We’d like to inform you that threat actor attribution details will soon be removed from the alert page in Microsoft Defender for Endpoint. This change is designed to improve clarity and focus in alert content. Threat actor attribution is more meaningful and actionable when viewed in the context of the broader incident rather than at the individual alert level.

After this change, attribution details will be available on the Incident page and in the Threat Intelligence section within the Microsoft Defender portal.

When this will happen

January 12, 2026: Threat actor attribution information will be retired from alert pages.

How this affects your organization

Who is affected: Admins and security teams using Microsoft Defender for Endpoint.

What will happen:

• Threat actor attribution will no longer appear on individual alert pages.
• Attribution details will be available on the Incident page and in the Threat Intelligence experience.
• No impact to alert generation, detection logic, or security effectiveness.

What you can do to prepare

• No admin action is required; this change will occur automatically.
• If your workflows currently rely on alert-level actor attribution, review incident-based investigation processes to ensure continuity.
• Update internal workflows, playbooks, or automation rules to retrieve attribution from the Incident page or Threat Intelligence section.
• Inform SOC and threat intelligence teams about this change.

Compliance considerations

No compliance considerations identified, review as appropriate for your organization.

Microsoft Defender for Endpointのアラートページから、まもなく脅威アクターの帰属情報が削除されることをお知らせいたします。この変更はアラートコンテンツの明瞭さと焦点を高めることを目的としています。脅威アクターの帰属は、個々のアラートレベルではなく、より広範なインシデントの文脈で見ることでより意味があり、実行可能です。

この変更後、帰属の詳細はインシデントページおよびMicrosoft Defenderポータル内の脅威インテリジェンスセクションで公開されます。

それがいつ起こるのか

2026年1月12日: 脅威アクターの帰属情報はアラートページから削除されます。

これがあなたの組織に与える影響

影響を受ける人物: Microsoft Defender for Endpointを使用している管理者やセキュリティチーム。

今後の展開:

• 脅威アクターの帰属は、個別のアラートページには表示されなくなります。
• 帰属の詳細は インシデントページ および Threat Intelligence体験で確認できます。
• アラート生成、検知ロジック、セキュリティ効果に影響はありません。

準備のためにできること

• 管理者の対応は不要です。この変更は自動的に行われます。
• 現在、ワークフローがアラートレベルのアクター帰属に依存している場合は、インシデントベースの調査プロセスを見直して継続性を確保しましょう。
• インシデントページや脅威インテリジェンスセクションから帰属を取得するために、社内のワークフロー、プレイブック、自動化ルールを更新してください。
• この変更についてSOCおよび脅威インテリジェンスチームに知らせてください。

コンプライアンスの考慮事項

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。