Nouveautés de Microsoft Defender XDR

Répertorie les nouvelles fonctionnalités de Microsoft Defender XDR.

Pour plus d’informations sur les nouveautés des autres produits de sécurité Microsoft Defender et Microsoft Sentinel, consultez :

• Nouveautés des opérations de sécurité unifiées dans le portail Defender
• Nouveautés de Microsoft Defender pour Office 365
• Nouveautés dans Microsoft Defender pour point de terminaison
• Nouveautés de Microsoft Defender pour l’identité
• Nouveautés de Microsoft Defender for Cloud Apps
• Nouveautés de Microsoft Defender pour le cloud
• Quoi de neuf dans Microsoft Sentinel
• Nouveautés de Microsoft Purview

Vous pouvez également obtenir des mises à jour de produit et des notifications importantes via le Centre de messages.

Décembre 2025

• (Préversion) Microsoft Security Copilot dans Microsoft Defender inclut désormais l’agent de détection dynamique des menaces, un service back-end adaptatif et toujours actif qui découvre les menaces cachées dans les environnements Defender et Microsoft Sentinel. En savoir plus
• (GA) Le Microsoft Security Copilot Threat Intelligence Briefing Agent dans Microsoft Defender est désormais en disponibilité générale. Il génère des réunions d’information sur les menaces basées sur l’activité la plus récente des acteurs de menace et des informations sur les vulnérabilités internes et externes en quelques minutes, ce qui permet aux équipes de sécurité de gagner du temps en créant des rapports personnalisés et pertinents.
• (Préversion) Microsoft Security Copilot dans Microsoft Defender vous permet désormais de rechercher des menaces à l’aide du langage naturel avec l’agent de repérage des menaces. Cet agent offre une expérience de repérage des menaces conversationnelle complète en générant non seulement des requêtes, mais également en interprétant les résultats, en exposant des insights et en vous guidant tout au long des sessions de chasse complètes.
• (Préversion) Les tables de schéma de chasse avancée suivantes sont désormais disponibles en préversion :
  • Le CampaignInfo tableau contient des informations sur les campagnes par e-mail identifiées par Microsoft Defender pour Office 365
  • Le FileMaliciousContentInfo tableau contient des informations sur les fichiers qui ont été traités par Microsoft Defender pour Office 365 dans SharePoint Online, OneDrive et Microsoft Teams
• (GA) Le graphe de chasse dans la chasse avancée est maintenant en disponibilité générale. Il dispose également désormais de deux nouveaux scénarios de menace prédéfinis que vous pouvez utiliser pour afficher vos chasses sous forme de graphiques interactifs.
• (GA) La chasse avancée prend désormais en charge les fonctions personnalisées qui utilisent des paramètres tabulaires. Avec les paramètres tabulaires, vous pouvez passer des tables entières en tant qu’entrées. Cette approche vous permet de créer une logique plus modulaire, réutilisable et expressive pour vos requêtes de chasse. En savoir plus

Novembre 2025

• Microsoft Sentinel clients qui utilisent le portail Defender, ou le Portail Azure avec le connecteur de données Microsoft Sentinel Defender XDR, bénéficient désormais également des alertes Microsoft Threat Intelligence qui mettent en évidence l’activité des acteurs des États-nations, les principales campagnes de ransomware et les fraudes Opérations. Pour afficher ces types d’alerte, vous devez disposer du rôle Administrateur de la sécurité ou Administrateur général . Les valeurs Source de service, Source de détection et Nom du produit pour ces alertes sont répertoriées en tant que Microsoft Threat Intelligence. Pour plus d’informations, consultez Incidents et alertes dans le portail Microsoft Defender.
• (Préversion) Defender XDR inclut désormais la fonctionnalité de protection prédictive, qui utilise des analyses prédictives et des insights en temps réel pour déduire dynamiquement les risques, anticiper la progression des attaquants et renforcer votre environnement avant que les menaces ne se matérialisent. En savoir plus
• (Préversion) Une nouvelle action de réponse Restreindre l’accès aux pods est désormais disponible lors de l’examen des menaces de conteneur dans le portail Defender. Cette action de réponse bloque les interfaces sensibles qui autorisent le mouvement latéral et l’escalade des privilèges.
• (Préversion) La IdentityAccountInfo table de la chasse avancée est désormais disponible en préversion. Ce tableau contient des informations sur les informations de compte provenant de diverses sources, notamment Microsoft Entra ID. Il inclut également des informations et un lien vers l’identité propriétaire du compte.
• (Préversion) L’analyse des menaces comporte désormais un onglet Indicateurs qui fournit une liste de tous les indicateurs de compromission (ICS) associés à une menace. Les chercheurs Microsoft mettent à jour ces E/S en temps réel à mesure qu’ils trouvent de nouvelles preuves liées à la menace. Ces informations aident votre centre des opérations de sécurité (SOC) et les analystes de renseignement sur les menaces à corriger et à chasser de manière proactive. En savoir plus
• (Préversion) La section Vue d’ensemble de l’analyse des menaces inclut désormais des détails supplémentaires sur une menace, tels que l’alias, l’origine et les informations associées, ce qui vous donne plus d’informations sur la menace et sur l’impact qu’elle peut avoir sur vos organization.

Octobre 2025

• Microsoft Defender Experts pour XDR rapports incluent désormais un onglet Tendances qui vous fournit le volume mensuel d’incidents examinés et résolus au cours des six derniers mois. L’onglet visualise les données en fonction de la gravité des incidents, de la tactique MITRE et du type de menace. Cette section vous donne des informations sur la façon dont les experts Defender améliorent concrètement vos opérations de sécurité en affichant des métriques opérationnelles importantes d’un mois à l’autre.
• Microsoft Defender experts pour les rapports de chasse incluent désormais une section Menaces émergentes qui détaille les chasses proactives basées sur des hypothèses que Defender Experts effectue dans votre environnement. Chaque rapport inclut également désormais des résumés d’investigation pour presque chaque chasse que les experts Defender mènent dans votre environnement, qu’ils identifient ou non une menace confirmée.

Septembre 2025

• (Préversion) Utilisez les tâches du portail Microsoft Defender pour décomposer les enquêtes sur les incidents en étapes actionnables et les affecter à vos équipes d’exploitation. Les tâches s’affichent avec des insights Security Copilot, des réponses guidées et des rapports, ce qui donne à votre équipe une vue unifiée de la progression et des étapes suivantes. Lorsque vous intégrez Microsoft Sentinel au portail Defender, les tâches que vous créez dans Microsoft Sentinel via le Portail Azure sont automatiquement synchronisées avec le portail Defender. Pour plus d’informations, consultez Simplifier la réponse aux incidents à l’aide de tâches dans le portail Microsoft Defender (préversion)
• (Préversion) Examinez les incidents à l’aide de l’analyse de rayon de souffle, qui est une visualisation de graphe avancée basée sur l’infrastructure de lac de données et de graphe Microsoft Sentinel. Cette fonctionnalité génère un graphique interactif montrant les chemins de propagation possibles du nœud sélectionné vers des cibles critiques prédéfinies limitées aux autorisations de l’utilisateur.
• (Préversion) Dans la chasse avancée, vous pouvez désormais chasser à l’aide du graphe de chasse, qui restitue le rendu des scénarios de menace prédéfinis sous forme de graphiques interactifs.

Août 2025

• (Préversion) Dans la chasse avancée, vous pouvez désormais enrichir vos règles de détection personnalisées en créant des titres et des descriptions d’alerte dynamiques, sélectionner des entités plus impactées et ajouter des détails personnalisés à afficher dans le panneau latéral de l’alerte. Microsoft Sentinel clients intégrés à Microsoft Defender également la possibilité de personnaliser la fréquence d’alerte lorsque la règle est basée uniquement sur les données ingérées pour Sentinel.
• (Préversion) Les tables de schéma de chasse avancée suivantes sont désormais disponibles en préversion :
  • La CloudStorageAggregatedEvents table contient des informations sur l’activité de stockage et les événements associés
  • Le IdentityEvents tableau contient des informations sur les événements d’identité obtenus auprès d’autres fournisseurs de services d’identité cloud
• (Préversion) La chasse avancée vous permet désormais d’examiner Microsoft Defender des comportements cloud. Pour plus d’informations, consultez Examiner les comportements avec la chasse avancée.
• (Préversion) Dans la chasse avancée, le nombre de résultats de requête affichés dans le portail Microsoft Defender a été augmenté à 100 000.
• (GA) les clients Microsoft Defender Experts pour XDR et Microsoft Defender Experts for Hunting peuvent désormais étendre leur couverture de service pour inclure les charges de travail de serveur et cloud protégées par Microsoft Defender pour le cloud via les modules complémentaires respectifs, Microsoft Defender Experts pour les serveurs et experts Microsoft Defender pour la chasse - Serveurs. En savoir plus
• (GA) Defender Experts pour XDR clients peuvent désormais incorporer des signaux de réseau tiers à des fins d’enrichissement. Cette fonctionnalité permet à nos analystes de sécurité d’obtenir une vue plus complète du chemin d’une attaque, ce qui permet une détection et une réponse plus rapides et plus approfondies. Il fournit également aux clients une vue plus holistique de la menace dans leurs environnements.
• (GA) Dans la chasse avancée, vous pouvez désormais afficher toutes vos règles définies par l’utilisateur (règles de détection personnalisées et règles d’analyse) dans la page Règles de détection . Cette fonctionnalité apporte également les améliorations suivantes :
  • Vous pouvez désormais filtrer pour chaque colonne (en plus de la fréquence et de l’étendue organisationnelle).
  • Pour les organisations multi-espaces de travail qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID d’espace de travail et filtrer par espace de travail.
  • Vous pouvez maintenant afficher le volet d’informations, même pour les règles d’analyse.
  • Vous pouvez maintenant effectuer les actions suivantes sur les règles d’analyse : Activer/désactiver, Supprimer, Modifier.
• (GA) Le filtre Étiquette de confidentialité est désormais disponible dans les files d’attente Incidents et Alertes du portail Microsoft Defender. Ce filtre vous permet de filtrer les incidents et les alertes en fonction de l’étiquette de confidentialité affectée aux ressources affectées. Pour plus d’informations, consultez Filtres dans la file d’attente des incidents et Examiner les alertes.

Juillet 2025

• (Préversion) La GraphApiAuditEvents table de la chasse avancée est désormais disponible en préversion. Ce tableau contient des informations sur Microsoft Entra ID demandes d’API adressées à Microsoft API Graph pour les ressources du locataire.
• (Préversion) Le DisruptionAndResponseEvents tableau, désormais disponible dans la chasse avancée, contient des informations sur les événements d’interruption d’attaque automatique dans Microsoft Defender XDR. Ces événements incluent à la fois les événements d’application de bloc et de stratégie liés aux stratégies d’interruption d’attaque déclenchées, ainsi que les actions automatiques qui ont été effectuées sur les charges de travail associées. Augmentez votre visibilité et la sensibilisation aux attaques actives et complexes perturbées par l’interruption des attaques pour comprendre l’étendue, le contexte, l’impact et les actions entreprises des attaques.

Juin 2025

• (Préversion) Microsoft Copilot fournit désormais des invites suggérées dans le cadre des résumés des incidents dans le portail Microsoft Defender. Les invites suggérées vous aident à obtenir plus d’informations sur les ressources spécifiques impliquées dans un incident. Pour plus d’informations, consultez Résumer les incidents avec Microsoft Copilot dans Microsoft Defender.
• (GA) Dans la chasse avancée, Microsoft Defender utilisateurs du portail peuvent désormais utiliser l’opérateur adx() pour interroger les tables stockées dans Azure Data Explorer. Vous n’avez plus besoin d’accéder à Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.

Mai 2025

• (Préversion) Dans la chasse avancée, vous pouvez désormais afficher toutes vos règles définies par l’utilisateur (règles de détection personnalisées et règles d’analyse) dans la page Règles de détection . Cette fonctionnalité apporte également les améliorations suivantes :

  • Vous pouvez désormais filtrer pour chaque colonne (en plus de la fréquence et de l’étendue organisationnelle).
  • Pour les organisations multi-espaces de travail qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID d’espace de travail et filtrer par espace de travail.
  • Vous pouvez maintenant afficher le volet d’informations, même pour les règles d’analyse.
  • Vous pouvez maintenant effectuer les actions suivantes sur les règles d’analyse : Activer/désactiver, Supprimer, Modifier.

• (Préversion) Vous pouvez maintenant mettre en évidence vos réussites en matière d’opérations de sécurité et l’impact de Microsoft Defender à l’aide du résumé unifié de la sécurité. Le résumé unifié de la sécurité est disponible dans le portail Microsoft Defender et simplifie le processus permettant aux équipes SOC de générer des rapports de sécurité, ce qui permet généralement de gagner du temps sur la collecte de données à partir de différentes sources et la création de rapports. Pour plus d’informations, consultez Visualiser l’impact sur la sécurité avec le résumé de sécurité unifié.

• Les utilisateurs du portail Defender qui ont intégré Microsoft Sentinel et qui ont activé l’Analyse du comportement des utilisateurs et des entités (UEBA) peuvent désormais tirer parti de la nouvelle table unifiée IdentityInfo dans la chasse avancée. Cette dernière version inclut désormais le plus grand ensemble possible de champs communs aux portails Defender et Azure.

• (Préversion) Les tables de schéma de chasse avancée suivantes sont désormais disponibles en préversion pour vous aider à examiner les événements Microsoft Teams et les informations associées :

  • La table MessageEvents contient des détails sur les messages envoyés et reçus dans votre organization au moment de la remise
  • La table MessagePostDeliveryEvents contient des informations sur les événements de sécurité qui se sont produits après la remise d’un message Microsoft Teams dans votre organization
  • La table MessageUrlInfo contient des informations sur les URL envoyées via les messages Microsoft Teams dans votre organization

Avril 2025

• (Préversion) Vous pouvez maintenant créer des enquêtes de sécurité des données dans le portail Microsoft Defender avec l’intégration de Enquêtes sur la sécurité des données Microsoft Purview (préversion) et Microsoft Defender XDR. Cette intégration permet aux équipes du centre des opérations de sécurité (SOC) d’améliorer leur investigation et leur réponse aux incidents potentiels de sécurité des données, tels que les violations de données ou les fuites de données. Pour plus d’informations, consultez Créer des enquêtes de sécurité des données dans le portail Microsoft Defender.

• (Préversion) Contenir des adresses IP d’appareils non découverts : les adresses IP associées aux appareils qui ne sont pas découverts ou qui ne sont pas intégrés à Defender pour point de terminaison sont désormais en préversion. Le fait de contenir une adresse IP empêche les attaquants de propager des attaques à d’autres appareils non compromis. Pour plus d’informations, consultez Contenir les adresses IP des appareils non découverts .

• (Préversion) La table OAuthAppInfo est désormais disponible en préversion dans la chasse avancée. Le tableau contient des informations sur les applications OAuth connectées à Microsoft 365 inscrites avec Microsoft Entra ID et disponibles dans la fonctionnalité de gouvernance des applications Defender for Cloud Apps.

• Les OnboardingStatus colonnes et NetworkAdapterDnsSuffix sont désormais disponibles dans le tableau dans la DeviceNetworkInfo chasse avancée.

Mars 2025

• (Préversion) Description de l’incident déplacée dans la page de l’incident. La description de l’incident apparaît maintenant après les détails de l’incident. Pour plus d’informations, consultez Détails de l’incident.

• Vous pouvez désormais gérer les stratégies d’alerte Microsoft 365 uniquement dans le portail Microsoft Defender. Pour plus d’informations, consultez Stratégies d’alerte dans Microsoft 365.

• Vous pouvez maintenant lier des rapports d’analyse des menaces lors de la configuration des détections personnalisées. En savoir plus