Compartir a través de

Novedades de Microsoft Defender XDR

Enumere las nuevas características y funcionalidades de Microsoft Defender XDR.

Para obtener más información sobre las novedades de otros productos de seguridad de Microsoft Defender y Microsoft Sentinel, consulte:

También puede recibir actualizaciones de productos y notificaciones importantes a través del centro de mensajes.

Diciembre de 2025

  • (versión preliminar) Microsoft Security Copilot en Microsoft Defender ahora incluye el Agente de detección dinámica de amenazas, un servicio back-end adaptable y siempre activo que detecta amenazas ocultas en los entornos de Defender y Microsoft Sentinel. Más información
  • (GA) El agente de información de inteligencia sobre amenazas de Microsoft Security Copilot en Microsoft Defender ya está disponible con carácter general. Genera informes de inteligencia sobre amenazas basados en la última actividad del actor de amenazas e información de vulnerabilidades internas y externas en cuestión de minutos, lo que ayuda a los equipos de seguridad a ahorrar tiempo mediante la creación de informes personalizados y pertinentes.
  • (versión preliminar) Microsoft Security Copilot en Microsoft Defender ahora le permite buscar amenazas mediante lenguaje natural con el agente de búsqueda de amenazas. Este agente ofrece una experiencia de búsqueda de amenazas conversacional completa, ya que no solo genera consultas, sino que también interpreta los resultados, proporciona información detallada y le guía a través de sesiones de búsqueda completas.
  • (versión preliminar) Las siguientes tablas de esquema de búsqueda avanzada ahora están disponibles para la versión preliminar:
    • La CampaignInfo tabla contiene información sobre las campañas de correo electrónico identificadas por Microsoft Defender para Office 365
    • La FileMaliciousContentInfo tabla contiene información sobre los archivos procesados por Microsoft Defender para Office 365 en SharePoint Online, OneDrive y Microsoft Teams
  • (GA) El gráfico de búsqueda en la búsqueda avanzada ya está disponible con carácter general. Ahora también tiene dos nuevos escenarios de amenazas predefinidos que puede usar para representar las búsquedas como gráficos interactivos.
  • (GA) La búsqueda avanzada ahora admite funciones personalizadas que usan parámetros tabulares. Con los parámetros tabulares, puede pasar tablas completas como entradas. Este enfoque le permite crear una lógica más modular, reutilizable y expresiva en las consultas de búsqueda. Más información

Noviembre de 2025

  • Microsoft Sentinel clientes que usan el portal de Defender o el Azure Portal con el conector de datos de Microsoft Sentinel Defender XDR, ahora también se benefician de alertas de Inteligencia sobre amenazas de Microsoft que resaltan la actividad de actores de estado nacional, campañas de ransomware importantes y operaciones fraudulentas. Para ver estos tipos de alerta, debe tener el rol Administrador de seguridad o Administrador global . Los valores de Origen del servicio, Origen de detección y Nombre del producto para estas alertas se enumeran como Microsoft Threat Intelligence. Para obtener más información, consulte Incidentes y alertas en el portal de Microsoft Defender.
  • (versión preliminar) Defender XDR ahora incluye la funcionalidad de blindaje predictivo, que usa análisis predictivos e información en tiempo real para deducir el riesgo dinámicamente, anticipar la progresión del atacante y proteger el entorno antes de que se materialicen las amenazas. Más información
  • (versión preliminar) Ahora hay disponible una nueva acción restringir la respuesta de acceso del pod al investigar amenazas de contenedor en el portal de Defender. Esta acción de respuesta bloquea las interfaces confidenciales que permiten el movimiento lateral y la escalación de privilegios.
  • (versión preliminar) La IdentityAccountInfo tabla de búsqueda avanzada ya está disponible para la versión preliminar. Esta tabla contiene información sobre la información de la cuenta de varios orígenes, incluidos los Microsoft Entra ID. También incluye información y vínculo a la identidad propietaria de la cuenta.
  • (versión preliminar) Análisis de amenazas ahora tiene una pestaña Indicadores que proporciona una lista de todos los indicadores de riesgo (IOC) asociados a una amenaza. Los investigadores de Microsoft actualizan estos IOC en tiempo real a medida que encuentran nuevas pruebas relacionadas con la amenaza. Esta información ayuda al centro de operaciones de seguridad (SOC) y a los analistas de inteligencia sobre amenazas a corregir y buscar de forma proactiva. Más información
  • (versión preliminar) La sección de información general del análisis de amenazas ahora incluye detalles adicionales sobre una amenaza, como alias, origen e inteligencia relacionada, lo que le proporciona más información sobre cuál es la amenaza y cómo podría afectar a su organización.

Octubre de 2025

  • Expertos de Microsoft Defender para XDR informes ahora incluyen una pestaña Tendencias que le proporciona el volumen mensual de incidentes investigados y resueltos durante los últimos seis meses. La pestaña visualiza los datos según la gravedad de los incidentes, la táctica MITRE y el tipo de amenaza. En esta sección se proporciona información sobre cómo los expertos de Defender mejoran de forma uniforme las operaciones de seguridad al mostrar métricas operativas importantes mes a mes.
  • Microsoft Defender Los informes de expertos en búsqueda ahora incluyen una sección de amenazas emergentes que detalla las búsquedas proactivas basadas en hipótesis que los expertos de Defender llevaron a cabo en su entorno. Cada informe también incluye ahora resúmenes de investigación para casi todas las búsquedas que los expertos de Defender llevan a cabo en su entorno, independientemente de si identificaron una amenaza confirmada.

Septiembre de 2025

  • (versión preliminar) Use tareas en el portal de Microsoft Defender para desglosar las investigaciones de incidentes en pasos accionables y asignarlas a los equipos de operaciones. Las tareas se muestran junto con Security Copilot información, respuestas guiadas e informes, lo que proporciona a su equipo una vista unificada del progreso y los pasos siguientes. Al incorporar Microsoft Sentinel al portal de Defender, las tareas que cree en Microsoft Sentinel a través de la Azure Portal se sincronizan automáticamente con el portal de Defender. Para obtener más información, consulte Simplificación de la respuesta a incidentes mediante tareas en el portal de Microsoft Defender (versión preliminar)
  • (versión preliminar) Investigue los incidentes mediante el análisis de radios de explosión, que es una visualización de gráficos avanzada basada en la infraestructura de grafos y lago de datos Microsoft Sentinel. Esta característica genera un gráfico interactivo que muestra las posibles rutas de propagación desde el nodo seleccionado hasta destinos críticos predefinidos con el ámbito de los permisos del usuario.
  • (versión preliminar) En la búsqueda avanzada, ahora puede buscar mediante el gráfico de búsqueda, que representa escenarios de amenazas predefinidos como gráficos interactivos.

Agosto de 2025

  • (versión preliminar) En la búsqueda avanzada, ahora puede enriquecer las reglas de detección personalizadas creando títulos y descripciones de alertas dinámicas, seleccionando entidades más afectadas y agregando detalles personalizados para mostrarlos en el panel lateral de alertas. Microsoft Sentinel clientes que se incorporan a Microsoft Defender ahora también tienen la opción de personalizar la frecuencia de alerta cuando la regla se basa solo en los datos que se ingieren para Sentinel.
  • (versión preliminar) Las siguientes tablas de esquema de búsqueda avanzada ahora están disponibles para la versión preliminar:
    • La CloudStorageAggregatedEvents tabla contiene información sobre la actividad de almacenamiento y los eventos relacionados
    • La IdentityEvents tabla contiene información sobre los eventos de identidad obtenidos de otros proveedores de servicios de identidad en la nube.
  • (versión preliminar) La búsqueda avanzada ahora le permite investigar Microsoft Defender para los comportamientos de la nube. Para obtener más información, consulte Investigación de comportamientos con búsqueda avanzada.
  • (versión preliminar) En la búsqueda avanzada, el número de resultados de consulta mostrados en el portal de Microsoft Defender se ha aumentado a 100 000.
  • (GA) Expertos de Microsoft Defender para XDR y Microsoft Defender Expertos en búsqueda de clientes ahora pueden ampliar su cobertura de servicio para incluir cargas de trabajo de servidor y nube protegidas por Microsoft Defender for Cloud a través de los respectivos complementos, Microsoft Defender expertos en servidores y expertos en Microsoft Defender para la búsqueda: servidores. Más información
  • (GA) Expertos de Defender para XDR clientes ahora pueden incorporar señales de red de terceros para el enriquecimiento. Esta característica permite a nuestros analistas de seguridad obtener una visión más completa de la ruta de acceso de un ataque que permite una detección y respuesta más rápidas y exhaustivas. También proporciona a los clientes una vista más holística de la amenaza en sus entornos.
  • (GA) En la búsqueda avanzada, ahora puede ver todas las reglas definidas por el usuario(tanto reglas de detección personalizadas como reglas de análisis) en la página Reglas de detección . Esta característica también aporta las siguientes mejoras:
    • Ahora puede filtrar por cada columna (además de frecuencia y ámbito organizativo).
    • Para las organizaciones multitrabajo que han incorporado varias áreas de trabajo para Microsoft Defender, ahora puede ver la columna Id. de área de trabajo y filtrar por área de trabajo.
    • Ahora puede ver el panel de detalles incluso para las reglas de análisis.
    • Ahora puede realizar las siguientes acciones en las reglas de análisis: Activar o desactivar, Eliminar, Editar.
  • (GA) El filtro de etiquetas de confidencialidad ya está disponible en las colas incidentes y alertas del portal de Microsoft Defender. Este filtro le permite filtrar incidentes y alertas en función de la etiqueta de confidencialidad asignada a los recursos afectados. Para obtener más información, consulte Filtros en la cola de incidentes e Investigar alertas.

Julio de 2025

  • (versión preliminar) La GraphApiAuditEvents tabla de búsqueda avanzada ya está disponible para la versión preliminar. Esta tabla contiene información sobre Microsoft Entra ID solicitudes de API realizadas a Microsoft Graph API para los recursos del inquilino.
  • (versión preliminar) La DisruptionAndResponseEvents tabla, ahora disponible en la búsqueda avanzada, contiene información sobre los eventos de interrupción automática de ataques en Microsoft Defender XDR. Estos eventos incluyen eventos de aplicación de bloques y directivas relacionados con directivas de interrupción de ataque desencadenadas y acciones automáticas que se realizaron en cargas de trabajo relacionadas. Aumente la visibilidad y el conocimiento de los ataques activos y complejos interrumpidos por la interrupción del ataque para comprender el ámbito, el contexto, el impacto y las acciones que se realizan.

Junio de 2025

  • (versión preliminar) Microsoft Copilot ahora proporciona mensajes sugeridos como parte de los resúmenes de incidentes en el portal de Microsoft Defender. Los avisos sugeridos le ayudan a obtener más información sobre los recursos específicos implicados en un incidente. Para obtener más información, vea Resumir incidentes con Microsoft Copilot en Microsoft Defender.
  • (GA) En la búsqueda avanzada, los usuarios de Microsoft Defender portal ahora pueden usar el adx() operador para consultar las tablas almacenadas en Azure Data Explorer. Ya no es necesario ir a Log Analytics en Microsoft Sentinel para usar este operador si ya está en Microsoft Defender.

Mayo de 2025

  • (versión preliminar) En la búsqueda avanzada, ahora puede ver todas las reglas definidas por el usuario(tanto reglas de detección personalizadas como reglas de análisis) en la página Reglas de detección . Esta característica también aporta las siguientes mejoras:

    • Ahora puede filtrar por cada columna (además de frecuencia y ámbito organizativo).
    • Para las organizaciones multitrabajo que han incorporado varias áreas de trabajo para Microsoft Defender, ahora puede ver la columna Id. de área de trabajo y filtrar por área de trabajo.
    • Ahora puede ver el panel de detalles incluso para las reglas de análisis.
    • Ahora puede realizar las siguientes acciones en las reglas de análisis: Activar o desactivar, Eliminar, Editar.

  • (versión preliminar) Ahora puede resaltar los logros de las operaciones de seguridad y el impacto de Microsoft Defender mediante el resumen de seguridad unificado. El resumen de seguridad unificado está disponible en el portal de Microsoft Defender y simplifica el proceso para que los equipos de SOC generen informes de seguridad, lo que ahorra tiempo dedicado normalmente a recopilar datos de varios orígenes y a crear informes. Para obtener más información, vea Visualización del impacto en la seguridad con el resumen de seguridad unificado.

  • Los usuarios del portal de Defender que han incorporado Microsoft Sentinel y han habilitado el Análisis de comportamiento de usuarios y entidades (UEBA) ahora pueden aprovechar la nueva tabla unificada IdentityInfo en la búsqueda avanzada. Esta versión más reciente ahora incluye el conjunto más grande posible de campos comunes a los portales de Defender y Azure.

  • (versión preliminar) Las siguientes tablas de esquema de búsqueda avanzada ahora están disponibles para obtener una vista previa que le ayudarán a examinar los eventos de Microsoft Teams y la información relacionada:

Abril de 2025

  • (versión preliminar) Ahora puede crear investigaciones de seguridad de datos en el portal de Microsoft Defender con la integración de Investigaciones de seguridad de datos de Microsoft Purview (versión preliminar) y Microsoft Defender XDR. Esta integración permite a los equipos del Centro de operaciones de seguridad (SOC) mejorar su investigación y respuesta ante posibles incidentes de seguridad de datos, como infracciones de datos o pérdidas de datos. Para obtener más información, consulte Creación de investigaciones de seguridad de datos en el portal de Microsoft Defender.

  • (versión preliminar) Contener direcciones IP de dispositivos no detectados: el contenido de direcciones IP asociadas a dispositivos que no se han detectado o no se han incorporado a Defender para punto de conexión está ahora en versión preliminar. Al contener una dirección IP, los atacantes no pueden propagar ataques a otros dispositivos que no están en peligro. Para obtener más información, consulte Contener direcciones IP de dispositivos no detectados .

  • (versión preliminar) La tabla OAuthAppInfo ya está disponible para la versión preliminar en la búsqueda avanzada. La tabla contiene información sobre las aplicaciones de OAuth conectadas a Microsoft 365 registradas con Microsoft Entra ID y disponibles en la funcionalidad de gobernanza de aplicaciones Defender for Cloud Apps.

  • Las OnboardingStatus columnas y NetworkAdapterDnsSuffix ahora están disponibles en la tabla en la DeviceNetworkInfo búsqueda avanzada.

Marzo de 2025

  • (versión preliminar) La descripción del incidente se ha movido dentro de la página del incidente. La descripción del incidente aparece ahora después de los detalles del incidente. Para obtener más información, consulte Detalles del incidente.

  • Ahora solo puede administrar las directivas de alertas de Microsoft 365 en el portal de Microsoft Defender. Para obtener más información, consulte Directivas de alerta en Microsoft 365.

  • Ahora puede vincular informes de Análisis de amenazas al configurar detecciones personalizadas. Más información

  • Last updated on