Coming soon for Microsoft Defender for Cloud Apps: Improvements to threat protection capabilities. We will implement a new dynamic model for threat protection detections and alerts. This change aims to improve and maintain a high signal-to-noise Ratio (SNR) for detections.

[When this will happen:]

General Availability (Worldwide, GCC, GCC High, DoD): We will begin rolling out the first batch of policies early June 2025 and expect to complete by early July 2025.

[How this will affect your organization:]

Our new dynamic model allows our security researchers an ability to respond faster to new threats, to update detection logic based on the evolving threat landscape. This means that detections can be added, removed, or modified dynamically to ensure optimal protection against emerging threats. Note: These are research-driven detections, so Customers will enjoy the protection without the need to actively configure them.

This rollout will be seamless, and you will continue to receive the same standard of protection without disruption to the provided security coverage. After rollout begins, we will include the migrated policies in Create anomaly detection policies – Microsoft Defender for Cloud Apps | Microsoft Learn (to be updated).

The first batch of policies will be:

1. Suspicious inbox manipulation rule
2. Suspicious email deletion activity
3. Suspicious email forwarding rule
4. Activity from an anonymous proxy
5. Activity from a botnet-associated IP address

Note: In addition to the policies in the first batch mentioned above, all other OOTB policies will eventually be migrated to the new dynamic model.

After this rollout:

• By applying the new dynamic model, we aim to provide more accurate and timely threat detections, enhancing your overall organization security.
• In some cases, policies may be split into several different detections and alerts in order to provide an additional degree of protection and better understanding for the SOC teams on the threat etymology.
• For several months during the gradual migration of OOTB policies, the policies will be disabled but still temporarily visible in Defender for Cloud Apps. After the migration has completed, we will remove the policies from the legacy policies page, and we will send a separate MC post about this removal.

This migration will be seamless and available by default. However, please note that we will disable legacy policies and their configured governance actions. If you wish to retain governance actions, please re-enable the policies from the legacy policies page at Defender portal > Cloud apps > Policy management page.

This rollout will happen automatically by the specified dates with no admin action required before the rollout. Review your current configuration to assess the impact on your organization. You may want to notify your users about this change and update any relevant documentation.

Microsoft Defender for Cloud Apps の近日公開予定: 脅威保護機能の改善。 脅威保護の検出とアラートのための新しい動的モデルを実装します。この変更は、検出のための高い信号対雑音比(SNR)を改善し、維持することを目的としています。

[これがいつ起こるか:]

一般提供 (全世界、GCC、GCC High、DoD): 2025 年 6 月初旬にポリシーの最初のバッチの展開を開始し、2025 年 7 月上旬までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

当社の新しい動的モデルにより、セキュリティ研究者は新たな脅威に迅速に対応し、進化する脅威の状況に基づいて検出ロジックを更新できます。つまり、検出を動的に追加、削除、または変更して、新たな脅威に対する最適な保護を確保できます。注: これらは研究主導型の検出であるため、お客様は積極的に設定することなく保護を利用できます。

このロールアウトはシームレスに行われ、提供されるセキュリティ範囲を中断することなく、同じ標準の保護を引き続き受けることができます。ロールアウトが開始されたら、移行されたポリシーを「 異常検出ポリシーの作成 – Microsoft Defender for Cloud Apps |Microsoft Learn (更新予定)。

ポリシーの最初のバッチは次のとおりです。

1. 不審な受信トレイ操作ルール
2. 不審なメール削除アクティビティ
3. 不審なメール転送ルール
4. 匿名プロキシからのアクティビティ
5. ボットネットに関連付けられたIPアドレスからのアクティビティ

注: 上記の最初のバッチのポリシーに加えて、他のすべての OOTB ポリシーは、最終的に新しい動的モデルに移行されます。

このロールアウト後:

• 新しい動的モデルを適用することで、より正確でタイムリーな脅威検出を提供し、組織全体のセキュリティを強化することを目指しています。
• 場合によっては、ポリシーをいくつかの異なる検出とアラートに分割して、脅威の語源に関する SOC チームの保護と理解を深める必要がある場合があります。
• OOTB ポリシーの段階的な移行期間中の数か月間、ポリシーは無効になりますが、Defender for Cloud Apps に一時的に引き続き表示されます。 移行が完了したら、レガシ ポリシー ページからポリシーを削除し、 この削除に関する別の MC 投稿を送信します。

この移行はシームレスで、デフォルトで利用できます。ただし、レガシ ポリシーとそれを構成するガバナンス アクションは無効になることに注意してください。ガバナンス アクションを保持する場合は、Defender ポータルのレガシ ポリシー ページ>クラウド アプリ>ポリシー管理ページからポリシーを再度有効にしてください。

このロールアウトは、ロールアウト前に管理者のアクションを必要とせずに、指定された日付までに自動的に行われます。現在の構成を確認して、組織への影響を評価します。この変更についてユーザーに通知し、関連するドキュメントを更新することをおすすめします。