Novità di Microsoft Defender XDR

Elenca le nuove caratteristiche e funzionalità di Microsoft Defender XDR.

Per ulteriori informazioni sulle novità degli altri prodotti di sicurezza Microsoft Defender e di Microsoft Sentinel, vedi:

• Novità per le operazioni di sicurezza unificata nel portale di Defender
• Novità di Microsoft Defender per Office 365
• Novità di Microsoft Defender per Endpoint
• Novità di Microsoft Defender per identità
• Novità di Microsoft Defender per le app cloud
• Novità di Microsoft Defender per il cloud
• Novità di Microsoft Sentinel
• Novità di Microsoft Purview

È anche possibile ottenere aggiornamenti del prodotto e notifiche importanti tramite il centro messaggi.

Settembre 2025

• (Anteprima) È ora possibile usare le attività nel portale di Microsoft Defender per suddividere le indagini sugli eventi imprevisti in passaggi interattivi e assegnarle ai team operativi. Le attività vengono visualizzate insieme Security Copilot informazioni dettagliate, risposte guidate e report, offrendo al team una visualizzazione unificata dello stato di avanzamento e dei passaggi successivi. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, le attività create in Microsoft Sentinel tramite il portale di Azure vengono sincronizzate automaticamente con il portale di Defender. Per altre informazioni, vedere Semplificare la risposta agli eventi imprevisti usando le attività nel portale di Microsoft Defender (anteprima)
• (Anteprima) È possibile analizzare gli eventi imprevisti usando l'analisi del raggio di esplosione, ovvero una visualizzazione a grafo avanzata basata sull'infrastruttura a grafo e data lake di Microsoft Sentinel. Questa funzionalità genera un grafico interattivo che mostra i possibili percorsi di propagazione dal nodo selezionato a destinazioni critiche predefinite con ambito per le autorizzazioni dell'utente.
• (Anteprima) Nella ricerca avanzata è ora possibile eseguire la ricerca usando il grafo di ricerca, che esegue il rendering di scenari di minaccia predefiniti come grafici interattivi.

Agosto 2025

• (Anteprima) Nella ricerca avanzata è ora possibile arricchire le regole di rilevamento personalizzate creando descrizioni e titoli di avviso dinamici, selezionare entità più interessate e aggiungere dettagli personalizzati da visualizzare nel pannello lato avviso. I clienti di Microsoft Sentinel a cui viene eseguito l'onboarding in Microsoft Defender ora hanno anche la possibilità di personalizzare la frequenza degli avvisi quando la regola si basa solo sui dati inseriti in Sentinel.
• (Anteprima) Le tabelle dello schema di ricerca avanzate seguenti sono ora disponibili per l'anteprima:
  • La CloudStorageAggregatedEvents tabella contiene informazioni sull'attività di archiviazione e sugli eventi correlati
  • La IdentityEvents tabella contiene informazioni sugli eventi di identità ottenuti da altri provider di servizi di identità cloud
• (Anteprima) La ricerca avanzata consente ora di analizzare Microsoft Defender per i comportamenti cloud. Per altre informazioni, vedere Analizzare i comportamenti con la ricerca avanzata.
• (Anteprima) Nella ricerca avanzata, il numero di risultati delle query visualizzati nel portale di Microsoft Defender è stato aumentato a 100.000.
• (GA) Microsoft Defender Experts for XDR e Microsoft Defender Experts for Hunting clienti possono ora espandere la copertura del servizio per includere carichi di lavoro server e cloud protetti da Microsoft Defender per il cloud tramite rispettivi componenti aggiuntivi, Microsoft Defender Esperti per server e Microsoft Defender Experts for Hunting - Server. Altre informazioni
• (GA) Defender Experts for XDR clienti possono ora incorporare segnali di rete di terze parti per l'arricchimento, che potrebbero consentire agli analisti della sicurezza non solo di ottenere una visione più completa del percorso di un attacco che consenta un rilevamento e una risposta più rapidi e approfonditi, ma anche di fornire ai clienti una visione più olistica della minaccia nei loro ambienti.
• (GA) Nella ricerca avanzata è ora possibile visualizzare tutte le regole definite dall'utente, sia regole di rilevamento personalizzate che regole di analisi, nella pagina Regole di rilevamento . Questa funzionalità offre anche i miglioramenti seguenti:
  • È ora possibile filtrare per ogni colonna (oltre a Frequenza e ambito aziendale).
  • Per le organizzazioni multilavoro che hanno caricato più aree di lavoro per Microsoft Defender, è ora possibile visualizzare la colonna ID area di lavoro e filtrare in base all'area di lavoro.
  • È ora possibile visualizzare il riquadro dei dettagli anche per le regole di analisi.
  • È ora possibile eseguire le azioni seguenti nelle regole di analisi: Attivazione/disattivazione, Eliminazione, Modifica.
• (GA) Il filtro dell'etichetta di riservatezza è ora disponibile nelle code eventi imprevisti e avvisi nel portale di Microsoft Defender. Questo filtro consente di filtrare gli eventi imprevisti e gli avvisi in base all'etichetta di riservatezza assegnata alle risorse interessate. Per altre informazioni, vedere Filtri nella coda degli eventi imprevisti e Analizzare gli avvisi.

Luglio 2025

• (Anteprima) La GraphApiAuditEvents tabella nella ricerca avanzata è ora disponibile per l'anteprima. Questa tabella contiene informazioni sulle richieste API ID Microsoft Entra effettuate a Microsoft API Graph per le risorse nel tenant.

• (Anteprima) La DisruptionAndResponseEvents tabella, ora disponibile nella ricerca avanzata, contiene informazioni sugli eventi di interruzione automatica degli attacchi in Microsoft Defender XDR. Questi eventi includono sia eventi di applicazione di blocco che di criteri correlati ai criteri di interruzione degli attacchi attivati e azioni automatiche eseguite tra carichi di lavoro correlati. Aumentare la visibilità e la consapevolezza degli attacchi attivi e complessi interrotti dall'interruzione degli attacchi per comprendere l'ambito, il contesto, l'impatto e le azioni intraprese degli attacchi.

Giugno 2025

• (Anteprima) Microsoft Copilot fornisce ora le richieste suggerite come parte dei riepiloghi degli eventi imprevisti nel portale di Microsoft Defender. Le richieste suggerite consentono di ottenere maggiori informazioni dettagliate sugli asset specifici coinvolti in un evento imprevisto. Per altre informazioni, vedere Riepilogare gli eventi imprevisti con Microsoft Copilot in Microsoft Defender.
• (GA) Nella ricerca avanzata, Microsoft Defender utenti del portale possono ora usare l'operatore adx() per eseguire query sulle tabelle archiviate in Azure Esplora dati. Non è più necessario passare all'analisi dei log in Microsoft Sentinel per usare questo operatore se si è già in Microsoft Defender.

Maggio 2025

• (Anteprima) Nella ricerca avanzata è ora possibile visualizzare tutte le regole definite dall'utente, sia regole di rilevamento personalizzate che regole di analisi, nella pagina Regole di rilevamento . Questa funzionalità offre anche i miglioramenti seguenti:

  • È ora possibile filtrare per ogni colonna (oltre a Frequenza e ambito aziendale).
  • Per le organizzazioni multilavoro che hanno caricato più aree di lavoro per Microsoft Defender, è ora possibile visualizzare la colonna ID area di lavoro e filtrare in base all'area di lavoro.
  • È ora possibile visualizzare il riquadro dei dettagli anche per le regole di analisi.
  • È ora possibile eseguire le azioni seguenti nelle regole di analisi: Attivazione/disattivazione, Eliminazione, Modifica.

• (Anteprima) È ora possibile evidenziare gli obiettivi delle operazioni di sicurezza e l'impatto delle Microsoft Defender usando il riepilogo della sicurezza unificato. Il riepilogo della sicurezza unificata è disponibile nel portale di Microsoft Defender e semplifica il processo per i team soc per generare report di sicurezza, risparmiando in genere tempo per la raccolta di dati da varie origini e la creazione di report. Per altre informazioni, vedere Visualizzare l'impatto sulla sicurezza con il riepilogo della sicurezza unificata.

• Gli utenti del portale di Defender che hanno caricato Microsoft Sentinel e hanno abilitato User and Entity Behavior Analytics (UEBA) possono ora sfruttare la nuova tabella unificata IdentityInfo nella ricerca avanzata. Questa versione più recente include ora il più grande set possibile di campi comuni sia ai portali di Defender che di Azure.

• (Anteprima) Le tabelle dello schema di ricerca avanzate seguenti sono ora disponibili per l'anteprima per facilitare l'analisi degli eventi di Microsoft Teams e delle informazioni correlate:

  • La tabella MessageEvents contiene informazioni dettagliate sui messaggi inviati e ricevuti all'interno dell'organizzazione al momento del recapito
  • La tabella MessagePostDeliveryEvents contiene informazioni sugli eventi di sicurezza che si sono verificati dopo il recapito di un messaggio di Microsoft Teams nell'organizzazione
  • La tabella MessageUrlInfo contiene informazioni sugli URL inviati tramite i messaggi di Microsoft Teams nell'organizzazione

Aprile 2025

• (Anteprima) È ora possibile creare indagini sulla sicurezza dei dati nel portale di Microsoft Defender con l'integrazione di Indagini sulla sicurezza dei dati di Microsoft Purview (anteprima) e Microsoft Defender XDR. Questa integrazione consente ai team del Centro operativo di sicurezza (SOC) di migliorare l'analisi e la risposta a potenziali incidenti di sicurezza dei dati, ad esempio violazioni dei dati o perdite di dati. Per altre informazioni, vedere Creare indagini sulla sicurezza dei dati nel portale di Microsoft Defender.

• (Anteprima) Contiene gli indirizzi IP dei dispositivi non ancora scoperti: l'anteprima è ora disponibile per contenere gli indirizzi IP associati ai dispositivi che non sono stati scoperti o che non sono stati caricati in Defender per endpoint. L'uso di un indirizzo IP impedisce agli utenti malintenzionati di distribuire attacchi ad altri dispositivi non compromessi. Per altre informazioni, vedere Contenere gli indirizzi IP dei dispositivi non scoperti .

• (Anteprima) La tabella OAuthAppInfo è ora disponibile per l'anteprima nella ricerca avanzata. La tabella contiene informazioni sulle applicazioni OAuth connesse a Microsoft 365 registrate con ID Microsoft Entra e disponibili nella funzionalità di governance delle app Defender for Cloud Apps.

• Le OnboardingStatus colonne e NetworkAdapterDnsSuffix sono ora disponibili nella DeviceNetworkInfo tabella nella ricerca avanzata.

Marzo 2025

• (Anteprima) La descrizione dell'evento imprevisto è stata spostata all'interno della pagina dell'evento imprevisto. La descrizione dell'evento imprevisto viene ora visualizzata dopo i dettagli dell'evento imprevisto. Per altre informazioni, vedere Dettagli dell'evento imprevisto.

• I criteri di avviso di Microsoft 365 possono ora essere gestiti solo nel portale di Microsoft Defender. Per altre informazioni, vedere Criteri di avviso in Microsoft 365.

• È ora possibile collegare i report di Analisi delle minacce durante la configurazione dei rilevamenti personalizzati. Altre informazioni

Febbraio 2025

• (Anteprima) Gli indirizzi IP possono ora essere esclusi dalle risposte automatizzate in caso di interruzione degli attacchi. Questa funzionalità consente di escludere indirizzi IP specifici dalle azioni di contenimento automatizzate attivate dall'interruzione degli attacchi. Per altre informazioni, vedere Escludere gli asset dalle risposte automatizzate nell'interruzione automatica degli attacchi.

• (Anteprima) La PrivilegedEntraPimRoles colonna è disponibile per l'anteprima nella tabella IdentityInfo di ricerca avanzata.

• (GA) È ora possibile visualizzare come Security Copilot fornito il suggerimento di query nelle relative risposte in Microsoft Defender ricerca avanzata. Selezionare Visualizza la logica alla base della query sotto il testo della query per verificare che la query sia allineata alle finalità e alle esigenze, anche se non si ha una conoscenza approfondita della KQL.