Novidades no Microsoft Defender XDR

Lista os novos recursos e funcionalidades do Microsoft Defender XDR.

Para obter mais informações sobre as novidades do Microsoft Sentinel e de outros produtos de segurança do Microsoft Defender, confira:

• Novidades das operações de segurança unificadas no portal do Defender
• Novidades no Microsoft Defender para Office 365
• Novidades no Microsoft Defender para Ponto de Extremidade
• Novidades do Microsoft Defender para Identidade
• Novidades no Microsoft Defender para Aplicativos em Nuvem
• Novidades no Microsoft Defender para a Cloud
• Novidades do Microsoft Sentinel
• Novidades do Microsoft Purview

Você também pode receber atualizações de produtos e notificações importantes por meio da central de mensagens.

Dezembro de 2025

• (Pré-visualização) Microsoft Security Copilot no Microsoft Defender inclui agora o Agente de Deteção de Ameaças Dinâmicas, um serviço de back-end sempre ligado e adaptável que deteta ameaças ocultas em ambientes do Defender e Microsoft Sentinel. Saiba Mais
• (GA) O Agente de Informação sobre Ameaças do Microsoft Security Copilot no Microsoft Defender está agora disponível para o público. Gera briefings de informações sobre ameaças com base na atividade mais recente do ator de ameaças e nas informações de vulnerabilidade interna e externa numa questão de minutos, ajudando as equipas de segurança a poupar tempo ao criar relatórios personalizados e relevantes.
• (Pré-visualização) Microsoft Security Copilot no Microsoft Defender agora permite-lhe procurar ameaças através de linguagem natural com o Agente de Investigação de Ameaças. Este agente proporciona uma experiência completa de investigação de ameaças de conversação, não só gera consultas, mas também interpreta resultados, apresenta informações e orienta-o através de sessões de investigação completas.
• (Pré-visualização) As seguintes tabelas avançadas de esquema de investigação estão agora disponíveis para pré-visualização:
  • A CampaignInfo tabela contém informações sobre campanhas de e-mail identificadas por Microsoft Defender para Office 365
  • A FileMaliciousContentInfo tabela contém informações sobre ficheiros que foram processados por Microsoft Defender para Office 365 no SharePoint Online, OneDrive e Microsoft Teams
• (GA) O gráfico de caça na caça avançada está agora geralmente disponível. Agora também tem dois novos cenários de ameaças predefinidos que pode utilizar para compor as suas caçadas como gráficos interativos.
• (GA) A investigação avançada suporta agora funções personalizadas que utilizam parâmetros tabulares. Com os parâmetros tabulares, pode transmitir tabelas inteiras como entradas. Esta abordagem permite-lhe criar uma lógica mais modular, reutilizável e expressiva nas suas consultas de investigação. Saiba Mais

Novembro de 2025

• Microsoft Sentinel clientes que utilizam o portal do Defender ou o portal do Azure com o conector de dados Microsoft Sentinel Defender XDR, agora também beneficiam de alertas do Microsoft Threat Intelligence que destacam a atividade de atores do estado-nação, grandes campanhas de ransomware e fraudulentas operações. Para ver estes tipos de alerta, tem de ter a função Administrador de Segurança ou Administrador Global . Os valores Origem do Serviço, Origem de Deteção e Nome do Produto para estes alertas estão listados como Informações sobre Ameaças da Microsoft. Para obter mais informações, veja Incidentes e alertas no portal do Microsoft Defender.
• (Pré-visualização) Defender XDR agora inclui a capacidade de proteção preditiva, que utiliza análise preditiva e informações em tempo real para inferir dinamicamente o risco, antecipar a progressão do atacante e proteger o seu ambiente antes que as ameaças se materializem. Saiba Mais
• (Pré-visualização) Está agora disponível uma nova ação de resposta Restringir acesso a pods ao investigar ameaças de contentor no portal do Defender. Esta ação de resposta bloqueia interfaces confidenciais que permitem movimento lateral e escalamento de privilégios.
• (Pré-visualização) A IdentityAccountInfo tabela em investigação avançada está agora disponível para pré-visualização. Esta tabela contém informações sobre informações de conta de várias origens, incluindo Microsoft Entra ID. Também inclui informações e ligação para a identidade proprietária da conta.
• (Pré-visualização) A Análise de ameaças tem agora um separador Indicadores que fornece uma lista de todos os indicadores de compromisso (IOCs) associados a uma ameaça. Os investigadores da Microsoft atualizam estes IOCs em tempo real à medida que encontram novas evidências relacionadas com a ameaça. Estas informações ajudam o seu centro de operações de segurança (SOC) e analistas de informações sobre ameaças com remediação e investigação proativa. Saiba Mais
• (Pré-visualização) A secção de descrição geral da análise de ameaças inclui agora detalhes adicionais sobre uma ameaça, como alias, origem e informações relacionadas, fornecendo-lhe mais informações sobre o que é a ameaça e como pode afetar a sua organização.

Outubro de 2025

• Especialistas do Microsoft Defender para XDR relatórios incluem agora um separador Tendências que lhe fornece o volume mensal de incidentes investigados e resolvidos nos últimos seis meses. O separador visualiza os dados de acordo com a gravidade dos incidentes, a tática MITRE e o tipo de ameaça. Esta secção dá-lhe informações sobre como os Especialistas do Defender estão a melhorar tangivelmente as suas operações de segurança ao mostrar métricas operacionais importantes mensalmente.
• Microsoft Defender Os relatórios de Especialistas em Investigação incluem agora uma secção ameaças emergentes que detalha as caças proativas baseadas em hipóteses realizadas por Especialistas do Defender no seu ambiente. Cada relatório também inclui agora resumos de investigação para quase todas as caçadas que os Peritos do Defender realizam no seu ambiente, independentemente de terem identificado uma ameaça confirmada.

Setembro de 2025

• (Pré-visualização) Utilize tarefas no portal Microsoft Defender para dividir as investigações de incidentes em passos acionáveis e atribuí-las às suas equipas de operações. As tarefas são apresentadas juntamente com Security Copilot informações, respostas guiadas e relatórios, dando à sua equipa uma visão unificada do progresso e dos próximos passos. Ao integrar Microsoft Sentinel no portal do Defender, as tarefas que criar no Microsoft Sentinel através do portal do Azure são automaticamente sincronizadas com o portal do Defender. Para obter mais informações, veja Simplificar a resposta a incidentes com tarefas no portal do Microsoft Defender (Pré-visualização)
• (Pré-visualização) Investigue incidentes com a análise de raios de explosão, que é uma visualização de grafos avançada criada no data lake Microsoft Sentinel e na infraestrutura de grafos. Esta funcionalidade gera um gráfico interativo que mostra possíveis caminhos de propagação do nó selecionado para destinos críticos predefinidos no âmbito das permissões do utilizador.
• (Pré-visualização) Na investigação avançada, pode agora investigar com o gráfico de investigação, que compõe cenários de ameaças predefinidos como gráficos interativos.

Agosto de 2025

• (Pré-visualização) Na investigação avançada, agora pode enriquecer as suas regras de deteção personalizadas ao criar descrições e títulos de alerta dinâmicos, selecionar entidades mais afetadas e adicionar detalhes personalizados para apresentar no painel lateral do alerta. Microsoft Sentinel clientes que estão integrados no Microsoft Defender têm agora a opção de personalizar a frequência do alerta quando a regra se baseia apenas em dados que são ingeridos para Sentinel.
• (Pré-visualização) As seguintes tabelas avançadas de esquema de investigação estão agora disponíveis para pré-visualização:
  • A CloudStorageAggregatedEvents tabela contém informações sobre a atividade de armazenamento e eventos relacionados
  • A IdentityEvents tabela contém informações sobre eventos de identidade obtidos a partir de outros fornecedores de serviços de identidade na cloud
• (Pré-visualização) A investigação avançada permite-lhe agora investigar Microsoft Defender para comportamentos da Cloud. Para obter mais informações, veja Investigar comportamentos com investigação avançada.
• (Pré-visualização) Na investigação avançada, o número de resultados da consulta apresentados no portal Microsoft Defender foi aumentado para 100 000.
• (GA) os clientes Especialistas do Microsoft Defender para XDR e Microsoft Defender Experts for Hunting podem agora expandir a cobertura do serviço para incluir cargas de trabalho de servidor e cloud protegidas por Microsoft Defender para a Cloud através dos respetivos suplementos, Microsoft Defender Especialistas em Servidores e Especialistas em Microsoft Defender para Investigação – Servidores. Saiba Mais
• (GA) Especialistas do Defender para XDR clientes podem agora incorporar sinais de rede de terceiros para melhoramento. Esta funcionalidade permite que os nossos analistas de segurança obtenham uma visão mais abrangente do caminho de um ataque que permite uma deteção e resposta mais rápidas e completas. Também fornece aos clientes uma visão mais holística da ameaça nos seus ambientes.
• (GA) Na investigação avançada, agora pode ver todas as regras definidas pelo utilizador ( regras de deteção personalizadas e regras de análise) na página Regras de deteção. Esta funcionalidade também traz as seguintes melhorias:
  • Agora pode filtrar por cada coluna (além de Frequência e Âmbito organizacional).
  • Para organizações de várias áreas de trabalho que integraram várias áreas de trabalho para Microsoft Defender, agora pode ver a coluna ID da Área de Trabalho e filtrar por área de trabalho.
  • Agora pode ver o painel de detalhes mesmo para as regras de análise.
  • Agora pode efetuar as seguintes ações em regras de análise: Ativar/desativar, Eliminar, Editar.
• (GA) O filtro Etiqueta de confidencialidade está agora disponível nas filas Incidentes e Alertas no portal Microsoft Defender. Este filtro permite-lhe filtrar incidentes e alertas com base na etiqueta de confidencialidade atribuída aos recursos afetados. Para obter mais informações, veja Filtros na fila de incidentes e Investigar alertas.

Julho de 2025

• (Pré-visualização) A GraphApiAuditEvents tabela em investigação avançada está agora disponível para pré-visualização. Esta tabela contém informações sobre Microsoft Entra ID pedidos de API feitos ao Microsoft API do Graph para recursos no inquilino.
• (Pré-visualização) A DisruptionAndResponseEvents tabela, agora disponível na investigação avançada, contém informações sobre eventos de interrupção automática de ataques no Microsoft Defender XDR. Estes eventos incluem eventos de aplicações de blocos e políticas relacionados com políticas de interrupção de ataques acionadas e ações automáticas realizadas em cargas de trabalho relacionadas. Aumente a visibilidade e a consciência de ataques ativos e complexos interrompidos pela interrupção do ataque para compreender o âmbito, o contexto, o impacto e as ações dos ataques realizados.

Junho de 2025

• (Pré-visualização) Microsoft Copilot agora fornece sugestões como parte de resumos de incidentes no portal do Microsoft Defender. Os pedidos sugeridos ajudam-no a obter mais informações sobre os recursos específicos envolvidos num incidente. Para obter mais informações, veja Resumir incidentes com Microsoft Copilot no Microsoft Defender.
• (GA) Na investigação avançada, Microsoft Defender utilizadores do portal podem agora utilizar o adx() operador para consultar tabelas armazenadas no Azure Data Explorer. Já não precisa de aceder ao Log Analytics no Microsoft Sentinel para utilizar este operador se já estiver no Microsoft Defender.

Maio de 2025

• (Pré-visualização) Na investigação avançada, agora pode ver todas as regras definidas pelo utilizador ( regras de deteção personalizadas e regras de análise) na página Regras de deteção. Esta funcionalidade também traz as seguintes melhorias:

  • Agora pode filtrar por cada coluna (além de Frequência e Âmbito organizacional).
  • Para organizações de várias áreas de trabalho que integraram várias áreas de trabalho para Microsoft Defender, agora pode ver a coluna ID da Área de Trabalho e filtrar por área de trabalho.
  • Agora pode ver o painel de detalhes mesmo para as regras de análise.
  • Agora pode efetuar as seguintes ações em regras de análise: Ativar/desativar, Eliminar, Editar.

• (Pré-visualização) Agora, pode realçar as suas conquistas de operações de segurança e o impacto das Microsoft Defender através do resumo de segurança unificado. O resumo de segurança unificado está disponível no portal do Microsoft Defender e simplifica o processo para as equipas do SOC gerarem relatórios de segurança, poupando tempo normalmente gasto na recolha de dados de várias origens e na criação de relatórios. Para obter mais informações, veja Visualizar o impacto da segurança com o resumo de segurança unificado.

• Os utilizadores do portal do Defender que integraram Microsoft Sentinel e ativaram a Análise de Comportamento do Utilizador e da Entidade (UEBA) podem agora tirar partido da nova tabela unificada IdentityInfo na investigação avançada. Esta versão mais recente inclui agora o maior conjunto possível de campos comuns aos portais do Defender e do Azure.

• (Pré-visualização) As seguintes tabelas avançadas de esquema de investigação estão agora disponíveis para pré-visualização para ajudá-lo a ver eventos do Microsoft Teams e informações relacionadas:

  • A tabela MessageEvents contém detalhes sobre as mensagens enviadas e recebidas na sua organização no momento da entrega
  • A tabela MessagePostDeliveryEvents contém informações sobre eventos de segurança que ocorreram após a entrega de uma mensagem do Microsoft Teams na sua organização
  • A tabela MessageUrlInfo contém informações sobre URLs enviados através de mensagens do Microsoft Teams na sua organização

Abril de 2025

• (Pré-visualização) Agora, pode criar investigações de segurança de dados no portal do Microsoft Defender com a integração de Investigações de Segurança de Dados do Microsoft Purview (pré-visualização) e Microsoft Defender XDR. Esta integração permite que as equipas do centro de operações de segurança (SOC) melhorem a investigação e resposta a potenciais incidentes de segurança de dados, como falhas de segurança de dados ou fugas de dados. Para obter mais informações, veja Criar investigações de segurança de dados no portal do Microsoft Defender.

• (Pré-visualização) Contenham endereços IP de dispositivos não descobertos: a opção Conter endereços IP associados a dispositivos que não estão detetados ou que não estão integrados no Defender para Ponto Final está agora em pré-visualização. Conter um endereço IP impede os atacantes de espalhar ataques para outros dispositivos não comprometidos. Veja Contain IP addresses of undiscovered devices (Conter endereços IP de dispositivos não descobertos ) para obter mais informações.

• (Pré-visualização) A tabela OAuthAppInfo está agora disponível para pré-visualização na investigação avançada. A tabela contém informações sobre aplicações OAuth ligadas ao Microsoft 365 registadas com Microsoft Entra ID e disponíveis na capacidade de governação de aplicações Defender para Aplicativos de Nuvem.

• As OnboardingStatus colunas e NetworkAdapterDnsSuffix estão agora disponíveis na DeviceNetworkInfo tabela em investigação avançada.

Março de 2025

• (Pré-visualização) A descrição do incidente foi movida na página do incidente. A descrição do incidente é agora apresentada após os detalhes do incidente. Para obter mais informações, veja Detalhes do incidente.

• Agora, só pode gerir as políticas de alerta do Microsoft 365 no portal do Microsoft Defender. Para obter mais informações, consulte Políticas de alerta no Microsoft 365.

• Agora pode ligar relatórios do Threat Analytics ao configurar deteções personalizadas. Saiba mais