Новые возможности Microsoft Defender XDR

Список новых функций и возможностей Microsoft Defender XDR.

Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender и Microsoft Sentinel см.:

• Новые возможности унифицированных операций безопасности на портале Defender
• Новые возможности Microsoft Defender для Office 365
• Новые возможности Microsoft Defender для конечной точки
• Новые возможности Microsoft Defender для удостоверений
• Новые возможности Microsoft Defender for Cloud Apps
• Новые возможности Microsoft Defender для облака
• Новые возможности Microsoft Sentinel
• Новые возможности Microsoft Purview

Вы также можете получать обновления продуктов и важные уведомления через Центр сообщений.

Июль 2025 г.

• (предварительная версия) Таблица GraphApiAuditEvents в расширенной охоте теперь доступна для предварительной версии. Эта таблица содержит сведения о Microsoft Entra ID запросах API, сделанных в Microsoft API Graph для ресурсов в клиенте.

• (предварительная версия) ТаблицаDisruptionAndResponseEvents, теперь доступная в расширенной охоте, содержит сведения о событиях нарушения автоматической атаки в Microsoft Defender XDR. К этим событиям относятся события приложения блоков и политик, связанные с политиками нарушения атак, а также автоматические действия, выполняемые в связанных рабочих нагрузках. Повысьте видимость и осведомленность об активных, сложных атаках, нарушенных из-за нарушения атаки, чтобы понять область, контекст, влияние и предпринятые действия.

Июнь 2025 г.

• (общедоступная версия) При расширенной охоте пользователи портала Microsoft Defender теперь могут использовать adx() оператор для запроса таблиц, хранящихся в Azure Data Explorer. Вам больше не нужно переходить к log Analytics в Microsoft Sentinel, чтобы использовать этот оператор, если вы уже используете Microsoft Defender.

Май 2025 г.

• (предварительная версия) При расширенной охоте теперь можно просмотреть все определяемые пользователем правила (пользовательские правила обнаружения и правила аналитики) на странице Правила обнаружения . Эта функция также обеспечивает следующие улучшения:

  • Теперь можно фильтровать по каждому столбцу (в дополнение к частоте и организационным область).
  • Для организаций с несколькими рабочими областями, которые подключены к Microsoft Defender, теперь можно просмотреть столбец Идентификатор рабочей области и выполнить фильтрацию по рабочей области.
  • Теперь вы можете просматривать область сведений даже для правил аналитики.
  • Теперь вы можете выполнять следующие действия с правилами аналитики: Включить или отключить, Удалить, Изменить.

• (предварительная версия) Теперь вы можете выделить достижения операций безопасности и влияние Microsoft Defender с помощью единой сводки по безопасности. Сводка по единой безопасности доступна на портале Microsoft Defender и упрощает процесс создания отчетов по безопасности для команд SOC, экономя время, обычно затрачиваемое на сбор данных из различных источников и создание отчетов. Дополнительные сведения см. в статье Визуализация влияния на безопасность с помощью сводки по единой безопасности.

• Пользователи портала Defender, которые подключены Microsoft Sentinel и включили аналитику поведения пользователей и сущностей (UEBA), теперь могут воспользоваться преимуществами новой унифицированной IdentityInfo таблицы в расширенной охоте. Эта последняя версия теперь включает в себя максимально возможный набор полей, общих для порталов Defender и Azure.

• (предварительная версия) Следующие расширенные таблицы схем охоты теперь доступны для предварительной версии, которые помогут вам просматривать события Microsoft Teams и связанную информацию:

  • Таблица MessageEvents содержит сведения о сообщениях, отправленных и полученных в организации во время доставки.
  • Таблица MessagePostDeliveryEvents содержит сведения о событиях безопасности, произошедших после доставки сообщения Microsoft Teams в организации.
  • Таблица MessageUrlInfo содержит сведения о URL-адресах, отправляемых через сообщения Microsoft Teams в вашей организации.

Апрель 2025 г.

• (предварительная версия) Теперь вы можете создавать исследования безопасности данных на портале Microsoft Defender с интеграцией Исследования по безопасности данных Microsoft Purview (предварительная версия) и Microsoft Defender XDR. Эта интеграция позволяет командам центра управления безопасностью (SOC) улучшить свое расследование и реагирование на потенциальные инциденты безопасности данных, такие как утечка данных или утечка данных. Дополнительные сведения см. в статье Создание исследований безопасности данных на портале Microsoft Defender.

• (предварительная версия) Содержать IP-адреса неоткрытых устройств. Содержит IP-адреса, связанные с устройствами, которые не были открыты или не подключены к Defender для конечной точки, теперь доступна в предварительной версии. Содержащие IP-адрес не позволяют злоумышленникам распространять атаки на другие не скомпрометированные устройства. Дополнительные сведения см. в статье Добавление IP-адресов неоткрытых устройств .

• (предварительная версия) Таблица OAuthAppInfo теперь доступна для предварительной версии в расширенной охоте. Таблица содержит сведения о приложениях OAuth, подключенных к Microsoft 365, зарегистрированных в Microsoft Entra ID и доступных в Defender for Cloud Apps возможности управления приложениями.

• OnboardingStatus Столбцы и NetworkAdapterDnsSuffix теперь доступны в таблице в расширенной DeviceNetworkInfo охоте.

Март 2025 г.

• (предварительная версия) Описание инцидента перемещено на страницу инцидента. Описание инцидента теперь отображается после сведений об инциденте. Дополнительные сведения см. в разделе Сведения об инциденте.

• Теперь политиками оповещений Microsoft 365 можно управлять только на портале Microsoft Defender. Дополнительные сведения см. в статье Политики оповещений в Microsoft 365.

• Теперь при настройке пользовательских обнаружений можно связать отчеты аналитики угроз. Подробнее

Февраль 2025 г.

• (предварительная версия) IP-адреса теперь можно исключить из автоматических ответов при нарушении атаки. Эта функция позволяет исключить определенные IP-адреса из автоматических действий по сдерживанию, вызванных нарушением атаки. Дополнительные сведения см. в статье Исключение ресурсов из автоматических ответов при прерывании автоматической атаки.

• (предварительная версия) Столбец PrivilegedEntraPimRoles доступен для предварительной версии в таблице Advanced Hunting IdentityInfo .

• (общедоступная версия) Теперь вы можете просмотреть, как Security Copilot пришли к предложению запроса в своих ответах в Microsoft Defender расширенной охоты. Выберите Просмотреть логику запроса под текстом запроса, чтобы убедиться, что запрос соответствует вашему намерению и потребностям, даже если у вас нет экспертного понимания KQL.