Microsoft Defender XDR の新機能

Microsoft Defender XDR の新しい特徴と機能を一覧で示します。

その他の Microsoft Defender セキュリティ製品と Microsoft Sentinel の新機能に関する詳細情報は、以下で参照してください。

• Defender ポータルでの統合セキュリティ操作の新機能
• Microsoft Defender for Office 365 の新機能
• Microsoft Defender for Endpoint の新機能
• Microsoft Defender for Identity の新機能
• Microsoft Defender for Cloud Apps の新機能
• Microsoft Defender for Cloud の新機能
• Microsoft Sentinel の新着情報
• Microsoft Purview の最新情報

製品の更新プログラムや重要な通知は、メッセージ センターで受け取ることもできます。

2025 年 11 月

• (プレビュー)高度なハンティングの IdentityAccountInfo テーブルがプレビュー可能になりました。 この表には、Microsoft Entra IDなど、さまざまなソースからのアカウント情報に関する情報が含まれています。 また、アカウントを所有する ID への情報とリンクも含まれます。
• (プレビュー)脅威分析には、[ インジケーター ] タブが表示され、脅威に関連付けられているすべての侵害インジケーター (IOC) の一覧が表示されます。 Microsoft の研究者は、脅威に関連する新しい証拠を見つけると、これらの IOC をリアルタイムで更新します。 この情報は、修復とプロアクティブハンティングを行うセキュリティ オペレーション センター (SOC) および脅威インテリジェンス アナリストに役立ちます。 詳細情報
• (プレビュー)脅威分析の概要セクションには、エイリアス、配信元、関連インテリジェンスなど、脅威に関する追加の詳細が含まれるようになり、脅威とは何か、および脅威がorganizationにどのような影響を与える可能性があるかについてのより多くの分析情報が提供されます。

2025 年 10 月

• Microsoft Defender Experts for XDRレポートには、[傾向] タブが含まれるようになり、インシデントの重大度、MITRE 戦術、脅威の種類に応じて視覚化された、過去 6 か月間の調査および解決されたインシデントの毎月の量が表示されます。 このセクションでは、Defender Experts が月単位で重要な運用メトリックを表示することで、セキュリティ操作を大幅に改善する方法について説明します。
• Microsoft Defenderハンティングの専門家レポートには、環境で実施されたプロアクティブな仮説ベースのハント Defender エキスパートの詳細を示す新たな脅威セクションが含まれるようになりました。 各レポートには、確認された脅威を特定したかどうかに関係なく、Defender エキスパートが環境内で行うほぼすべてのハントに関する調査の概要も含まれるようになりました。

2025 年 9 月

• (プレビュー)Microsoft Defender ポータルのタスクを使用して、インシデント調査を実用的な手順に分割し、運用チーム全体に割り当てることができます。 タスクは、Security Copilotの分析情報、ガイド付き応答、レポートと共に表示され、チームに進行状況と次の手順の統合ビューを提供します。 Microsoft Sentinelを Defender ポータルにオンボードすると、Azure portalを介してMicrosoft Sentinelで作成したタスクが自動的に Defender ポータルに同期されます。 詳細については、「Microsoft Defender ポータルのタスクを使用してインシデント対応を合理化する (プレビュー)」を参照してください。
• (プレビュー)インシデントは、Microsoft Sentinel データ レイクとグラフ インフラストラクチャ上に構築された高度なグラフ視覚化であるブラスト半径分析を使用して調査できます。 この機能は、選択したノードから、ユーザーのアクセス許可をスコープとする定義済みの重要なターゲットへの伝達パスの可能性を示す対話型グラフを生成します。
• (プレビュー)高度なハンティングでは、 ハンティング グラフを使用して検索できるようになりました。これにより、定義済みの脅威シナリオを対話型グラフとしてレンダリングできます。

2025 年 8 月

• (プレビュー)高度なハンティングでは、動的なアラート タイトルと説明を作成して カスタム検出ルール を強化し、影響を受けるエンティティをさらに選択し、アラート側パネルに表示するカスタムの詳細を追加できるようになりました。 Microsoft DefenderにオンボードされているMicrosoft Sentinelのお客様も、ルールがSentinelに取り込まれたデータのみに基づいている場合にアラート頻度をカスタマイズできるようになりました。
• (プレビュー)プレビューでは、次の高度なハンティング スキーマ テーブルを使用できるようになりました。
  • CloudStorageAggregatedEvents テーブルには、ストレージ アクティビティと関連イベントに関する情報が含まれています
  • IdentityEvents テーブルには、他のクラウド ID サービス プロバイダーから取得した ID イベントに関する情報が含まれています
• (プレビュー)高度なハンティングを使用すると、クラウドの動作のMicrosoft Defenderを調査できるようになりました。 詳細については、「 高度なハンティングを使用して動作を調査する」を参照してください。
• (プレビュー)高度なハンティングでは、Microsoft Defender ポータルに表示されるクエリ結果の数が 100,000 に増加しました。
• (GA)Microsoft Defender Experts for XDRおよびMicrosoft Defenderエキスパート for ハンティングのお客様は、サービス の対象範囲を拡張して、Microsoft Defender for Cloud によって保護されたサーバーワークロードとクラウド ワークロードを、それぞれのアドオンを通じて含めることができるようになりました。Microsoft Defenderサーバーの専門家とMicrosoft Defenderハンティングの専門家 - サーバー。 詳細情報
• (GA)Defender Experts for XDRお客様は、エンリッチメントのためにサードパーティのネットワーク信号を組み込むことができるようになりました。これにより、セキュリティ アナリストは、より迅速かつ徹底的な検出と対応を可能にする攻撃のパスをより包括的に把握できるだけでなく、お客様の環境における脅威のより包括的なビューを提供できるようになります。
• (GA)高度なハンティングでは、[検出ルール] ページで、ユーザー定義のすべてのルール (カスタム検出ルールと分析ルールの両方) を表示できるようになりました。 この機能により、次の機能強化も行われます。
  • (頻度と組織のスコープに加えて) すべての列をフィルター処理できるようになりました。
  • 複数のワークスペースをオンボードしてMicrosoft Defenderしたマルチワークスペース組織の場合、ワークスペース ID 列を表示し、ワークスペースでフィルター処理できるようになりました。
  • 分析ルールの詳細ウィンドウを表示できるようになりました。
  • 分析ルールに対して、オン/オフ、削除、編集の各アクションを実行できるようになりました。
• (GA)秘密度ラベル フィルターは、Microsoft Defender ポータルの [インシデント] キューと [アラート] キューで使用できるようになりました。 このフィルターを使用すると、影響を受けるリソースに割り当てられた秘密度ラベルに基づいてインシデントとアラートをフィルター処理できます。 詳細については、「 インシデント キューのフィルター 」と「 アラートの調査」を参照してください。

2025 年 7 月

• (プレビュー)高度なハンティングの GraphApiAuditEvents テーブルがプレビュー可能になりました。 この表には、テナント内のリソースに対して Microsoft Graph API に対して行われた api 要求Microsoft Entra ID関する情報が含まれています。

• (プレビュー)高度なハンティングで利用できるようになったDisruptionAndResponseEvents テーブルには、Microsoft Defender XDRの自動攻撃中断イベントに関する情報が含まれています。 これらのイベントには、トリガーされた攻撃中断ポリシーに関連するブロック アプリケーション イベントとポリシー アプリケーション イベントと、関連するワークロード間で実行された自動アクションの両方が含まれます。 攻撃の中断によって中断されたアクティブで複雑な攻撃の可視性と認識を高め、攻撃の範囲、コンテキスト、影響、および実行されたアクションを理解します。

2025 年 6 月

• (プレビュー)Microsoft Copilotでは、Microsoft Defender ポータルでインシデントの概要の一部として、推奨されるプロンプトが提供されるようになりました。 推奨されるプロンプトは、インシデントに関連する特定の資産に関するより多くの分析情報を得るのに役立ちます。 詳細については、「Microsoft DefenderでMicrosoft Copilotを使用してインシデントを集計する」を参照してください。
• (GA)高度なハンティングでは、Microsoft Defender ポータル ユーザーが adx() 演算子を使用して、Azure Data Explorerに格納されているテーブルに対してクエリを実行できるようになりました。 既にMicrosoft Defenderしている場合は、この演算子を使用するために、Microsoft Sentinelのログ分析に移動する必要がなくなりました。

2025 年 5 月

• (プレビュー)高度なハンティングでは、[検出ルール] ページで、ユーザー定義のすべてのルール (カスタム検出ルールと分析ルールの両方) を表示できるようになりました。 この機能により、次の機能強化も行われます。

  • (頻度と組織のスコープに加えて) すべての列をフィルター処理できるようになりました。
  • 複数のワークスペースをオンボードしてMicrosoft Defenderしたマルチワークスペース組織の場合、ワークスペース ID 列を表示し、ワークスペースでフィルター処理できるようになりました。
  • 分析ルールの詳細ウィンドウを表示できるようになりました。
  • 分析ルールに対して、オン/オフ、削除、編集の各アクションを実行できるようになりました。

• (プレビュー)統合セキュリティの概要を使用して、セキュリティ操作の実績とMicrosoft Defenderの影響を強調表示できるようになりました。 統合されたセキュリティの概要は、Microsoft Defender ポータルで使用でき、SOC チームがセキュリティ レポートを生成するプロセスを合理化し、通常、さまざまなソースからのデータの収集とレポートの作成に費やす時間を節約します。 詳細については、「 統合セキュリティの概要を使用してセキュリティへの影響を視覚化する」を参照してください。

• Microsoft Sentinelオンボードし、User and Entity Behavior Analytics (UEBA) を有効にした Defender ポータル ユーザーは、高度なハンティングで新しい統合IdentityInfo テーブルを利用できるようになりました。 この最新バージョンには、Defender ポータルとAzure ポータルの両方に共通する最大のフィールド セットが含まれるようになりました。

• (プレビュー)次の高度なハンティング スキーマ テーブルをプレビューで使用できるようになりました。これにより、Microsoft Teamsイベントと関連情報を確認できます。

  • MessageEvents テーブルには、配信時にorganization内で送受信されるメッセージに関する詳細が含まれています
  • MessagePostDeliveryEvents テーブルには、organization内のMicrosoft Teams メッセージの配信後に発生したセキュリティ イベントに関する情報が含まれています。
  • MessageUrlInfo テーブルには、organization内のMicrosoft Teams メッセージを介して送信される URL に関する情報が含まれています

2025 年 4 月

• (プレビュー)Microsoft Purview データ セキュリティ調査 (プレビュー) とMicrosoft Defender XDRの統合を使用して、Microsoft Defender ポータルでデータ セキュリティ調査を作成できるようになりました。 この統合により、セキュリティ オペレーション センター (SOC) チームは、データ侵害やデータ リークなどの潜在的なデータ セキュリティ インシデントに対する調査と対応を強化できます。 詳細については、「Microsoft Defender ポータルでデータ セキュリティ調査を作成する」を参照してください。

• (プレビュー) 検出されていないデバイスの IP アドレスを含める: 検出されていないデバイス、または Defender for Endpoint にオンボードされていないデバイスに関連付けられている IP アドレスが含まれるようになりました。 IP アドレスを含む場合、攻撃者は他の侵害されていないデバイスに攻撃を拡散できなくなります。 詳細については、「 検出されていないデバイスの IP アドレスを含める 」を参照してください。

• (プレビュー) OAuthAppInfo テーブルを高度なハンティングでプレビューできるようになりました。 この表には、Microsoft Entra IDに登録され、Defender for Cloud Apps アプリ ガバナンス機能で利用できる Microsoft 365 接続 OAuth アプリケーションに関する情報が含まれています。

• OnboardingStatus列とNetworkAdapterDnsSuffix列は、高度なハンティングのDeviceNetworkInfo テーブルで使用できるようになりました。

2025 年 3 月

• (プレビュー)インシデントの説明がインシデント ページ内に移動しました。 インシデントの詳細の後にインシデントの説明が表示されるようになりました。 詳細については、「インシデントの 詳細」を参照してください。

• Microsoft 365 アラート ポリシーは、Microsoft Defender ポータルでのみ管理できるようになりました。 詳細については、「 Microsoft 365 のアラート ポリシー」を参照してください。

• カスタム検出を設定するときに、Threat Analytics レポートをリンクできるようになりました。 詳細情報

2025 年 2 月

• (プレビュー)IP アドレスを、攻撃の中断時の自動応答から除外できるようになりました。 この機能を使用すると、攻撃の中断によってトリガーされる自動封じ込めアクションから特定の IP を除外できます。 詳細については、「 自動攻撃中断での自動応答から資産を除外する」を参照してください。

• (プレビュー)[ PrivilegedEntraPimRoles ] 列は、高度なハンティング IdentityInfo テーブルでプレビューできます。

• (GA)高度なハンティングSecurity Copilotの応答でクエリの提案を思い付いたMicrosoft Defender表示できるようになりました。 [クエリ テキストの下にある クエリの背後にあるロジックを確認 する] を選択して、KQL に関する専門家レベルの理解がなくても、クエリが意図とニーズに合っていることを検証します。