Updated December 31, 2024: We have updated the content. Thank you for your patience.

As part of the convergence of both Microsoft Defender for Identity and Microsoft Defender for Cloud Apps into Microsoft Defender XDR services, we are continuing to move away from legacy experiences and enhancing the unified experiences.

Therefore, we will gradually retire Defender for Identity’s Active Directory and alerts data from Defender for Cloud Apps dedicated experiences. All data, as well as all functionality of the affected experiences, remain available through Microsoft Defender XDR unified experiences, where we will continue to invest our development resources.

[When this will happen:] 

General Availability (Worldwide, GCC, GCC High, DoD): This retirement will begin rolling out in late January 2025 and is expected to complete in early March 2025. 

[How this will affect your organization:]

You are receiving this message because the following changes may affect your organization:

Active directory activities coming from Defender for Identity will no longer be available in Defender for Cloud Apps activity logs. Consequently, Defender for Cloud Apps activity policies will cease from triggering based on Active Directory data.

All Active Directory activities data remains available through Advanced Hunting, in the following tables:

• IdentityLogonEvents
• IdentityDirectoryEvents
• IdentityQueryEvents

To learn more about Advanced Hunting and the Data Schema, visit Proactively hunt for threats with advanced hunting in Microsoft Defender and Understand the advanced hunting schema.

New Active Directory activities, as well as Defender for Identity’s alerts data, will no longer be available through Defender for Cloud Apps Activities API, Alerts API, or dedicated SIEM agents.

All activities and alerts data remains available through Defender XDR Streaming API and Event Hubs.

Learn more about Streaming API.

For more information about how to integrate your SIEM tools with Microsoft Defender XDR, visit Ingesting streaming event data via Event Hubs.

The Identities page under ‘Assets’ in the XDR portal will be updated to better support the new experiences. The page will be divided into two distinct tabs: First-party identities and Third-party accounts. In the User page, “View related activity” action will no longer be available. To learn more about Defender for Identity’s experiences in the XDR portal, visit Microsoft Defender for Identity in the Microsoft Defender portal.

[What you need to do to prepare:]

To ensure a seamless experience, create new custom detections for any activity policies based on active directory data in Advanced Hunting. To learn more about how to create custom detections, visit Create and manage custom detections rules. Suggested queries related to Active Directory activities are available through the portal under Advanced Hunting > Community Queries. For more information, see Use shared queries in Advanced Hunting.

If you are still using Defender for Cloud Apps dedicated API and SIEM agents to consume Defender for Identity activities or alerts, make sure to update your resources according to the above information.

2024年12月31日更新:コンテンツを更新しました。ご理解いただきありがとうございます。

Microsoft Defender for Identity と Microsoft Defender for Cloud Apps の両方を Microsoft Defender XDR サービスに統合する一環として、Microsoft は従来のエクスペリエンスから離れ、統一されたエクスペリエンスを強化し続けています。

そのため、Defender for Identity の Active Directory と Defender for Cloud Apps 専用エクスペリエンスからのアラート データは徐々に廃止されます。影響を受けるエクスペリエンスのすべてのデータとすべての機能は、Microsoft Defender XDR 統合エクスペリエンスを通じて引き続き利用でき、開発リソースは引き続き投資されます。

[これがいつ起こるか:] 

一般提供 (全世界、GCC、GCC High、DoD): この廃止は 2025 年 1 月下旬にロールアウトを開始し、2025 年 3 月上旬に完了する予定です。 

[これがあなたの組織にどのように影響しますか:]

このメッセージが表示されるのは、次の変更が組織に影響を与える可能性があるためです。

Defender for Identity からの Active Directory アクティビティは、Defender for Cloud Apps アクティビティ ログで使用できなくなります。その結果、Defender for Cloud Apps アクティビティ ポリシーは、Active Directory データに基づくトリガーが停止されます。

すべての Active Directory アクティビティ データは、次の表に示すように、高度な捜索を通じて引き続き使用できます。

• IdentityLogonイベント
• IdentityDirectoryイベント
• IdentityQueryイベント

高度なハンティングとデータ スキーマの詳細については、「Microsoft Defender の高度なハンティングで脅威を事前にハンティングする」および 「高度なハンティング スキーマを理解する」を参照してください 。 

新しい Active Directory アクティビティと Defender for Identity のアラート データは、Defender for Cloud Apps Activities API、Alerts API、または専用の SIEM エージェントを通じて使用できなくなります。

すべてのアクティビティとアラート データは、Defender XDR Streaming API と Event Hubs を通じて引き続き使用できます。

ストリーミング API の詳細については 、こちらをご覧ください。

SIEM ツールを Microsoft Defender XDR と統合する方法の詳細については、「Event Hubs を使用したストリーミング イベント データの取り込み」を参照してください 。

XDR ポータルの [アセット] の下にある [ID] ページは、新しいエクスペリエンスをより適切にサポートするために更新されます。このページは、ファーストパーティIDとサードパーティアカウントという2つの異なるタブに分かれています。ユーザーページでは、「関連アクティビティの表示」アクションは使用できなくなります。XDR ポータルでの Defender for Identity のエクスペリエンスの詳細については、 Microsoft Defender ポータルの Microsoft Defender for Identity を参照してください。

【準備に必要なこと】

シームレスなエクスペリエンスを確保するには、Advanced HuntingのActive Directoryデータに基づいて、アクティビティポリシーの新しいカスタム検出を作成します。カスタム検出を作成する方法の詳細については、「カスタム検出ルールの作成と管理」を参照してください 。Active Directory アクティビティに関連する推奨クエリは、ポータルの [高度なハンティング] > [コミュニティ クエリ] から利用できます。詳細については、「高度なハンティングで共有クエリを使用する」を参照してください 。

Defender for Cloud Apps の専用 API と SIEM エージェントをまだ使用して Defender for Identity のアクティビティまたはアラートを使用している場合は、上記の情報に従ってリソースを更新してください。