Einführung
Wir verbessern die Anzeige von Warnungen in Microsoft Defender XDR-Vorfällen, um Ihrem SOC zu helfen, priorisierte Maßnahmen zu identifizieren und Untersuchungen effizient voranzutreiben. Ab dem 25. Januar 2026 sehen Administratoren die neue integrierte Warnfeinabstimmungsfunktion in der Portal-Benutzeroberfläche. Während dieses Anfangszeitraums ist die Funktion sichtbar, aber die integrierte Feinabstimmung noch nicht aktiv.
Der Zeitraum zur Überprüfung und Abmeldung läuft vom 25. Januar bis zum 5. Februar. In dieser Zeit können Sie die neuen Einstellungen prüfen und entscheiden, ob das Standarderlebnis aktiviert bleiben oder für Ihre Organisation deaktiviert werden soll.
Was am 5. Februar 2026 live geschaltet wird
Am 5. Februar 2026 wird die Funktionalität aktiv:
- Erste Regelmenge: Die erste Regelmenge konzentriert sich auf Microsoft Defender for Office 365 (MDO) mit 12 integrierten Regeln, die für informative und geringfügige Defender for Office-Warnungen ausgelegt sind. Im Laufe der Zeit werden weitere integrierte Regeln hinzugefügt, um die Abdeckung auf weitere Workloads zu erweitern. Sie erhalten im Voraus eine Benachrichtigung, damit Sie bevorstehende Ergänzungen prüfen und sich abmelden können, bevor diese in Ihrer Umgebung wirksam werden.
- Automatisierte Triagierung mit AIR: Bei ausgewählten Warnungen mit Automated Investigation and Response (AIR)-Playbooks führt Defender automatisch eine sofortige Untersuchung durch, um zu ermitteln, ob eine SOC-Aufmerksamkeit erforderlich ist.
- Bei Bedarf Wiedereröffnung: Wenn die Untersuchung ergibt, dass eine weitere Überprüfung notwendig ist, wird die Warnung als „Neu“ wiedereröffnet und kehrt zur Bearbeitung in Ihre Warteschlange zurück.
In dieser Version enthalten (MDO-Warnungstypen)
Die 12 integrierten Regeln dieser Version gelten für die folgenden Warnungstypen:
- Benutzer hat die Freigabe einer isolierten Nachricht angefordert
- E-Mail von Benutzer als Junk gemeldet
- E-Mail von Benutzer als kein Junk gemeldet
- E-Mail von Benutzer als Malware oder Phishing gemeldet
- Eintrag in der Tenant Allow/Block-Liste läuft bald ab
- Ein Eintrag in der Tenant Allow/Block-Liste wurde entfernt
- E-Mails nach Zustellung entfernt
- E-Mails aus einer Kampagne nach Zustellung entfernt
- E-Mails mit bösartiger Datei nach Zustellung entfernt
- E-Mails mit bösartiger URL nach Zustellung entfernt
- Administratives Übermittlungsergebnis abgeschlossen
- Manuelle E-Mail-Untersuchung durch Administrator ausgelöst
Auswirkungen auf Ihre Organisation
- Standarderlebnis: Die integrierte Feinabstimmung ist so konzipiert, dass Analysten sich auf Warnungen konzentrieren können, die wahrscheinlich eine Aktion erfordern, während für geeignete Warnungen im Hintergrund eine automatisierte Triagierung läuft.
- Kundenspezifische Steuerung: Sie behalten die Kontrolle – integrierte Regeln sind im Portal sichtbar und können jederzeit in der Warnfeinabstimmung deaktiviert werden.
Was Sie zur Vorbereitung tun müssen
- Es sind keine Maßnahmen erforderlich, wenn Sie das Standarderlebnis nutzen und von optimierten Warteschlangen sowie schnellerer Priorisierung profitieren möchten.
- Wenn Ihr SOC jede Warnung manuell ohne automatisierte Triagierung überprüfen möchte, verwenden Sie das Abmeldefenster (25. Januar – 5. Februar), um die integrierte Feinabstimmung in der Warnfeinabstimmung zu deaktivieren.
Multi-Tenant-Management (MTO) Inhaltsverteilung
Wenn Sie mehrere Mandanten verwalten, können Sie integrierte Feinabstimmungsregeln mit der MTO-Portal-Inhaltsverteilungsfunktion im großen Maßstab verwalten. Konfigurieren Sie, welche integrierten Regeln in einem Quell-Mandanten aktiviert oder deaktiviert sind, und verteilen Sie diese Konfiguration auf Ihre verwalteten Mandanten für konsistente Einstellungen überall.
Weitere Informationen
- Öffentliche Dokumentation: Built-in alert tuning rules
- Ankündigungsblog: Microsoft Defender XDR Blog
