Новые возможности Microsoft Defender XDR

Список новых функций и возможностей Microsoft Defender XDR.

Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender и Microsoft Sentinel см.:

• Новые возможности унифицированных операций безопасности на портале Defender
• Новые возможности Microsoft Defender для Office 365
• Новые возможности Microsoft Defender для конечной точки
• Новые возможности Microsoft Defender для удостоверений
• Новые возможности Microsoft Defender for Cloud Apps
• Новые возможности Microsoft Defender для облака
• Новые возможности Microsoft Sentinel
• Новые возможности Microsoft Purview

Вы также можете получать обновления продуктов и важные уведомления через Центр сообщений.

Январь 2026 г.

• (предварительная версия) При расширенной охоте, если результат запроса превышает ограничение в 64 МБ, портал теперь возвращает максимальное количество записей, которые он может превышать это ограничение, и отображает сообщение о том, что отображаемые результаты являются частичными из-за ограничений размера. Подробнее
• (предварительная версия) Таблицы BehaviorInfo и BehaviorEntities в расширенном поиске теперь содержат дополнительные столбцы и сведения о типах данных поведения и оповещениях из аналитики поведения пользователей и сущностей (UEBA), предоставляя дополнительные сведения о связях между идентифицированным поведением и сущностями. Дополнительные сведения о поведении UEBA

Декабрь 2025 г.

• (предварительная версия) Microsoft Security Copilot в Microsoft Defender теперь включает в себя динамический агент обнаружения угроз— постоянно включаемую адаптивную серверную службу, которая обнаруживает скрытые угрозы в средах Defender и Microsoft Sentinel. Подробнее
• (общедоступная версия) Агент Microsoft Security Copilot аналитики угроз в Microsoft Defender теперь общедоступен. Он создает инструктаж по аналитике угроз на основе последних действий субъектов угроз, а также внутренних и внешних сведений об уязвимостях за считанные минуты, помогая группам безопасности сэкономить время, создавая настраиваемые соответствующие отчеты.
• (предварительная версия) Microsoft Security Copilot в Microsoft Defender теперь позволяет искать угрозы с помощью естественного языка с помощью агента охоты на угрозы. Этот агент предоставляет полный опыт охоты на угрозы в беседе, не только создавая запросы, но и интерпретируя результаты, просматривая аналитические сведения и помогая вам выполнять полные сеансы охоты.
• (предварительная версия) Для предварительной версии доступны следующие расширенные таблицы схем охоты:
  • Таблица CampaignInfo содержит сведения о кампаниях электронной почты, определенных Microsoft Defender для Office 365
  • Таблица FileMaliciousContentInfo содержит сведения о файлах, обработанных Microsoft Defender для Office 365 в SharePoint Online, OneDrive и Microsoft Teams.
• (общедоступная версия) График охоты в расширенной охоте теперь общедоступен. В нем также есть два новых предопределенных сценария угроз, которые можно использовать для отображения охоты в виде интерактивных графиков.
• (общедоступная версия) Расширенная охота теперь поддерживает пользовательские функции, использующие табличные параметры. С помощью табличных параметров в качестве входных данных можно передавать целые таблицы. Такой подход позволяет создавать более модульную, многоразовую и выразительную логику в запросах охоты. Подробнее

Ноябрь 2025 г.

• Microsoft Sentinel клиенты, использующие портал Defender или портал Azure с соединителем данных Microsoft Sentinel Defender XDR, теперь также пользуются преимуществами оповещений Аналитики угроз Майкрософт, которые подчеркивают активность субъектов национальных государств, крупные кампании программ-шантажистов и мошеннические операции. Чтобы просмотреть эти типы оповещений, необходимо иметь роль администратора безопасности или глобального администратора . Значения "Источник службы", "Источник обнаружения" и "Название продукта" для этих оповещений отображаются как Microsoft Threat Intelligence. Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.
• (предварительная версия) Defender XDR теперь включает в себя возможность прогнозного экранирования, которая использует прогнозную аналитику и аналитические сведения в режиме реального времени для динамического определения риска, прогнозирования прогресса злоумышленников и усиления защиты среды до того, как угрозы материализуются. Подробнее
• (предварительная версия) Новое действие "Ограничить доступ к pod " теперь доступно при исследовании угроз контейнера на портале Defender. Это действие ответа блокирует конфиденциальные интерфейсы, которые обеспечивают боковое перемещение и повышение привилегий.
• (предварительная версия) Таблица IdentityAccountInfo в расширенной охоте теперь доступна для предварительной версии. Эта таблица содержит сведения об учетных записях из различных источников, включая Microsoft Entra ID. Он также содержит сведения и ссылку на удостоверение, которому принадлежит учетная запись.
• (предварительная версия) Аналитика угроз теперь имеет вкладку Индикаторы , которая предоставляет список всех индикаторов компрометации (IOCs), связанных с угрозой. Исследователи Майкрософт обновляют эти МВЦ в режиме реального времени, когда они находят новые доказательства, связанные с угрозой. Эти сведения помогают аналитикам центра управления безопасностью (SOC) и аналитикам угроз с помощью исправлений и упреждающей охоты. Подробнее
• (предварительная версия) В разделе "Обзор " аналитики угроз теперь содержатся дополнительные сведения об угрозе, такие как псевдоним, источник и связанная аналитика, с помощью чего вы узнаете, что такое угроза и как она может повлиять на вашу организацию.

Октябрь 2025 г.

• Эксперты по Microsoft Defender для XDR отчеты теперь включают вкладку Тренды, которая предоставляет ежемесячный объем расследованных и разрешенных инцидентов за последние шесть месяцев. Вкладка визуализирует данные в соответствии с серьезностью инцидентов, тактикой MITRE и типом угрозы. В этом разделе вы узнаете, как эксперты Defender заметно улучшают операции по обеспечению безопасности, показывая важные операционные метрики на ежемесячной основе.
• Microsoft Defender Отчеты экспертов по охоте теперь включают раздел о новых угрозах, в который подробно описаны упреждающие, основанные на гипотезах охоты эксперты Defender, проведенные в вашей среде. Каждый отчет теперь также включает сводки по расследованиям почти для каждой охоты, которую эксперты Defender проводят в вашей среде, независимо от того, определили ли они подтвержденную угрозу.

Сентябрь 2025 г.

• (предварительная версия) Используйте задачи на портале Microsoft Defender, чтобы разбить расследование инцидентов на практические действия и назначить их в рабочих группах. Задачи отображаются вместе с Security Copilot аналитическими сведениями, интерактивными ответами и отчетами, предоставляя вашей команде единое представление о ходе выполнения и дальнейших шагах. При подключении Microsoft Sentinel на портал Defender задачи, создаваемые в Microsoft Sentinel с помощью портал Azure, автоматически синхронизируются с порталом Defender. Дополнительные сведения см. в статье Оптимизация реагирования на инциденты с помощью задач на портале Microsoft Defender (предварительная версия)
• (предварительная версия) Исследуйте инциденты с помощью анализа радиуса взрыва, который представляет собой расширенную визуализацию графа, созданную на основе Microsoft Sentinel озера данных и инфраструктуры графов. Эта функция создает интерактивную диаграмму, показывающую возможные пути распространения от выбранного узла до предопределенных критических целевых объектов, ограниченных разрешениями пользователя.
• (предварительная версия) В расширенной охоте теперь можно выполнять охоту с помощью графа охоты, который отрисовывает предопределенные сценарии угроз в виде интерактивных графов.

Август 2025 г.

• (предварительная версия) При расширенном поиске вы можете дополнить пользовательские правила обнаружения , создав динамические заголовки и описания оповещений, выбрать более затронутые сущности и добавить настраиваемые сведения для отображения на боковой панели оповещений. Microsoft Sentinel клиенты, подключенные к Microsoft Defender, теперь также могут настроить частоту оповещений, если правило основано только на данных, которые подается в Sentinel.
• (предварительная версия) Для предварительной версии доступны следующие расширенные таблицы схем охоты:
  • Таблица CloudStorageAggregatedEvents содержит сведения о действиях хранения и связанных событиях.
  • Таблица IdentityEvents содержит сведения о событиях удостоверений, полученных от других поставщиков облачных служб удостоверений.
• (предварительная версия) Расширенная охота теперь позволяет исследовать Microsoft Defender для поведения в облаке. Дополнительные сведения см. в разделе Исследование поведения с помощью расширенной охоты.
• (предварительная версия) При расширенной охоте количество результатов запросов, отображаемых на портале Microsoft Defender, увеличилось до 100 000.
• (общедоступная версия) Эксперты по Microsoft Defender для XDR и Microsoft Defender эксперты по охоте теперь могут расширить охват своих служб, включив серверные и облачные рабочие нагрузки, защищенные Microsoft Defender для облака с помощью соответствующих надстроек. Microsoft Defender эксперты по серверам и эксперты по Microsoft Defender для охоты на серверы. Подробнее
• (общедоступная версия) Эксперты по Defender для XDR клиенты теперь могут включать сторонние сетевые сигналы для обогащения. Эта функция позволяет нашим аналитикам по безопасности получить более полное представление о пути атаки, что позволяет быстрее и тщательнее обнаруживать и реагировать на нее. Она также предоставляет клиентам более целостное представление об угрозе в их средах.
• (общедоступная версия) При расширенной охоте теперь можно просмотреть все определяемые пользователем правила (пользовательские правила обнаружения и правила аналитики) на странице Правила обнаружения . Эта функция также обеспечивает следующие улучшения:
  • Теперь можно фильтровать по каждому столбцу (в дополнение к частоте и организационным область).
  • Для организаций с несколькими рабочими областями, которые подключены к Microsoft Defender, теперь можно просмотреть столбец Идентификатор рабочей области и выполнить фильтрацию по рабочей области.
  • Теперь вы можете просматривать область сведений даже для правил аналитики.
  • Теперь вы можете выполнять следующие действия с правилами аналитики: Включить или отключить, Удалить, Изменить.
• (общедоступная версия) Фильтр меток конфиденциальности теперь доступен в очередях инцидентов и оповещений на портале Microsoft Defender. Этот фильтр позволяет фильтровать инциденты и оповещения на основе метки конфиденциальности, назначенной затронутым ресурсам. Дополнительные сведения см. в статьях Фильтры в очереди инцидентов и Исследование оповещений.

Июль 2025 г.

• (предварительная версия) Таблица GraphApiAuditEvents в расширенной охоте теперь доступна для предварительной версии. Эта таблица содержит сведения о Microsoft Entra ID запросах API, сделанных в Microsoft API Graph для ресурсов в клиенте.
• (предварительная версия) ТаблицаDisruptionAndResponseEvents, теперь доступная в расширенной охоте, содержит сведения о событиях нарушения автоматической атаки в Microsoft Defender XDR. К этим событиям относятся события приложения блоков и политик, связанные с политиками нарушения атак, а также автоматические действия, выполняемые в связанных рабочих нагрузках. Повысьте видимость и осведомленность об активных, сложных атаках, нарушенных из-за нарушения атаки, чтобы понять область, контекст, влияние и предпринятые действия.

Июнь 2025 г.

• (предварительная версия) Microsoft Copilot теперь предоставляет рекомендуемые запросы в рамках сводки об инцидентах на портале Microsoft Defender. Предлагаемые подсказки помогают получить дополнительные сведения о конкретных ресурсах, участвующих в инциденте. Дополнительные сведения см. в статье Сводка инцидентов с Microsoft Copilot в Microsoft Defender.
• (общедоступная версия) При расширенной охоте пользователи портала Microsoft Defender теперь могут использовать adx() оператор для запроса таблиц, хранящихся в Azure Data Explorer. Вам больше не нужно переходить к log Analytics в Microsoft Sentinel, чтобы использовать этот оператор, если вы уже используете Microsoft Defender.

Май 2025 г.

• (предварительная версия) При расширенной охоте теперь можно просмотреть все определяемые пользователем правила (пользовательские правила обнаружения и правила аналитики) на странице Правила обнаружения . Эта функция также обеспечивает следующие улучшения:

  • Теперь можно фильтровать по каждому столбцу (в дополнение к частоте и организационным область).
  • Для организаций с несколькими рабочими областями, которые подключены к Microsoft Defender, теперь можно просмотреть столбец Идентификатор рабочей области и выполнить фильтрацию по рабочей области.
  • Теперь вы можете просматривать область сведений даже для правил аналитики.
  • Теперь вы можете выполнять следующие действия с правилами аналитики: Включить или отключить, Удалить, Изменить.

• (предварительная версия) Теперь вы можете выделить достижения операций безопасности и влияние Microsoft Defender с помощью единой сводки по безопасности. Сводка по единой безопасности доступна на портале Microsoft Defender и упрощает процесс создания отчетов по безопасности для команд SOC, экономя время, обычно затрачиваемое на сбор данных из различных источников и создание отчетов. Дополнительные сведения см. в статье Визуализация влияния на безопасность с помощью сводки по единой безопасности.

• Пользователи портала Defender, которые подключены Microsoft Sentinel и включили аналитику поведения пользователей и сущностей (UEBA), теперь могут воспользоваться преимуществами новой унифицированной IdentityInfo таблицы в расширенной охоте. Эта последняя версия теперь включает в себя максимально возможный набор полей, общих для порталов Defender и Azure.

• (предварительная версия) Следующие расширенные таблицы схем охоты теперь доступны для предварительной версии, которые помогут вам просматривать события Microsoft Teams и связанную информацию:

  • Таблица MessageEvents содержит сведения о сообщениях, отправленных и полученных в организации во время доставки.
  • Таблица MessagePostDeliveryEvents содержит сведения о событиях безопасности, произошедших после доставки сообщения Microsoft Teams в организации.
  • Таблица MessageUrlInfo содержит сведения о URL-адресах, отправляемых через сообщения Microsoft Teams в вашей организации.