Microsoft Defender XDR の新機能

Microsoft Defender XDR の新しい特徴と機能を一覧で示します。

その他の Microsoft Defender セキュリティ製品と Microsoft Sentinel の新機能に関する詳細情報は、以下で参照してください。

• Defender ポータルでの統合セキュリティ操作の新機能
• Microsoft Defender for Office 365 の新機能
• Microsoft Defender for Endpoint の新機能
• Microsoft Defender for Identity の新機能
• Microsoft Defender for Cloud Apps の新機能
• Microsoft Defender for Cloud の新機能
• Microsoft Sentinel の新着情報
• Microsoft Purview の最新情報

製品の更新プログラムや重要な通知は、メッセージ センターで受け取ることもできます。

2025 年 12 月

• (プレビュー)Microsoft DefenderのMicrosoft Security Copilotには、Defender 環境とMicrosoft Sentinel環境全体で隠された脅威を検出する、常時オンのアダプティブ バックエンド サービスである動的脅威検出エージェントが含まれるようになりました。 詳細情報
• (GA)Microsoft DefenderのMicrosoft Security Copilot脅威インテリジェンス ブリーフィング エージェントが一般公開されました。 これは、最新の脅威アクター アクティビティと内部および外部の脆弱性情報の両方に基づいて、数分で脅威インテリジェンスブリーフィングを生成し、セキュリティ チームがカスタマイズされた関連レポートを作成することで時間を節約できるようにします。
• (プレビュー)Microsoft DefenderのMicrosoft Security Copilotでは、脅威ハンティング エージェントを使用して自然言語を使用して脅威を検索できるようになりました。 このエージェントは、クエリを生成するだけでなく、結果の解釈、分析情報の表示、完全なハンティング セッションの案内を行うことで、完全な会話型の脅威ハンティング エクスペリエンスを提供します。
• (プレビュー)プレビューでは、次の高度なハンティング スキーマ テーブルを使用できるようになりました。
  • CampaignInfoテーブルには、Microsoft Defenderで識別されたメール キャンペーンに関する情報が含Office 365
  • FileMaliciousContentInfo テーブルには、SharePoint Online、OneDrive、およびMicrosoft TeamsのOffice 365のMicrosoft Defenderによって処理されたファイルに関する情報が含まれています。
• (GA)高度な ハンティングのハンティング グラフ が一般公開されました。 また、ハンツを対話型グラフとしてレンダリングするために使用できる、2 つの新しい定義済みの脅威シナリオも追加されました。
• (GA)高度なハンティングで、表形式パラメーターを使用するカスタム関数がサポートされるようになりました。 表形式パラメーターを使用すると、テーブル全体を入力として渡すことができます。 このアプローチを使用すると、ハンティング クエリ全体で、よりモジュール式で再利用可能で表現力豊かなロジックを構築できます。 詳細情報

2025 年 11 月

• Defender ポータルまたはMicrosoft Sentinel Defender XDR データ コネクタを使用するAzure portalを使用しているMicrosoft Sentinel、国のアクター、主要なランサムウェア キャンペーン、不正な操作からのアクティビティを強調する Microsoft 脅威インテリジェンス アラートの恩恵を受けるようになりました。 これらのアラートの種類を表示するには、 セキュリティ管理者 または グローバル管理者 ロールが必要です。 これらのアラートの サービス ソース、 検出ソース、 製品名 の値は、 Microsoft 脅威インテリジェンスとして一覧表示されます。 詳細については、Microsoft Defender ポータルの「インシデントとアラート」を参照してください。
• (プレビュー)Defender XDRには、予測分析とリアルタイム分析情報を使用してリスクを動的に推論し、攻撃者の進行を予測し、脅威が具体化する前に環境を強化する予測シールド機能が含まれるようになりました。 詳細情報
• (プレビュー)Defender ポータルでコンテナーの脅威を調査するときに、新しい [ポッド アクセスの制限] 応答アクションを使用できるようになりました。 この応答アクションは、横移動と特権エスカレーションを許可する機密性の高いインターフェイスをブロックします。
• (プレビュー)高度なハンティングの IdentityAccountInfo テーブルがプレビュー可能になりました。 この表には、Microsoft Entra IDなど、さまざまなソースからのアカウント情報に関する情報が含まれています。 また、アカウントを所有する ID への情報とリンクも含まれます。
• (プレビュー)脅威分析には、[ インジケーター ] タブが表示され、脅威に関連付けられているすべての侵害インジケーター (IOC) の一覧が表示されます。 Microsoft の研究者は、脅威に関連する新しい証拠を見つけると、これらの IOC をリアルタイムで更新します。 この情報は、修復とプロアクティブハンティングを行うセキュリティ オペレーション センター (SOC) および脅威インテリジェンス アナリストに役立ちます。 詳細情報
• (プレビュー)脅威分析の概要セクションには、エイリアス、配信元、関連インテリジェンスなど、脅威に関する追加の詳細が含まれるようになり、脅威とは何か、および脅威がorganizationにどのような影響を与える可能性があるかについてのより多くの分析情報が提供されます。

2025 年 10 月

• Microsoft Defender Experts for XDRレポートには、[傾向] タブが含まれるようになり、過去 6 か月間に調査および解決されたインシデントの毎月の量が表示されます。 このタブでは、インシデントの重大度、MITRE 戦術、脅威の種類に応じてデータが視覚化されます。 このセクションでは、Defender Experts が月単位で重要な運用メトリックを表示することで、セキュリティ操作を大幅に改善する方法について説明します。
• Microsoft Defenderハンティングの専門家レポートには、環境で実施されたプロアクティブな仮説ベースのハント Defender エキスパートの詳細を示す新たな脅威セクションが含まれるようになりました。 各レポートには、確認された脅威を特定したかどうかに関係なく、Defender エキスパートが環境内で行うほぼすべてのハントに関する調査の概要も含まれるようになりました。

2025 年 9 月

• (プレビュー)Microsoft Defender ポータルのタスクを使用して、インシデント調査を実用的な手順に分割し、運用チーム全体に割り当てます。 タスクは、Security Copilotの分析情報、ガイド付き応答、レポートと共に表示され、チームに進行状況と次の手順の統合ビューを提供します。 Microsoft Sentinelを Defender ポータルにオンボードすると、Azure portalを介してMicrosoft Sentinelで作成したタスクが自動的に Defender ポータルに同期されます。 詳細については、「Microsoft Defender ポータルのタスクを使用してインシデント対応を合理化する (プレビュー)」を参照してください。
• (プレビュー)Microsoft Sentinel データ レイクとグラフ インフラストラクチャに基づいて構築された高度なグラフ視覚化であるブラスト半径分析を使用してインシデントを調査します。 この機能は、選択したノードから、ユーザーのアクセス許可をスコープとする定義済みの重要なターゲットへの伝達パスの可能性を示す対話型グラフを生成します。
• (プレビュー)高度なハンティングでは、ハンティング グラフを使用して 検索できるようになりました。これにより、定義済みの脅威シナリオを対話型グラフとしてレンダリングできます。

2025 年 8 月

• (プレビュー)高度なハンティングでは、動的なアラート タイトルと説明を作成して カスタム検出ルール を強化し、影響を受けるエンティティをさらに選択し、アラート側パネルに表示するカスタムの詳細を追加できるようになりました。 Microsoft DefenderにオンボードされているMicrosoft Sentinelのお客様も、ルールがSentinelに取り込まれたデータのみに基づいている場合にアラート頻度をカスタマイズできるようになりました。
• (プレビュー)プレビューでは、次の高度なハンティング スキーマ テーブルを使用できるようになりました。
  • CloudStorageAggregatedEvents テーブルには、ストレージ アクティビティと関連イベントに関する情報が含まれています
  • IdentityEvents テーブルには、他のクラウド ID サービス プロバイダーから取得した ID イベントに関する情報が含まれています
• (プレビュー)高度なハンティングを使用すると、クラウドの動作のMicrosoft Defenderを調査できるようになりました。 詳細については、「 高度なハンティングを使用して動作を調査する」を参照してください。
• (プレビュー)高度なハンティングでは、Microsoft Defender ポータルに表示されるクエリ結果の数が 100,000 に増加しました。
• (GA)Microsoft Defender Experts for XDRおよびMicrosoft Defenderエキスパート for ハンティングのお客様は、サービス の対象範囲を拡張して、Microsoft Defender for Cloud によって保護されたサーバーワークロードとクラウド ワークロードを、それぞれのアドオンを通じて含めることができるようになりました。Microsoft Defenderサーバーの専門家とMicrosoft Defenderハンティングの専門家 - サーバー。 詳細情報
• (GA)Defender Experts for XDRお客様は、エンリッチメントのためにサードパーティのネットワーク信号を組み込むようになりました。 この機能により、セキュリティ アナリストは、攻撃のパスをより包括的に把握でき、より迅速かつ徹底的な検出と対応が可能になります。 また、お客様の環境における脅威のより包括的なビューも提供します。
• (GA)高度なハンティングでは、[検出ルール] ページで、ユーザー定義のすべてのルール (カスタム検出ルールと分析ルールの両方) を表示できるようになりました。 この機能により、次の機能強化も行われます。
  • (頻度と組織のスコープに加えて) すべての列をフィルター処理できるようになりました。
  • 複数のワークスペースをオンボードしてMicrosoft Defenderしたマルチワークスペース組織の場合、ワークスペース ID 列を表示し、ワークスペースでフィルター処理できるようになりました。
  • 分析ルールの詳細ウィンドウを表示できるようになりました。
  • 分析ルールに対して、オン/オフ、削除、編集の各アクションを実行できるようになりました。
• (GA)秘密度ラベル フィルターは、Microsoft Defender ポータルの [インシデント] キューと [アラート] キューで使用できるようになりました。 このフィルターを使用すると、影響を受けるリソースに割り当てられた秘密度ラベルに基づいてインシデントとアラートをフィルター処理できます。 詳細については、「 インシデント キューのフィルター 」と「 アラートの調査」を参照してください。

2025 年 7 月

• (プレビュー)高度なハンティングの GraphApiAuditEvents テーブルがプレビュー可能になりました。 この表には、テナント内のリソースに対して Microsoft Graph API に対して行われた api 要求Microsoft Entra ID関する情報が含まれています。
• (プレビュー)高度なハンティングで利用できるようになったDisruptionAndResponseEvents テーブルには、Microsoft Defender XDRの自動攻撃中断イベントに関する情報が含まれています。 これらのイベントには、トリガーされた攻撃中断ポリシーに関連するブロック アプリケーション イベントとポリシー アプリケーション イベントと、関連するワークロード間で実行された自動アクションの両方が含まれます。 攻撃の中断によって中断されたアクティブで複雑な攻撃の可視性と認識を高め、攻撃の範囲、コンテキスト、影響、および実行されたアクションを理解します。

2025 年 6 月

• (プレビュー)Microsoft Copilotでは、Microsoft Defender ポータルでインシデントの概要の一部として、推奨されるプロンプトが提供されるようになりました。 推奨されるプロンプトは、インシデントに関連する特定の資産に関するより多くの分析情報を得るのに役立ちます。 詳細については、「Microsoft DefenderでMicrosoft Copilotを使用してインシデントを集計する」を参照してください。
• (GA)高度なハンティングでは、Microsoft Defender ポータル ユーザーが adx() 演算子を使用して、Azure Data Explorerに格納されているテーブルに対してクエリを実行できるようになりました。 既にMicrosoft Defenderしている場合は、この演算子を使用するために、Microsoft Sentinelのログ分析に移動する必要がなくなりました。

2025 年 5 月

• (プレビュー)高度なハンティングでは、[検出ルール] ページで、ユーザー定義のすべてのルール (カスタム検出ルールと分析ルールの両方) を表示できるようになりました。 この機能により、次の機能強化も行われます。

  • (頻度と組織のスコープに加えて) すべての列をフィルター処理できるようになりました。
  • 複数のワークスペースをオンボードしてMicrosoft Defenderしたマルチワークスペース組織の場合、ワークスペース ID 列を表示し、ワークスペースでフィルター処理できるようになりました。
  • 分析ルールの詳細ウィンドウを表示できるようになりました。
  • 分析ルールに対して、オン/オフ、削除、編集の各アクションを実行できるようになりました。

• (プレビュー)統合セキュリティの概要を使用して、セキュリティ操作の実績とMicrosoft Defenderの影響を強調表示できるようになりました。 統合されたセキュリティの概要は、Microsoft Defender ポータルで使用でき、SOC チームがセキュリティ レポートを生成するプロセスを合理化し、通常、さまざまなソースからのデータの収集とレポートの作成に費やす時間を節約します。 詳細については、「 統合セキュリティの概要を使用してセキュリティへの影響を視覚化する」を参照してください。

• Microsoft Sentinelオンボードし、User and Entity Behavior Analytics (UEBA) を有効にした Defender ポータル ユーザーは、高度なハンティングで新しい統合IdentityInfo テーブルを利用できるようになりました。 この最新バージョンには、Defender ポータルとAzure ポータルの両方に共通する最大のフィールド セットが含まれるようになりました。

• (プレビュー)次の高度なハンティング スキーマ テーブルをプレビューで使用できるようになりました。これにより、Microsoft Teamsイベントと関連情報を確認できます。

  • MessageEvents テーブルには、配信時にorganization内で送受信されるメッセージに関する詳細が含まれています
  • MessagePostDeliveryEvents テーブルには、organization内のMicrosoft Teams メッセージの配信後に発生したセキュリティ イベントに関する情報が含まれています。
  • MessageUrlInfo テーブルには、organization内のMicrosoft Teams メッセージを介して送信される URL に関する情報が含まれています

2025 年 4 月

• (プレビュー)Microsoft Purview データ セキュリティ調査 (プレビュー) とMicrosoft Defender XDRの統合を使用して、Microsoft Defender ポータルでデータ セキュリティ調査を作成できるようになりました。 この統合により、セキュリティ オペレーション センター (SOC) チームは、データ侵害やデータ リークなどの潜在的なデータ セキュリティ インシデントに対する調査と対応を強化できます。 詳細については、「Microsoft Defender ポータルでデータ セキュリティ調査を作成する」を参照してください。

• (プレビュー) 検出されていないデバイスの IP アドレスを含める: 検出されていないデバイス、または Defender for Endpoint にオンボードされていないデバイスに関連付けられている IP アドレスが含まれるようになりました。 IP アドレスを含む場合、攻撃者は他の侵害されていないデバイスに攻撃を拡散できなくなります。 詳細については、「 検出されていないデバイスの IP アドレスを含める 」を参照してください。

• (プレビュー) OAuthAppInfo テーブルを高度なハンティングでプレビューできるようになりました。 この表には、Microsoft Entra IDに登録され、Defender for Cloud Apps アプリ ガバナンス機能で利用できる Microsoft 365 接続 OAuth アプリケーションに関する情報が含まれています。

• OnboardingStatus列とNetworkAdapterDnsSuffix列は、高度なハンティングのDeviceNetworkInfo テーブルで使用できるようになりました。

2025 年 3 月

• (プレビュー)インシデントの説明は、インシデント ページ内で移動しました。 インシデントの詳細の後にインシデントの説明が表示されるようになりました。 詳細については、「インシデントの 詳細」を参照してください。

• Microsoft 365 アラート ポリシーは、Microsoft Defender ポータルでのみ管理できるようになりました。 詳細については、「 Microsoft 365 のアラート ポリシー」を参照してください。

• カスタム検出を設定するときに、Threat Analytics レポートをリンクできるようになりました。 詳細情報