Updated March 24, 2025: We have updated the rollout timeline below. Thank you for your patience.

Coming soon for Microsoft Defender for Cloud Apps:

• A change to alerts generated by events originating from Defender for Cloud Apps that are generated in the Microsoft Defender XDR detection engine

This rollout aims to provide more accurate and precise information on the origin of these alerts, enabling customers to identify, manage, and respond to alerts more effectively.

[When this will happen:]

General Availability (GCC, GCC High, DoD, Production, DoD): We will begin rolling out early March 2025 and expect to complete by late May 2025 (previously early April).

[How this will affect your organization:]

We will change the field indicating the alert source in the alert data itself. Note: The rollout will only affect new alerts generated after the rollout and will not alter existing alerts.

This rollout will be reflected in all experiences where alerts are represented, including Incidents & alerts queues in the XDR portal, Advanced hunting, and the correlating APIs and SIEM systems.

In the Defender XDR portal, the change will be reflected in the Service sources field, replacing the current Microsoft Defender XDR values with the new value Defender for Cloud Apps. The detection sources will remain unchanged and will continue to indicate the detections are generated in the XDR detection engine.

The alert ID prepended characters of some of the alerts will also be changed to comply with the Defender XDR mapping.

Learn more about the different alert sources in Defender XDR in the Alert sources section of Investigate alerts in Microsoft Defender XDR – Microsoft Defender XDR | Microsoft Learn

In the Microsoft Graph API, Microsoft Defender for Endpoint streaming API, and the Microsoft Azure Events Hub, the change will be reflected in the alert resource type under the property serviceSource, and the previous values of microsoft365Defender will change to microsoftDefenderForCloudApps.

Learn more about the Graph API alert resource: alert resource type – Microsoft Graph v1.0 | Microsoft Learn

Learn more about Streaming API: Stream Microsoft Defender XDR events – Microsoft Defender XDR | Microsoft Learn

[What you need to do to prepare:]

This rollout will happen automatically by the specified date with no admin action required before the rollout.

Administrators should review and update any custom alert rules, playbooks, or automations involving the alerts mentioned above (Service sources = Microsoft Defender XDR and Detection sources = Defender XDR, to ensure they reflect the new value. You may also want to notify your users about this change and update any relevant documentation.

As a reminder, detection sources will remain unchanged, so if you only filter on detection sources, everything should continue to function as normal.

2025 年 3 月 24 日更新: 以下のロールアウト タイムラインを更新しました。ご理解いただきありがとうございます。

Microsoft Defender for Cloud Apps の近日公開予定:

• Microsoft Defender XDR 検出エンジンで生成される Defender for Cloud Apps から発生したイベントによって生成されるアラートの変更

このロールアウトは、これらのアラートの発生元に関するより正確で精密な情報を提供し、お客様がアラートをより効果的に特定、管理、対応できるようにすることを目的としています。

[これがいつ起こるか:]

一般提供 (GCC、GCC High、DoD、Production、DoD): 2025 年 3 月上旬にロールアウトを開始し、2025 年 5 月下旬 (以前は 4 月上旬) までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

アラートデータ自体のアラートソースを示すフィールドを変更します。 手記： ロールアウトは、ロールアウト後に生成された新しいアラートにのみ影響し、既存のアラートは変更されません。

このロールアウトは、XDR ポータルの インシデントとアラート キュー、 高度なハンティング、関連する API と SIEM システムなど、アラートが表示されるすべてのエクスペリエンスに反映されます。

Defender XDR ポータルでは、変更が [サービス ソース] フィールドに反映され、現在の Microsoft Defender XDR 値が新しい値 Defender for Cloud Apps に置き換えられます。検出ソースは変更されず、検出が XDR 検出エンジンで生成されたことを引き続き示します。

一部のアラートのアラート ID の先頭に付加された文字も、Defender XDR マッピングに準拠するように変更されます。

Defender XDR のさまざまなアラート ソースの詳細については、「Microsoft Defender XDR でアラートを調査する」の「 アラート ソース 」セクションを参照してください – Microsoft Defender XDR |マイクロソフト ラーン

Microsoft Graph API、Microsoft Defender for Endpoint ストリーミング API、Microsoft Azure イベント ハブでは、変更はプロパティ serviceSource の下のアラート リソースの種類に反映され、以前の microsoft365Defender の値は microsoftDefenderForCloudApps に変更されます。

Graph API アラート リソースの詳細: アラート リソースの種類 – Microsoft Graph v1.0 |マイクロソフト ラーン

ストリーミング API: Microsoft Defender XDR イベントのストリーミング – Microsoft Defender XDR |マイクロソフト ラーン

【準備に必要なこと】

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。

管理者は、上記のアラート (サービス ソース = Microsoft Defender XDR と検出ソース = Defender XDR) に関連するカスタム アラート ルール、プレイブック、または自動化を確認して更新し、新しい値が反映されていることを確認する必要があります。また、この変更についてユーザーに通知し、関連するドキュメントを更新することもできます。

なお、検出ソースは変更されないため、検出ソースのみをフィルタリングする場合でも、すべてが通常どおり機能します。