Nyheter i Microsoft Defender XDR

Visar en lista över de nya funktionerna i Microsoft Defender XDR.

Mer information om nyheter med andra Microsoft Defender-säkerhetsprodukter och Microsoft Sentinel finns i:

• Nyheter för enhetliga säkerhetsåtgärder i Defender-portalen
• Nyheter i Microsoft Defender för Office 365
• Senaste nytt i Microsoft Defender för Endpoint
• Nyheter i Microsoft Defender for Identity
• Nyheter i Microsoft Defender for Cloud Apps
• Nyheter i Microsoft Defender för molnet
• Nyheter i Microsoft Sentinel
• Nyheter i Microsoft Purview

Du kan också få produktuppdateringar och viktiga meddelanden via meddelandecentret.

April 2026

• (Förhandsversion) Tabellen AIAgentsInfo i avancerad jakt innehåller nu ytterligare kolumner som ger djupare insyn i AI-agenter som arbetar i din Microsoft 365-miljö. Dessa fält utökar täckningen utöver Copilot Studio till alla agenttyper, inklusive Microsoft Foundry, marknadsplatsen från tredje part och anpassade branschspecifika agenter.
• Microsoft Defender Experts for XDR kunder kan nu se Defender-experter som en distinkt post i Microsoft Defender portalens navigeringsmeny. Den här funktionen lägger till det befintliga statuskortet för startsidan som portalupplevelser som ger konsekvent och förutsägbar åtkomst till tjänsten. Läs mer

Mars 2026

• Förbättringar av identitetssäkerhet: Nya identitetssäkerhetsfunktioner hjälper dig att övervaka och hantera identitetssäkerhet för mänskliga och icke-mänskliga identiteter:
  • (Förhandsversion) Instrumentpanel för identitetssäkerhet: Instrumentpanelen för identitetssäkerhet innehåller sammanfattningskort för identitetsprovidrar, lokala identiteter, SaaS-identiteter, PAM- och IGA-integreringar samt icke-mänskliga identiteter. Mer information finns i instrumentpanelen identitetssäkerhet. Instrumentpanelen för identitetssäkerhet distribueras gradvis till kunder och kanske ännu inte är tillgänglig i din organisation.
  • (Förhandsversion) Sidan Täckning och mognad: Sidan Täckning och mognad visar organisationens identitetssäkerhetstäckning med mognadsnivåer, inklusive anslutna, skyddade, befästa och motståndskraftiga och prioriterade konfigurationsuppgifter. Mer information finns i Täckning och mognad. Sidan Täckning och mognad distribueras gradvis till kunder och kanske ännu inte är tillgänglig i din organisation. Om du inte ser den här funktionen i din miljö än kan du gå tillbaka snart.
  • Identitetsinventering: Sidan Identitetsinventering visar nu mänskliga och icke-mänskliga identiteter på separata flikar. Insiktskort hjälper dig att klassificera kritiska tillgångar, visa mycket privilegierade identiteter, identifiera kritiska služba Active Directory-tjänstkonton och visa molnprogramkonton. Mer information finns i Visa identitetsinventeringen.
  • (Förhandsversion) Icke-mänskliga identiteter: Fliken Icke-mänskliga identiteter visar icke-mänskliga identiteter, inklusive Microsoft Entra ID-appar, služba Active Directory-tjänstkonton, Google Workspace-appar och Salesforce-appar. Mer information finns i Identitetsinventering och Undersöka icke-mänskliga identiteter.
  • (Förhandsversion) Identitetsriskpoäng: En ny riskpoäng för identiteter, från 0 till 100, som anger sannolikheten för kompromettering och den potentiella påverkan baserat på allvarlighetsgrad och privilegierade roller. Riskpoängen är tillgänglig i Microsoft Entra ID, där den kan användas för att informera principer för villkorlig åtkomst och arbetsflöden för identitetsskydd. En ny flik för riskpoäng på sidan Identitet ger en detaljerad analys av riskfaktorerna, inklusive percentiljämförelse och risktrender. Mer information finns i Undersöka en identitet.
  • (Förhandsversion) Sidan Domänundersökning: Sidan Domänundersökning visar služba Active Directory-domänsäkerhet, inklusive domänegenskaper, distributionshälsa, identitetssammanfattning, uppdelning av tjänstkonto, känsliga entiteter, aktiva rekommendationer, grupprinciper och förtroenderelationer. Mer information finns i Undersöka en domän.
  • (Förhandsversion)Rekommendationer för identitetssäkerhet: Visa rekommendationer från služba Active Directory, Microsoft Entra ID, SaaS-program och identitetsleverantörer som stöds. Mer information finns i rekommendationer för identitetssäkerhet.
• (Förhandsversion) Följande avancerade schematabeller för jakt är nu tillgängliga för förhandsversion:
  • Tabellen CloudDnsEvents innehåller information om DNS-aktivitetshändelser från molninfrastrukturmiljöer.
  • Tabellen CloudPolicyEnforcementEvents innehåller utvärderingsbeslut om principframtvingande och metadata för säkerhetsgenatinghändelser för olika molnplattformar som skyddas av organisationens Microsoft Defender för molnet.
• För att förbättra noggrannheten och bättre skydda organisationens identiteter har vi gjort uppdateringar av kategoriberäkningarna för säkerhetspoäng. Vissa säkerhetsrekommendationer kategoriserade som rekommendationer för molnappar betraktas nu som identitetsrelaterade och grupperade under kategorin Identitet . Även om den totala säkerhetspoängen förblir oförändrad kan individuella identitets- och apppoäng ändras.
• (Förhandsversion) Kunder kan nu använda filter för mycket stora incidenter med många aviseringar och entiteter eller dölja specifika entiteter för att förenkla komplexa incidentdiagram. Genom att förenkla graferna kan de fokusera sina undersökningar på det som är viktigast. Läs mer
• Den proaktiva åtgärden för användarbegränsning (innehåller användare) som en del av funktionen för förutsägande avskärmning är nu allmänt tillgänglig. Den här åtgärden ingjuter aktivitetsdata med exponeringsdata för att identifiera exponerade autentiseringsuppgifter som riskerar att komprometteras och återanvändas för att utföra skadlig aktivitet.

Februari 2026

• Microsoft Defender Experter för jaktkunder kan nu konfigurera meddelandekontakter. Dessa kontakter är de personer eller grupper som Microsoft behöver meddela om det finns kritiska incidenter eller tjänstuppdateringar.
• (GA) Följande avancerade schematabeller för jakt är nu allmänt tillgängliga:
  • Tabellen IdentityAccountInfo innehåller information om kontoinformation från olika källor, inklusive Microsoft Entra ID. Den innehåller även information och länkar till den identitet som äger kontot.
  • Tabellen EntraIdSignInEvents innehåller information om Microsoft Entra interaktiva och icke-interaktiva inloggningar.
  • Tabellen EntraIdSpnSignInEvents innehåller information om Microsoft Entra tjänstens huvudnamn och inloggningar för hanterad identitet.
  • Tabellen GraphApiAuditEvents innehåller information om Microsoft Entra ID API-begäranden som görs till Microsoft Graph API för resurser i klientorganisationen.

Januari 2026

• (Förhandsversion) Anpassade identifieringsregler i Microsoft Defender har nu stöd för NRT-konfiguration (Near Real-Time) för Microsoft Sentinel data.
• (Förhandsversion) I avancerad jakt, om frågeresultatet överskrider storleksgränsen på 64 MB, returnerar portalen nu det maximala antalet poster som den kan inom den här gränsen och visar ett meddelande som anger att de visade resultaten är partiella på grund av storleksbegränsningar. Läs mer
• (Förhandsversion) Tabellerna BehaviorInfo och BehaviorEntities i avancerad jakt innehåller nu ytterligare kolumner och information om beteendedatatyper och aviseringar från UEBA (User and Entity Behavior Analytics), vilket ger fler insikter om relationerna mellan identifierade beteenden och entiteter. Läs mer om UEBA-beteenden

December 2025

• (Förhandsversion) Microsoft Security Copilot i Microsoft Defender innehåller nu agenten för dynamisk hotidentifiering, en alltid aktiv, anpassningsbar serverdelstjänst som upptäcker dolda hot i Defender och Microsoft Sentinel miljöer. Läs mer
• (GA) Informationsagenten för Microsoft Security Copilot hotinformation i Microsoft Defender är nu allmänt tillgänglig. Den genererar information om hotinformation baserat på den senaste hotaktörens aktivitet och både intern och extern sårbarhetsinformation på bara några minuter, vilket hjälper säkerhetsteamen att spara tid genom att skapa anpassade, relevanta rapporter.
• (Förhandsversion) Microsoft Security Copilot i Microsoft Defender kan du nu söka efter hot med hjälp av naturligt språk med hotjaktagenten. Den här agenten ger en fullständig, konversationsbaserad hotjaktupplevelse genom att inte bara generera frågor utan även tolka resultat, visa insikter och vägleda dig genom fullständiga jaktsessioner.
• (Förhandsversion) Följande avancerade schematabeller för jakt är nu tillgängliga för förhandsversion:
  • Tabellen CampaignInfo innehåller information om e-postkampanjer som identifieras av Microsoft Defender för Office 365.
  • Tabellen FileMaliciousContentInfo innehåller information om filer som Microsoft Defender för Office 365 bearbetas i SharePoint Online, OneDrive och Microsoft Teams.
• (GA) Jaktdiagrammet i avancerad jakt är nu allmänt tillgängligt. Den har nu också två nya fördefinierade hotscenarier som du kan använda för att återge dina jakter som interaktiva grafer.
• (GA) Avancerad jakt stöder nu anpassade funktioner som använder tabellparametrar. Genom att använda tabellparametrar kan du skicka hela tabeller som indata. Med den här metoden kan du skapa mer modulär, återanvändbar och uttrycksfull logik i dina jaktfrågor. Läs mer

November 2025

• Microsoft Sentinel kunder som använder Defender-portalen, eller Azure Portal med Microsoft Sentinel Defender XDR dataanslutning, kan nu också dra nytta av Microsoft Threat Intelligence-aviseringar som belyser aktivitet från nationella aktörer, större utpressningstrojankampanjer och bedrägliga åtgärder. Om du vill visa dessa aviseringstyper måste du ha rollen Säkerhetsadministratör eller högre. Värdena för tjänstkälla, identifieringskälla och produktnamn för dessa aviseringar visas som Microsoft Threat Intelligence. Mer information finns i Incidenter och aviseringar i Microsoft Defender-portalen.
• (Förhandsversion) Defender XDR innehåller nu funktionen för förutsägande avskärmning, som använder förutsägelseanalys och insikter i realtid för att dynamiskt härleda risker, förutse angriparens utveckling och förstärka din miljö innan hot materialiseras. Läs mer
• (Förhandsversion) En ny åtgärd för att begränsa poddåtkomst är nu tillgänglig när du undersöker containerhot i Defender-portalen. Den här svarsåtgärden blockerar känsliga gränssnitt som tillåter lateral förflyttning och behörighetseskalering.
• (Förhandsversion) Tabellen IdentityAccountInfo i avancerad jakt är nu tillgänglig för förhandsversion. Den här tabellen innehåller information om kontoinformation från olika källor, inklusive Microsoft Entra ID. Den innehåller även information och länkar till den identitet som äger kontot.
• (Förhandsversion) Hotanalys har nu fliken Indikatorer som innehåller en lista över alla indikatorer för kompromettering (IOCs) som är associerade med ett hot. Microsoft-forskare uppdaterar dessa IOCs i realtid när de hittar nya bevis relaterade till hotet. Den här informationen hjälper soc-analytiker (Security Operations Center) och hotinformationsanalytiker med reparation och proaktiv jakt. Läs mer
• (Förhandsversion) Översiktsavsnittet för hotanalys innehåller nu ytterligare information om ett hot, till exempel alias, ursprung och relaterad intelligens, vilket ger dig fler insikter om vad hotet är och hur det kan påverka din organisation.

Oktober 2025

• Microsoft Defender Experts for XDR rapporter innehåller nu fliken Trender som ger dig den månatliga volymen undersökta och lösta incidenter under de senaste sex månaderna. Fliken visualiserar data enligt incidenternas allvarlighetsgrad, MITRE-taktik och hottyp. Det här avsnittet ger dig insikt i hur Defender-experter avsevärt förbättrar dina säkerhetsåtgärder genom att visa viktiga driftsmått månad för månad.
• Microsoft Defender Experter på jakt innehåller nu ett avsnitt om nya hot som beskriver de proaktiva, hypotesbaserade jakterna som Defender-experter utför i din miljö. Varje rapport innehåller nu även undersökningssammanfattningar för nästan varje jakt som Defender-experter utför i din miljö, oavsett om de har identifierat ett bekräftat hot.

September 2025

• (Förhandsversion) Använd uppgifter i Microsoft Defender-portalen för att dela upp incidentundersökningar i åtgärdsbara steg och tilldela dem till dina driftsteam. Uppgifter visas tillsammans med Security Copilot insikter, guidade svar och rapporter – vilket ger ditt team en enhetlig vy över förloppet och nästa steg. När du registrerar Microsoft Sentinel till Defender-portalen synkroniseras uppgifter som du skapar i Microsoft Sentinel via Azure Portal automatiskt till Defender-portalen. Mer information finns i Effektivisera incidenthantering med hjälp av uppgifter i Microsoft Defender-portalen (förhandsversion)
• (Förhandsversion) Undersök incidenter med hjälp av blastradieanalys, som är en avancerad grafvisualisering som bygger på Microsoft Sentinel datasjö- och grafinfrastruktur. Den här funktionen genererar ett interaktivt diagram som visar möjliga spridningssökvägar från den valda noden till fördefinierade kritiska mål som är begränsade till användarens behörigheter.
• (Förhandsversion) I avancerad jakt kan du nu jaga med hjälp av jaktdiagrammet, som återger fördefinierade hotscenarier som interaktiva grafer.

Augusti 2025

• (Förhandsversion) I avancerad jakt kan du nu utöka dina anpassade identifieringsregler genom att skapa dynamiska aviseringsrubriker och beskrivningar, välja fler påverkade entiteter och lägga till anpassad information som ska visas på panelen på aviseringssidan. Microsoft Sentinel kunder som är registrerade på Microsoft Defender har nu också möjlighet att anpassa aviseringsfrekvensen när regeln endast baseras på data som matas in till Sentinel.
• (Förhandsversion) Följande avancerade schematabeller för jakt är nu tillgängliga för förhandsversion:
  • Tabellen CloudStorageAggregatedEvents innehåller information om lagringsaktivitet och relaterade händelser
  • Tabellen IdentityEvents innehåller information om identitetshändelser som hämtats från andra molnidentitetstjänstleverantörer
• (Förhandsversion) Med avancerad jakt kan du nu undersöka Microsoft Defender för molnbeteenden. Mer information finns i Undersöka beteenden med avancerad jakt.
• (Förhandsversion) I avancerad jakt har antalet frågeresultat som visas i Microsoft Defender-portalen ökats till 100 000.
• (GA) Microsoft Defender Experts for XDR och Microsoft Defender experter för jakt kan nu utöka sin tjänsttäckning till att omfatta server- och molnarbetsbelastningar som skyddas av Microsoft Defender för molnet via respektive tillägg. Microsoft Defender experter för servrar och Microsoft Defender experter på jakt – servrar. Läs mer
• (GA) Defender Experts for XDR kunder kan nu införliva nätverkssignaler från tredje part för berikning. Med den här funktionen kan våra säkerhetsanalytiker få en mer omfattande vy över en attacks väg som möjliggör snabbare och mer grundlig identifiering och svar. Det ger också kunderna en mer holistisk syn på hotet i sina miljöer.
• (GA) I avancerad jakt kan du nu visa alla användardefinierade regler – både anpassade identifieringsregler och analysregler – på sidan Identifieringsregler . Den här funktionen ger också följande förbättringar:
  • Nu kan du filtrera efter varje kolumn (förutom frekvens och organisationsomfång).
  • För organisationer med flera arbetsytor som registrerar flera arbetsytor att Microsoft Defender kan du nu visa kolumnen Arbetsyte-ID och filtrera efter arbetsyta.
  • Nu kan du visa informationsfönstret även för analysregler.
  • Du kan nu utföra följande åtgärder på analysregler: Aktivera/inaktivera, Ta bort, Redigera.
• (GA) Känslighetsetikettfiltret är nu tillgängligt i köerna Incidenter och aviseringar i Microsoft Defender-portalen. Med det här filtret kan du filtrera incidenter och aviseringar baserat på känslighetsetiketten som tilldelats de berörda resurserna. Mer information finns i Filter i incidentkön och Undersök aviseringar.

Juli 2025

• (Förhandsversion) Tabellen GraphApiAuditEvents i avancerad jakt är nu tillgänglig för förhandsversion. Den här tabellen innehåller information om Microsoft Entra ID API-begäranden som görs till Microsoft Graph API för resurser i klientorganisationen.
• (Förhandsversion) TabellenDisruptionAndResponseEvents, som nu är tillgänglig i avancerad jakt, innehåller information om automatiska attackstörningar i Microsoft Defender XDR. Dessa händelser omfattar både blockerings- och principprogramhändelser relaterade till principer för utlösta angreppsstörningar och automatiska åtgärder som har vidtagits för relaterade arbetsbelastningar. Öka din synlighet och medvetenhet om aktiva, komplexa attacker som störs av attackavbrott för att förstå omfånget, kontexten, påverkan och de åtgärder som vidtas.

Juni 2025

• (Förhandsversion) Microsoft Copilot tillhandahåller nu föreslagna frågor som en del av incidentsammanfattningar i Microsoft Defender-portalen. Föreslagna frågor hjälper dig att få mer information om de specifika tillgångar som är inblandade i en incident. Mer information finns i Sammanfatta incidenter med Microsoft Copilot i Microsoft Defender.
• (GA) I avancerad jakt kan Microsoft Defender portalanvändare nu använda operatorn adx() för att fråga efter tabeller som lagras i Azure Data Explorer. Du behöver inte längre gå till Log Analytics i Microsoft Sentinel för att använda den här operatorn om du redan är i Microsoft Defender.

Maj 2025

• (Förhandsversion) I avancerad jakt kan du nu visa alla användardefinierade regler – både anpassade identifieringsregler och analysregler – på sidan Identifieringsregler . Den här funktionen ger också följande förbättringar:

  • Nu kan du filtrera efter varje kolumn (förutom frekvens och organisationsomfång).
  • För organisationer med flera arbetsytor som registrerar flera arbetsytor att Microsoft Defender kan du nu visa kolumnen Arbetsyte-ID och filtrera efter arbetsyta.
  • Nu kan du visa informationsfönstret även för analysregler.
  • Du kan nu utföra följande åtgärder på analysregler: Aktivera/inaktivera, Ta bort, Redigera.

• (Förhandsversion) Nu kan du markera dina säkerhetsåtgärdsprestationer och effekten av Microsoft Defender med hjälp av den enhetliga säkerhetssammanfattningen. Den enhetliga säkerhetssammanfattningen är tillgänglig i Microsoft Defender-portalen och effektiviserar processen för SOC-team att generera säkerhetsrapporter, vilket sparar tid som vanligtvis ägnas åt att samla in data från olika källor och skapa rapporter. Mer information finns i Visualisera säkerhetspåverkan med den enhetliga säkerhetssammanfattningen.

• Defender-portalanvändare som registrerar Microsoft Sentinel och aktiverar UEBA (User and Entity Behavior Analytics) kan nu dra nytta av den nya enhetliga IdentityInfo tabellen i avancerad jakt. Den senaste versionen innehåller nu den största möjliga uppsättningen fält som är gemensamma för både Defender- och Azure-portaler.

• (Förhandsversion) Följande avancerade schematabeller för jakt är nu tillgängliga för förhandsversion som hjälper dig att titta igenom Microsoft Teams-händelser och relaterad information:

  • Tabellen MessageEvents innehåller information om meddelanden som skickas och tas emot i din organisation vid tidpunkten för leveransen
  • Tabellen MessagePostDeliveryEvents innehåller information om säkerhetshändelser som inträffade efter leveransen av ett Microsoft Teams-meddelande i din organisation
  • Tabellen MessageUrlInfo innehåller information om URL:er som skickas via Microsoft Teams-meddelanden i din organisation