As part of our ongoing efforts to enhance performance and scalability, Microsoft Defender for Office 365 investigation and hunting experiences are undergoing a data platform migration to establish a more robust, efficient, and scalable data storage system. This migration aims to improve data consistency and reliability, particularly in investigation and threat-hunting experiences.

[When this will happen:]

General Availability (Worldwide, GCC, GCC High, DoD): We began rolling out this migration early November 2024 and expect to complete by late June 2025.

[How this will affect your organization:]

Key benefits

• Ensures data consistency across multiple user experiences: By consolidating data management under a unified platform, this migration will eliminate discrepancies between different workflows, ensuring that security analysts have access to consistent and reliable data across various investigation and hunting experiences.
• Establishes data parity between Threat Explorer and Advanced Hunting: By leveraging a single, unified data source, the migration will ensure that data retrieved in Threat Explorer and Advanced Hunting remains synchronized. This reduces the chances of data disparity between different tools and allows security teams to conduct investigations with better accuracy.
• Enhances the data pipeline for Advanced Hunting, resulting in improved performance and accuracy: The migration will optimize data ingestion pipeline and proactive monitoring system of Advanced Hunting. This will lead to improved data freshness and reduce the chances of potential data quality issues in data pipeline.
• Accelerates development cycles for new features built on the new data platform: The modernized data architecture will enable faster iteration and deployment of new features. By reducing dependencies on legacy systems and adopting a scalable infrastructure, Microsoft can introduce feature enhancements more rapidly, bringing greater value to security analysts.
• Strengthens proactive monitoring capabilities to minimize potential impact on customer workflows: The new platform will enhance real-time monitoring and alerting mechanisms, allowing for proactive detection and resolution of issues before they impact user workflows. Improved observability will ensure that any latency or disruptions are identified early, reducing downtime and improving system reliability.

Potential impact

• No direct impact on customer data.
• While the new platform brings significant improvements, users may experience slight delays in data availability (such as email metadata and post-delivery actions like quarantine release and manual remediation) in certain experiences, including Threat Explorer, Email Entity, and the Email Summary Panel.
• In some cases, users may encounter intermittent failures for brief moment when loading the Email Summary Panel from experiences such as Quarantine and Submission immediately after an email is delivered. However, this will automatically resolve once the necessary data has been processed and stored.

Resolution plan

While our team works on the migration, we are also actively working on optimizing the performance of the new data platform to align as closely as possible with the data freshness rate of Threat Explorer before the data platform migration. Also, efforts are underway to minimize failure rates across user experiences caused by temporary data unavailability.

The phase 1 performance improvement work is expected to be completed by late June 2025. After that, our teams will be continuously monitoring the latencies and investing in further improvements to ensure seamless security operations experience to end users.

This change will be available by default.

[What you need to do to prepare:]

This migration will happen automatically by the specified dates with no admin action required before the rollout. Review your current configuration to assess the impact on your organization. You may want to notify your users about this change and update any relevant documentation.

パフォーマンスとスケーラビリティを向上させるための継続的な取り組みの一環として、Microsoft Defender for Office 365の調査とハンティング エクスペリエンスでは、より堅牢で効率的、かつスケーラブルなデータ ストレージ システムを確立するためのデータ プラットフォームの移行が行われています。この移行は、特に調査と脅威ハンティングのエクスペリエンスにおいて、データの一貫性と信頼性を向上させることを目的としています。

[これがいつ起こるか:]

一般提供 (全世界、GCC、GCC High、DoD): この移行は 2024 年 11 月初旬にロールアウトを開始し、2025 年 6 月下旬までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

主な利点

• 複数のユーザーエクスペリエンス間でデータの一貫性を確保します。 この移行により、データ管理を統一されたプラットフォームに統合することで、異なるワークフロー間の不一致が排除され、セキュリティアナリストはさまざまな調査およびハンティングエクスペリエンス全体で一貫性のある信頼性の高いデータにアクセスできるようになります。
• Threat Explorer と Advanced Hunting の間のデータ パリティを確立します。 1 つの統合データ ソースを活用することで、移行により、脅威エクスプローラーと高度なハンティングで取得されたデータの同期が維持されます。これにより、異なるツール間でデータ格差が発生する可能性が減り、セキュリティチームはより正確に調査を実施できるようになります。
• Advanced Huntingのデータパイプラインを強化し、パフォーマンスと精度の向上:移行により、Advanced Huntingのデータインジェストパイプラインとプロアクティブな監視システムが最適化されます。これにより、データの鮮度が向上し、データ パイプラインでデータ品質の潜在的な問題が発生する可能性が低くなります。
• 新しいデータ プラットフォーム上に構築された新機能の開発サイクルを加速します。 モダナイズされたデータ アーキテクチャにより、新機能のイテレーションとデプロイが迅速化されます。レガシ システムへの依存を減らし、スケーラブルなインフラストラクチャを採用することで、Microsoft は機能拡張をより迅速に導入し、セキュリティ アナリストに大きな価値をもたらすことができます。
• プロアクティブな監視機能を強化して、お客様のワークフローへの潜在的な影響を最小限に抑えます。 新しいプラットフォームでは、リアルタイムの監視とアラートのメカニズムが強化され、ユーザーのワークフローに影響が及ぶ前に問題をプロアクティブに検出して解決することができます。可観測性の向上により、遅延や中断が早期に特定され、ダウンタイムが短縮され、システムの信頼性が向上します。

潜在的な影響

• 顧客データに直接影響はありません。
• 新しいプラットフォームでは大幅な改善がもたらされますが、脅威エクスプローラー、電子メール エンティティ、電子メールの概要パネルなどの特定のエクスペリエンスでは、データの可用性 (電子メール メタデータや検疫の解放や手動修復などの配信後のアクションなど) にわずかな遅延が発生する可能性があります。
• 場合によっては、メールが配信された直後に、検疫や送信などのエクスペリエンスからメールの概要パネルを読み込むときに、ユーザーが短時間断続的なエラーに遭遇することがあります。ただし、必要なデータが処理および保存されると、これは自動的に解決されます。

抱負計画

私たちのチームが移行に取り組む一方で、新しいデータ プラットフォームのパフォーマンスを最適化して、データ プラットフォームの移行前の脅威エクスプローラーのデータ鮮度にできるだけ近づけることにも積極的に取り組んでいます。また、一時的なデータが利用できなくなることによるユーザーエクスペリエンス全体の障害率を最小限に抑えるための取り組みも進行中です。

フェーズ1のパフォーマンス改善作業は、2025年6月下旬までに完了する予定です。その後、私たちのチームはレイテンシーを継続的に監視し、エンドユーザーがシームレスなセキュリティ運用体験を確実にするためにさらなる改善に投資します。

この変更はデフォルトで使用可能になります。

【準備に必要なこと】

この移行は、ロールアウト前に管理者のアクションを必要とせずに、指定された日付までに自動的に行われます。現在の構成を確認して、組織への影響を評価します。この変更についてユーザーに通知し、関連するドキュメントを更新することをおすすめします。