Neuerungen in Microsoft Defender XDR

Listet die neuen Features und Funktionen in Microsoft Defender XDR auf.

Weitere Informationen zu den Neuerungen bei anderen Microsoft Defender-Sicherheitsprodukten und Microsoft Sentinel finden Sie unter:

• Neuerungen bei einheitlichen Sicherheitsvorgängen im Defender-Portal
• Neuerungen in Microsoft Defender für Office 365
• Neuigkeiten in Microsoft Defender für Endpunkt
• Was ist neu in Microsoft Defender für Identity?
• Neuerungen in Microsoft Defender for Cloud Apps
• Neuerungen in Microsoft Defender für Cloud
• Neuerungen in Microsoft Sentinel
• Neuigkeiten in Microsoft Purview

Sie können Produktupdates und wichtige Benachrichtigungen auch über das Nachrichtencenter abrufen.

Dezember 2025

• (Vorschau) Microsoft Security Copilot in Microsoft Defender enthält jetzt den Dynamic Threat Detection Agent, einen immer aktivierten adaptiven Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Weitere Informationen
• (GA) Der Microsoft Security Copilot Threat Intelligence Briefing Agent in Microsoft Defender ist jetzt allgemein verfügbar. Es generiert Threat Intelligence-Briefings, die auf den neuesten Bedrohungsakteuraktivitäten und sowohl internen als auch externen Informationen zu Sicherheitsrisiken in wenigen Minuten basieren, wodurch Sicherheitsteams Zeit sparen können, indem sie angepasste, relevante Berichte erstellen.
• (Vorschau) Microsoft Security Copilot in Microsoft Defender können Sie jetzt mit dem Threat Hunting-Agent in natürlicher Sprache nach Bedrohungen suchen. Dieser Agent bietet eine vollständige, Konversationsbedrohungssuche, indem er nicht nur Abfragen generiert, sondern auch Ergebnisse interpretiert, Erkenntnisse liefert und Sie durch vollständige Hunting-Sitzungen führt.
• (Vorschau) Die folgenden Schematabellen für die erweiterte Suche sind jetzt für die Vorschau verfügbar:
  • Die CampaignInfo Tabelle enthält Informationen zu E-Mail-Kampagnen, die von Microsoft Defender für Office 365
  • Die FileMaliciousContentInfo Tabelle enthält Informationen zu Dateien, die von Microsoft Defender für Office 365 in SharePoint Online, OneDrive und Microsoft Teams verarbeitet wurden.
• (GA) Das Hunting-Diagramm in der erweiterten Suche ist jetzt allgemein verfügbar. Es verfügt jetzt auch über zwei neue vordefinierte Bedrohungsszenarien, die Sie verwenden können, um Ihre Jagden als interaktive Diagramme zu rendern.
• (GA) Die erweiterte Suche unterstützt jetzt benutzerdefinierte Funktionen, die tabellarische Parameter verwenden. Mit tabellarischen Parametern können Sie ganze Tabellen als Eingaben übergeben. Mit diesem Ansatz können Sie eine modularere, wiederverwendbare und aussagekräftigere Logik für Ihre Huntingabfragen erstellen. Weitere Informationen

November 2025

• Microsoft Sentinel Kunden, die das Defender-Portal oder die Azure-Portal mit dem Microsoft Sentinel Defender XDR-Datenconnector verwenden, profitieren jetzt auch von Microsoft Threat Intelligence-Warnungen, die Aktivitäten von nationalen Akteuren, große Ransomware-Kampagnen und betrügerische Vorgänge hervorheben. Um diese Warnungstypen anzuzeigen, müssen Sie über die Rolle Sicherheitsadministrator oder globaler Administrator verfügen. Die Werte Dienstquelle, Erkennungsquelle und Produktname für diese Warnungen werden als Microsoft Threat Intelligence aufgeführt. Weitere Informationen finden Sie unter Incidents und Warnungen im Microsoft Defender-Portal.
• (Vorschau) Defender XDR umfasst jetzt die Funktion "Predictive Shielding", die Predictive Analytics und Echtzeiterkenntnisse nutzt, um Risiken dynamisch abzuleiten, den Fortschritt von Angreifern vorherzusehen und Ihre Umgebung zu härten, bevor Bedrohungen auftreten. Weitere Informationen
• (Vorschau) Bei der Untersuchung von Containerbedrohungen im Defender-Portal ist jetzt eine neue Aktion Zum Einschränken des Podzugriffs verfügbar. Diese Antwortaktion blockiert sensible Schnittstellen, die laterale Verschiebungen und Rechteausweitung ermöglichen.
• (Vorschau) Die IdentityAccountInfo Tabelle in der erweiterten Suche ist jetzt als Vorschau verfügbar. Diese Tabelle enthält Informationen zu Kontoinformationen aus verschiedenen Quellen, einschließlich Microsoft Entra ID. Es enthält auch Informationen und Links zu der Identität, die das Konto besitzt.
• (Vorschau) Die Bedrohungsanalyse verfügt jetzt über eine Registerkarte Indikatoren , die eine Liste aller Gefährdungsindikatoren (Indicators of Compromise, IOCs) enthält, die einer Bedrohung zugeordnet sind. Microsoft-Forscher aktualisieren diese IOCs in Echtzeit, wenn sie neue Beweise im Zusammenhang mit der Bedrohung finden. Diese Informationen helfen Ihrem Security Operations Center (SOC) und Threat Intelligence-Analysten bei der Behebung und proaktiven Suche. Weitere Informationen
• (Vorschau) Der Übersichtsabschnitt der Bedrohungsanalyse enthält jetzt zusätzliche Details zu einer Bedrohung, z. B. Alias, Ursprung und zugehörige Informationen, sodass Sie mehr Erkenntnisse darüber erhalten, was die Bedrohung ist und wie sie sich auf Ihre organization auswirken kann.

Oktober 2025

• Microsoft Defender Experts for XDR Berichte enthalten jetzt eine Registerkarte Trends, die Ihnen das monatliche Volumen der untersuchten und behobenen Vorfälle in den letzten sechs Monaten anzeigt. Die Registerkarte visualisiert die Daten entsprechend dem Schweregrad, der MITRE-Taktik und dem Bedrohungstyp der Vorfälle. In diesem Abschnitt erfahren Sie, wie Defender-Experten Ihre Sicherheitsvorgänge spürbar verbessern, indem sie wichtige operative Metriken auf Monatsbasis anzeigen.
• Microsoft Defender Berichte von Experten für hunting enthalten jetzt einen Abschnitt "Neue Bedrohungen", in dem die proaktiven, hypothesenbasierten Huntings von Defender Experts in Ihrer Umgebung beschrieben werden. Jeder Bericht enthält jetzt auch Untersuchungszusammenfassungen für fast jede Suche, die Defender-Experten in Ihrer Umgebung durchführen, unabhängig davon, ob sie eine bestätigte Bedrohung erkannt haben.

September 2025

• (Vorschau) Verwenden Sie Aufgaben im Microsoft Defender-Portal, um Incidentuntersuchungen in umsetzbare Schritte aufzuteilen und sie ihren Betriebsteams zuzuweisen. Aufgaben werden zusammen mit Security Copilot Erkenntnissen, geführten Antworten und Berichten angezeigt, sodass Ihr Team eine einheitliche Ansicht des Fortschritts und der nächsten Schritte erhält. Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, werden Aufgaben, die Sie in Microsoft Sentinel über die Azure-Portal erstellen, automatisch mit dem Defender-Portal synchronisiert. Weitere Informationen finden Sie unter Optimieren der Reaktion auf Vorfälle mithilfe von Aufgaben im Microsoft Defender-Portal (Vorschau).
• (Vorschau) Untersuchen Sie Incidents mithilfe der Blast-Radiusanalyse, einer erweiterten Graphvisualisierung, die auf dem Microsoft Sentinel Data Lake und der Graphinfrastruktur basiert. Dieses Feature generiert ein interaktives Diagramm, das mögliche Weitergabepfade vom ausgewählten Knoten zu vordefinierten kritischen Zielen zeigt, die auf die Berechtigungen des Benutzers festgelegt sind.
• (Vorschau) Bei der erweiterten Suche können Sie jetzt das Hunting-Diagramm verwenden, das das Rendern vordefinierter Bedrohungsszenarien als interaktive Diagramme rendert.

August 2025

• (Vorschau) Bei der erweiterten Suche können Sie jetzt Ihre benutzerdefinierten Erkennungsregeln anreichern, indem Sie dynamische Warnungstitel und Beschreibungen erstellen, stärker betroffenen Entitäten auswählen und benutzerdefinierte Details hinzufügen, die im Seitenbereich der Warnung angezeigt werden. Microsoft Sentinel Kunden, die in Microsoft Defender integriert sind, haben jetzt auch die Möglichkeit, die Warnungshäufigkeit anzupassen, wenn die Regel nur auf Daten basiert, die in Sentinel erfasst werden.
• (Vorschau) Die folgenden Schematabellen für die erweiterte Suche sind jetzt für die Vorschau verfügbar:
  • Die CloudStorageAggregatedEvents Tabelle enthält Informationen zur Speicheraktivität und verwandten Ereignissen.
  • Die IdentityEvents Tabelle enthält Informationen zu Identitätsereignissen, die von anderen Cloudidentitätsdienstanbietern abgerufen wurden.
• (Vorschau) Mit der erweiterten Suche können Sie jetzt Microsoft Defender für Cloudverhalten untersuchen. Weitere Informationen finden Sie unter Untersuchen von Verhaltensweisen mit der erweiterten Suche.
• (Vorschau) Bei der erweiterten Suche wurde die Anzahl der im Microsoft Defender-Portal angezeigten Abfrageergebnisse auf 100.000 erhöht.
• (GA) Microsoft Defender Experts for XDR- und Microsoft Defender Experts for Hunting-Kunden können jetzt ihre Serviceabdeckung erweitern, um Server- und Cloudworkloads einzuschließen, die durch Microsoft Defender für Cloud über die jeweiligen Add-Ons geschützt werden. Microsoft Defender Experts for Servers und Microsoft Defender Experts for Hunting – Servers. Weitere Informationen
• (GA) Defender Experts for XDR Kunden können jetzt Netzwerksignale von Drittanbietern zur Anreicherung integrieren. Dieses Feature ermöglicht es unseren Sicherheitsanalysten, einen umfassenderen Überblick über den Angriffspfad zu erhalten, der eine schnellere und gründlichere Erkennung und Reaktion ermöglicht. Außerdem erhalten Kunden eine ganzheitlichere Sicht auf die Bedrohung in ihren Umgebungen.
• (GA) Bei der erweiterten Suche können Sie jetzt alle Benutzerdefinierten Regeln – sowohl benutzerdefinierte Erkennungsregeln als auch Analyseregeln – auf der Seite Erkennungsregeln anzeigen. Dieses Feature bietet auch die folgenden Verbesserungen:
  • Sie können jetzt nach jeder Spalte filtern (zusätzlich zu Häufigkeit und Organisationsbereich).
  • Für Organisationen mit mehreren Arbeitsbereichen, die mehrere Arbeitsbereiche in Microsoft Defender integriert haben, können Sie jetzt die Spalte Arbeitsbereichs-ID anzeigen und nach Arbeitsbereich filtern.
  • Sie können jetzt den Detailbereich auch für Analyseregeln anzeigen.
  • Sie können jetzt die folgenden Aktionen für Analyseregeln ausführen: Aktivieren/Deaktivieren, Löschen, Bearbeiten.
• (GA) Der Vertraulichkeitsbezeichnungsfilter ist jetzt in den Warteschlangen Incidents und Alerts im Microsoft Defender-Portal verfügbar. Mit diesem Filter können Sie Incidents und Warnungen basierend auf der Vertraulichkeitsbezeichnung filtern, die den betroffenen Ressourcen zugewiesen ist. Weitere Informationen finden Sie unter Filter in der Incidentwarteschlange und Untersuchen von Warnungen.

Juli 2025

• (Vorschau) Die GraphApiAuditEvents Tabelle in der erweiterten Suche ist jetzt als Vorschau verfügbar. Diese Tabelle enthält Informationen zu Microsoft Entra ID API-Anforderungen, die an Microsoft Graph-API für Ressourcen im Mandanten gesendet werden.
• (Vorschau) Die DisruptionAndResponseEvents Tabelle, die jetzt in der erweiterten Suche verfügbar ist, enthält Informationen zu automatischen Angriffsunterbrechungsereignissen in Microsoft Defender XDR. Diese Ereignisse umfassen sowohl Block- als auch Richtlinienanwendungsereignisse im Zusammenhang mit richtlinien für ausgelöste Angriffsunterbrechungen sowie automatische Aktionen, die für verwandte Workloads ausgeführt wurden. Erhöhen Sie Ihre Sichtbarkeit und Ihr Bewusstsein für aktive, komplexe Angriffe, die durch Angriffsunterbrechungen unterbrochen werden, um den Umfang, den Kontext, die Auswirkungen und die ausgeführten Aktionen der Angriffe zu verstehen.

Juni 2025

• (Vorschau) Microsoft Copilot stellt jetzt vorgeschlagene Eingabeaufforderungen als Teil von Incidentzusammenfassungen im Microsoft Defender-Portal bereit. Vorgeschlagene Eingabeaufforderungen helfen Ihnen, mehr Einblicke in die spezifischen Ressourcen zu erhalten, die an einem Incident beteiligt sind. Weitere Informationen finden Sie unter Zusammenfassen von Incidents mit Microsoft Copilot in Microsoft Defender.
• (GA) Bei der erweiterten Suche können Microsoft Defender-Portalbenutzer jetzt den adx() Operator verwenden, um tabellen abzufragen, die in Azure Data Explorer gespeichert sind. Sie müssen nicht mehr zur Protokollanalyse in Microsoft Sentinel wechseln, um diesen Operator zu verwenden, wenn Sie sich bereits in Microsoft Defender befinden.

Mai 2025

• (Vorschau) Bei der erweiterten Suche können Sie jetzt alle Benutzerdefinierten Regeln – sowohl benutzerdefinierte Erkennungsregeln als auch Analyseregeln – auf der Seite Erkennungsregeln anzeigen. Dieses Feature bietet auch die folgenden Verbesserungen:

  • Sie können jetzt nach jeder Spalte filtern (zusätzlich zu Häufigkeit und Organisationsbereich).
  • Für Organisationen mit mehreren Arbeitsbereichen, die mehrere Arbeitsbereiche in Microsoft Defender integriert haben, können Sie jetzt die Spalte Arbeitsbereichs-ID anzeigen und nach Arbeitsbereich filtern.
  • Sie können jetzt den Detailbereich auch für Analyseregeln anzeigen.
  • Sie können jetzt die folgenden Aktionen für Analyseregeln ausführen: Aktivieren/Deaktivieren, Löschen, Bearbeiten.

• (Vorschau) Mithilfe der einheitlichen Sicherheitszusammenfassung können Sie jetzt Ihre Erfolge bei Sicherheitsvorgängen und die Auswirkungen von Microsoft Defender hervorheben. Die einheitliche Sicherheitszusammenfassung ist im Microsoft Defender-Portal verfügbar und optimiert den Prozess für SOC-Teams zum Generieren von Sicherheitsberichten, wodurch normalerweise Zeit gespart wird, die für das Sammeln von Daten aus verschiedenen Quellen und das Erstellen von Berichten aufgewendet wird. Weitere Informationen finden Sie unter Visualisieren der Auswirkungen auf die Sicherheit mit der einheitlichen Sicherheitszusammenfassung.

• Defender-Portalbenutzer, die Microsoft Sentinel integriert und UEBA (User and Entity Behavior Analytics) aktiviert haben, können jetzt die vorteile der neuen einheitlichen IdentityInfo Tabelle in der erweiterten Suche nutzen. Diese neueste Version enthält jetzt den größtmöglichen Satz von Feldern, die sowohl für Defender- als auch für Azure-Portale gemeinsam sind.

• (Vorschau) Die folgenden erweiterten Schematabellen für die Suche sind jetzt als Vorschau verfügbar, damit Sie Microsoft Teams-Ereignisse und zugehörige Informationen durchsehen können:

  • Die Tabelle MessageEvents enthält Details zu Nachrichten, die zum Zeitpunkt der Übermittlung innerhalb Ihres organization gesendet und empfangen wurden.
  • Die Tabelle MessagePostDeliveryEvents enthält Informationen zu Sicherheitsereignissen, die nach der Zustellung einer Microsoft Teams-Nachricht in Ihrem organization
  • Die Tabelle MessageUrlInfo enthält Informationen zu URLs, die über Microsoft Teams-Nachrichten in Ihrem organization

April 2025

• (Vorschau) Sie können jetzt Untersuchungen zur Datensicherheit im Microsoft Defender-Portal mit der Integration von Microsoft Purview Untersuchungen zur Datensicherheit (Vorschau) und Microsoft Defender XDR erstellen. Durch diese Integration können SoC-Teams (Security Operations Center) ihre Untersuchung und Reaktion auf potenzielle Datensicherheitsvorfälle wie Datenschutzverletzungen oder Datenlecks verbessern. Weitere Informationen finden Sie unter Erstellen von Datensicherheitsuntersuchungen im Microsoft Defender-Portal.

• (Vorschau) Ip-Adressen von nicht entdeckten Geräten enthalten: Die IP-Adressen, die geräten zugeordnet sind, die nicht entdeckt wurden oder nicht in Defender für Endpunkt integriert sind, befindet sich jetzt in der Vorschauphase. Das Enthalten einer IP-Adresse verhindert, dass Angreifer Angriffe auf andere nicht kompromittierte Geräte verbreiten. Weitere Informationen finden Sie unter Enthalten von IP-Adressen von nicht entdeckten Geräten .

• (Vorschau) Die OAuthAppInfo-Tabelle ist jetzt für die Vorschau in der erweiterten Suche verfügbar. Die Tabelle enthält Informationen zu mit Microsoft 365 verbundenen OAuth-Anwendungen, die bei Microsoft Entra ID registriert und in der Defender for Cloud Apps App-Governance-Funktion verfügbar sind.

• Die OnboardingStatus Spalten und NetworkAdapterDnsSuffix sind jetzt in der Tabelle in der DeviceNetworkInfo erweiterten Suche verfügbar.

März 2025

• (Vorschau) Die Vorfallbeschreibung wurde innerhalb der Incidentseite verschoben. Die Vorfallbeschreibung wird nun nach den Vorfalldetails angezeigt. Weitere Informationen finden Sie unter Incidentdetails.

• Sie können die Microsoft 365-Warnungsrichtlinien jetzt nur im Microsoft Defender-Portal verwalten. Weitere Informationen finden Sie unter Warnungsrichtlinien in Microsoft 365.

• Sie können jetzt Berichte zur Bedrohungsanalyse verknüpfen, wenn Sie benutzerdefinierte Erkennungen einrichten. Weitere Informationen