Microsoft Defender XDR 在 Secure 2025 的最新功能
在當前日益嚴峻的網路威脅環境下,保護組織安全變得更加困難。我們在 2025 年 Microsoft Secure 資安大會宣布一系列新功能,強調以 AI 為核心、端到端的資安創新,包括在資安營運中心(SOC)導入自動化 AI Agent,以及偵測與回應自動化功能,幫助您的組織因應挑戰 。我們也將介紹如何透過讓資料安全性與協作工具,擴展您的防禦範圍。繼續閱讀以了解這些新功能如何幫助您的組織領先,對抗日益進化的威脅者。
擴展 AI 驅動的能力,打造更智慧的 SOC 營運
隆重推出 Microsoft Security Copilot 的網路釣魚分類 Agent (Phishing Triage Agent)
我們已正式推出 Security Copilot Agent ,這是將 AI 自動化導入 Microsoft Security 解決方案的重要一步。率先亮相的創新應用是 Microsoft Defender 最新的功能:網路釣魚分類 Agent 。這個代理人 可作為 SOC 分析師的「戰力倍增器」,透過自動識別與大幅減少誤判(False Positives),大幅簡化使用者提交的網路釣魚事件分類流程,平均可自動清除超過 95% 以上不具威脅的提交郵件,讓團隊能專注處理那些真正具威脅性的關鍵事件。
網路釣魚郵件是資安團隊日常面對的最大量警示之一,而我們的數據顯示,超過九成以上的通報郵件實際上只是一般廣告信或垃圾郵件。資安團隊往往每週需處理數百封這類郵件,每封郵件可能需耗費 30 分鐘才能判斷是否為真實威脅。這樣的人工處理不僅造成營運負擔,還會延遲對真正攻擊事件的應變。
網路釣魚分類 Agent 透過先進的大型語言模型(LLM)進行深入分析,例如檢查郵件語意內容,自動判定該事件是否為真正的網路釣魚攻擊或是誤報。這種智慧化的過濾,大幅減輕安全運營中心 ( SOC ) 團隊的工作負擔,讓他們能專注於高優先等級的威脅事件上 。
為了讓分析師能夠信任其判斷結果,Security Copilot Agent 會提供自然語言的分類解釋及可視化推理圖 ( visual explanation flow )。這種透明化設計可讓資安團隊理解事件為何被分類為某種類型,更容易驗證結果。分析師也能以自然語言提供回饋,讓 Agent 根據互動式學習 ( Human-in-the-loop-learning )、提升準確率,並逐漸適應每個組織獨特的威脅情境。隨著持續學習與優化, Agent 將更貼合組織需求,減少手動驗證需要。
這項功能的目的是透過 AI 自主能力革新安全運營中心 ( SOC ) 作業流程。當網路釣魚攻擊日益複雜、安全運營中心 ( SOC ) 資安分析師壓力不斷上升時, Security Copilot Agent 能有效減少重複性任務,讓團隊能專注於更積極的防禦行動,提升整體資安防護力。
Security Copilot 強化事件摘要與建議提示
Security Copilot in Microsoft Defender 中的資安事件功能現已進行多項強化,包括關聯威脅情報與資產風險等資料整合,而這些都是根據客戶回饋新增的功能。此外,我們也引入「建議提示 ( Suggested Prompts )」,讓資安分析師能快速存取常見的追問問題,進一步查找裝置、使用者、威脅情報等上下文資訊,讓使用體驗更具互動性,逐漸從固定輸入,轉向更動態、對話式的工作流程。
欲詳讀 Security Copilot Agent 的其他公告內容,請點此查看
Microsoft Defender XDR 全面升級防護能力
為了強化 Microsoft Defender XDR 的核心防禦能力,我們不僅推出全新功能,也深化既有整合,打造更全面、更無縫的資安防線,因應持續演化的威脅。
Microsoft Teams 即時防護新功能,有效防禦釣魚攻擊與新興網路威脅
雖然電子郵件仍是攻擊者常用的入侵途徑,但 Microsoft Teams 等協作工具的快速普及,也讓網路攻擊有了新戰場。我們在 Microsoft Defender for Office 365 中的創新可協助組織防範 Teams 上的釣魚及其他新型威脅,包括即時攔截惡意連結、安全附件掃描、品牌仿冒偵測等功能。而為了讓事件調查與回應更順暢,以上資訊都已整合進統一的 SOC 作業平台中。
欲詳讀公告內容,請點此查看
Microsoft Purview 資料安全調查工具 (Data Security Investigation, DSI)正式登場,強化 SOC 資安調查能力
對事件進行優先順序排序時,瞭解哪些資料遭受影響至關重要,但這向來是資安團隊面臨的挑戰。資料是攻擊者的主要目標,因此整合資安與資料安全團隊是加快應變的關鍵。
我們已大幅投資於 Microsoft Defender XDR 與 Microsoft Purview 的整合,讓安全運營中心 ( SOC ) 與資料安全更緊密合作。我們很高興宣布,現在已可從 Defender XDR 的事件圖中直接啟動 Microsoft Purview 的資料安全事件調查( Data Security Investigation, DSI )功能。
為避免敏感資料外洩與未授權存取,確保安全運營中心 ( SOC ) 資料安全一直是關鍵任務。DSI 能以 AI 驅動的內容分析,加速調查郵件、檔案、訊息等資料中的安全風險與敏感性,讓資安分析師更快速地判斷哪些資料有被外洩的風險,並即時採取行動處置事件,維護企業資料安全。
欲詳讀公告內容,請點此查看
OAuth 應用程式分析現已納入 Microsoft Security Exposure Management 功能中
近年來,攻擊者大量利用 OAuth 應用程式來存取 Microsoft Teams、SharePoint 和 Outlook 等商務應用程式中的關鍵資料。為應對這類威脅,Microsoft Defender for Cloud Apps 現已將 OAuth 應用程式及其連線整合進 Microsoft Security Exposure Management 攻擊面管理,進一步強化攻擊途徑與攻擊面可視化圖(Attack Surface Map)的體驗。此外,我們還推出了統一應用程式資源清單(Unified Application Inventory),可將所有應用程式互動集中在同一個位置管理,協助資安團隊全面掌握潛在風險來源與應用行為。
這項更新可應用於以下情境:
- 掌握攻擊者可能透過高權限 OAuth 應用程式入侵 Microsoft 365 SaaS 應用或敏感 Azure 資源的潛在路徑,並採取補救行動。
- 透過攻擊面圖譜(Attack Surface Map)與進階狩獵查詢 (Advanced Hunting) 功能,全面掌握 OAuth 應用程式與整體生態系統之間的關聯與風險。
- 透過我們全新的統一應用程式資源清單(Unified Application Inventory),探索 OAuth 應用程式的行為特徵並取得可執行的風險建議,有效降低企業曝險風險。
AI 與威脅情報(Threat Intelligence, TI)成為有效偵測與回應的關鍵
為了對抗新興威脅,AI 已成為加速偵測與回應的關鍵力量。結合最新的威脅分析工具,資安團隊能迅速識別風險並即時應對,為企業提供主動式保護以抵禦高度複雜的攻擊。
透過自動化攻擊中斷技術 ,攔截更多攻擊
面對多階段、多領域的現代攻擊,SOC(資安營運中心)迫切需要兼具速度與規模的回應方案。這正是自動化攻擊中斷(Automatic Attack Disruption)技術的發揮之處。自動化攻擊中斷是一種自我防禦能力,可依據多重領域訊號、最新威脅情報與 AI 模型,動態預測並阻止攻擊者的下一步行動。
我們已在 Ignite 大會上宣布基於威脅情報的中斷機制 ,並拓展至 OAuth 應用程式。現在我們進一步宣布最新創舉:透過自我學習架構為核心的攻擊中斷技術,實現更早期、更廣泛的防禦。
這項技術的核心在於持續監控來自 XDR(擴展偵測與回應)、SIEM(安全資訊與事件管理)等來源的龐大訊號,包含原始遙測數據、警示與事件。這些資料提供整體安全狀況的全貌,有助於避免忽略任何潛在威脅。
其獨特之處在於能從歷史事件與已知攻擊中學習,進而識別並中斷未曾見過的新型攻擊 。透過辨識資料中的串接上下文關聯的模式序列,再經由機器學習模型處理,能在攻擊鏈初期就阻止攻擊,大幅提升攻擊中斷的廣度與數量 。
全面性的威脅分析功能現已支援所有威脅情報報告,強化整體防禦能見度
企業現可在所有 Microsoft Defender Threat Intelligence(MDTI)中,使用完整的威脅分析工具,其中包含相關事件分析 、受影響資產、端點暴露狀況、建議行動。這些功能原本僅適用於部分特定威脅的進階分析功能 ,但現在已全面開放,協助企業取得更全面的可見性與可執行見解,提升防禦與應變效率,打造具備即時反應力的防禦架構 。
以下是一些主要功能:
- 具歷史追溯功能的 攻擊指標 IOCs(Indicators of Compromise):即使 IOCs 已過期,仍能追蹤過去威脅活動,追蹤受影響範圍,並強化主動狩獵(Proactive Hunting)能力。
- MITRE TTPs(戰術、技術與程序):建立以攻擊技術為基礎的偵測方式,超越 IOC 層級,針對特定策略進行封鎖與警示。
- 目標產業威脅篩選:依產業別篩選威脅報告,將防護重點聚焦該產業面臨的獨特挑戰。
Microsoft 致力於打造 AI 為先(AI-first)的創新安全解決方案 ,協助客戶提升整體防護能力。 這些全新功能進一步強化了我們對客戶和資安社群的承諾,也再次強調我們將資安放在首要位置的決心。
歡迎深入了解這些創新技術, 協助您的組織保護資料、防禦網路威脅,並確保符合法規要求 。
