢。

• (預覽版) DeviceFromIP 函數

  取得在指定時間範圍內指派特定 IP 位址或位址之裝置的相關資訊。

2021 年 5 月

• Microsoft Defender 入口網站中的新警示頁面

  提供內容到攻擊的增強資訊。 您可以查看哪些其他觸發的警示造成目前的警示，以及與攻擊相關的所有受影響實體和活動，包括檔案、使用者和信箱。 如需詳細資訊，請參閱 調查警示。

• Microsoft Defender 入口網站中事件和警示的趨勢圖

  判斷單一事件是否有數個警示，或您的組織是否受到數個不同事件的攻擊。 如需詳細資訊，請參閱 優先處理事件。

2021 年 4 月

• Microsoft Defender XDR

  改良的 Microsoft Defender 全面偵測回應 入口網站現已推出。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分實別的 Defender 和更多功能帶到單一入口網站。 這是管理安全性控制項的新家。 了解新功能。

• Microsoft Defender 全面偵測回應 威脅分析報告

  威脅分析可協助您回應作用中攻擊的影響，並將其影響降到最低。 您也可以瞭解 Microsoft Defender 全面偵測回應 解決方案所封鎖的攻擊嘗試，並採取預防性動作來降低進一步暴露的風險並提高復原能力。 作為統一安全性體驗的一部分，威脅分析現在可供適用於端點的 Microsoft Defender 和適用於 Office 的 Microsoft Defender E5 授權持有者使用。

2021 年 3 月

• CloudAppEvents 資料表

  尋找 Microsoft Defender for Cloud Apps 涵蓋的各種雲端應用程式和服務中事件的相關資訊。 此資料表也包含先前在 AppFileEvents 資料表中提供的資訊。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。