Novità di Microsoft Defender XDR

Elenca le nuove caratteristiche e funzionalità di Microsoft Defender XDR.

Per ulteriori informazioni sulle novità degli altri prodotti di sicurezza Microsoft Defender e di Microsoft Sentinel, vedi:

• Novità per le operazioni di sicurezza unificata nel portale di Defender
• Novità di Microsoft Defender per Office 365
• Novità di Microsoft Defender per Endpoint
• Novità di Microsoft Defender per identità
• Novità di Microsoft Defender per le app cloud
• Novità di Microsoft Defender per il cloud
• Novità di Microsoft Sentinel
• Novità di Microsoft Purview

È anche possibile ottenere aggiornamenti del prodotto e notifiche importanti tramite il centro messaggi.

Luglio 2025

• (Anteprima) La tabella GraphApiAuditEvents nella ricerca avanzata è ora disponibile per l'anteprima. Questa tabella contiene informazioni sulle richieste API Microsoft Entra ID effettuate a Microsoft API Graph per le risorse nel tenant.

• (Anteprima) La DisruptionAndResponseEvents tabella, ora disponibile nella ricerca avanzata, contiene informazioni sugli eventi di interruzione automatica degli attacchi in Microsoft Defender XDR. Questi eventi includono sia eventi di applicazione di blocco che di criteri correlati ai criteri di interruzione degli attacchi attivati e azioni automatiche eseguite tra carichi di lavoro correlati. Aumentare la visibilità e la consapevolezza degli attacchi attivi e complessi interrotti dall'interruzione degli attacchi per comprendere l'ambito, il contesto, l'impatto e le azioni intraprese degli attacchi.

Giugno 2025

• (GA) Nella ricerca avanzata, Microsoft Defender utenti del portale possono ora usare l'operatore adx() per eseguire query sulle tabelle archiviate in Azure Esplora dati. Non è più necessario passare a Log Analytics in Microsoft Sentinel per usare questo operatore se si è già in Microsoft Defender.

Maggio 2025

• (Anteprima) Nella ricerca avanzata è ora possibile visualizzare tutte le regole definite dall'utente, sia regole di rilevamento personalizzate che regole di analisi, nella pagina Regole di rilevamento . Questa funzionalità offre anche i miglioramenti seguenti:

  • È ora possibile filtrare per ogni colonna (oltre a Frequenza e ambito aziendale).
  • Per le organizzazioni multilavoro che hanno caricato più aree di lavoro per Microsoft Defender, è ora possibile visualizzare la colonna ID area di lavoro e filtrare in base all'area di lavoro.
  • È ora possibile visualizzare il riquadro dei dettagli anche per le regole di analisi.
  • È ora possibile eseguire le azioni seguenti nelle regole di analisi: Attivazione/disattivazione, Eliminazione, Modifica.

• (Anteprima) È ora possibile evidenziare gli obiettivi delle operazioni di sicurezza e l'impatto delle Microsoft Defender usando il riepilogo della sicurezza unificato. Il riepilogo della sicurezza unificata è disponibile nel portale di Microsoft Defender e semplifica il processo per i team soc per generare report di sicurezza, risparmiando in genere tempo per la raccolta di dati da varie origini e la creazione di report. Per altre informazioni, vedere Visualizzare l'impatto sulla sicurezza con il riepilogo della sicurezza unificata.

• Gli utenti del portale di Defender che hanno caricato Microsoft Sentinel e hanno abilitato User and Entity Behavior Analytics (UEBA) possono ora sfruttare la nuova tabella unificata IdentityInfo nella ricerca avanzata. Questa versione più recente include ora il più grande set possibile di campi comuni sia ai portali di Defender che di Azure.

• (Anteprima) Le tabelle dello schema di ricerca avanzate seguenti sono ora disponibili per l'anteprima per facilitare l'analisi degli eventi di Microsoft Teams e delle informazioni correlate:

  • La tabella MessageEvents contiene informazioni dettagliate sui messaggi inviati e ricevuti all'interno dell'organizzazione al momento del recapito
  • La tabella MessagePostDeliveryEvents contiene informazioni sugli eventi di sicurezza che si sono verificati dopo il recapito di un messaggio di Microsoft Teams nell'organizzazione
  • La tabella MessageUrlInfo contiene informazioni sugli URL inviati tramite i messaggi di Microsoft Teams nell'organizzazione

Aprile 2025

• (Anteprima) È ora possibile creare indagini sulla sicurezza dei dati nel portale di Microsoft Defender con l'integrazione di Indagini sulla sicurezza dei dati di Microsoft Purview (anteprima) e Microsoft Defender XDR. Questa integrazione consente ai team del Centro operativo di sicurezza (SOC) di migliorare l'analisi e la risposta a potenziali incidenti di sicurezza dei dati, ad esempio violazioni dei dati o perdite di dati. Per altre informazioni, vedere Creare indagini sulla sicurezza dei dati nel portale di Microsoft Defender.

• (Anteprima) Contiene gli indirizzi IP dei dispositivi non ancora scoperti: l'anteprima è ora disponibile per contenere gli indirizzi IP associati ai dispositivi che non sono stati scoperti o che non sono stati caricati in Defender per endpoint. L'uso di un indirizzo IP impedisce agli utenti malintenzionati di distribuire attacchi ad altri dispositivi non compromessi. Per altre informazioni, vedere Contenere gli indirizzi IP dei dispositivi non scoperti .

• (Anteprima) La tabella OAuthAppInfo è ora disponibile per l'anteprima nella ricerca avanzata. La tabella contiene informazioni sulle applicazioni OAuth connesse a Microsoft 365 registrate con Microsoft Entra ID e disponibili nella funzionalità di governance delle app Defender for Cloud Apps.

• Le OnboardingStatus colonne e NetworkAdapterDnsSuffix sono ora disponibili nella DeviceNetworkInfo tabella nella ricerca avanzata.

Marzo 2025

• (Anteprima) La descrizione dell'evento imprevisto è stata spostata all'interno della pagina dell'evento imprevisto. La descrizione dell'evento imprevisto viene ora visualizzata dopo i dettagli dell'evento imprevisto. Per altre informazioni, vedere Dettagli dell'evento imprevisto.

• I criteri di avviso di Microsoft 365 possono ora essere gestiti solo nel portale di Microsoft Defender. Per altre informazioni, vedere Criteri di avviso in Microsoft 365.

• È ora possibile collegare i report di Analisi delle minacce durante la configurazione dei rilevamenti personalizzati. Altre informazioni

Febbraio 2025

• (Anteprima) Gli indirizzi IP possono ora essere esclusi dalle risposte automatizzate in caso di interruzione degli attacchi. Questa funzionalità consente di escludere indirizzi IP specifici dalle azioni di contenimento automatizzate attivate dall'interruzione degli attacchi. Per altre informazioni, vedere Escludere gli asset dalle risposte automatizzate nell'interruzione automatica degli attacchi.

• (Anteprima) La PrivilegedEntraPimRoles colonna è disponibile per l'anteprima nella tabella IdentityInfo di ricerca avanzata.

• (GA) È ora possibile visualizzare come Security Copilot fornito il suggerimento di query nelle relative risposte in Microsoft Defender ricerca avanzata. Selezionare Visualizza la logica alla base della query sotto il testo della query per verificare che la query sia allineata alle finalità e alle esigenze, anche se non si ha una conoscenza approfondita della KQL.