Introduction

We’re improving the alert experience in Microsoft Defender for Office 365 (MDO) to help security teams triage alerts more efficiently. These updates reduce alert fatigue by consolidating related signals into single, richer alerts―without compromising detection fidelity or coverage.

When this will happen

General Availability (Worldwide, GCC, GCC High, DoD): Rollout begins mid-September 2025 and will complete by late November 2025. Updates will be delivered incrementally during this period.

How this affects your organization

• Fewer near-duplicate alerts: Closely related signals will be grouped, reducing clutter in the alert list.
• Richer alert detail: Alerts will include impacted entities (e.g., users, recipients), key identifiers (e.g., message/network IDs), and timelines. Evidence such as URLs, attachments, and IPs remains accessible.
• Preserved triage workflows: Existing pivots like Open message in Explorer, View timeline, and List impacted entities remain unchanged. Severity and categorization are unaffected.
• Incident correlation: Incidents may contain fewer child alerts but with denser evidence per alert.
• APIs and reporting: No schema changes. You may observe lower raw alert counts with higher per-alert density. Dashboards and automation referencing alert IDs will continue to function.

This feature is on by default and requires no configuration changes.

What you can do to prepare

• Review automation logic: Ensure playbooks and scripts can handle alerts with multiple entities and richer context.
• Review alert metrics: If you track alert counts, consider also measuring how many users or messages are included in each alert, what actions are taken, and how long it takes to respond and resolve (mean time to acknowledge and mean time to resolve).
• Communicate with SecOps teams: Set expectations around reduced alert volume with maintained evidence depth.

No policy or configuration changes are required before rollout.

Compliance considerations

No compliance considerations identified, review as appropriate for your organization.

B介

Microsoft Defender for Office 365 (MDO) のアラ`ト エクスペリエンスを改善して、セキュリティ チ`ムがアラ`トをより柯实膜衰去辚`ジできるようにしています。これらのアップデ`トにより、食訾沃g度やカバレッジをpなうことなく、vBするシグナルをg一のよりN富なアラ`トにy合することで、アラ`トの疲氦Xpされます。

これがいつ起こるか

一般提供 (全世界、GCC、GCC High、DoD): ロ`ルアウトは 2025 年 9 月中旬に_始され、2025 年 11 月下旬までに完了する予定です。この期g中、更新プログラムは段A的に配信されます。

これがMに与える影

• 重}に近いアラ`トのp少: 密接にvBする信号がグル`プ化され、アラ`ト リストの乱jさがXpされます。
• よりN富なアラ`トの: アラ`トには、影を受けるエンティティ (ユ`ザ`、受信者など)、主要なRe子 (メッセ`ジ/ネットワ`ク ID など)、タイムラインが含まれます。URL、添付ファイル、IP などの^には引きAきアクセスできます。
• 保持されたトリア`ジ ワ`クフロ`: エクス プロ`ラ`でメッセ`ジを_く、 タイムラインの表示、 影を受けるエンティティ の一E表示などの既存のピボットは涓丹欷蓼护蟆Ｖ卮蠖趣确诸は影を受けません。
• インシデントの相vvS: インシデントに含まれる子アラ`トは少なくても、アラ`トごとの^は密度が高くなります。
• API とレポ`ト: スキ`マの涓悉辘蓼护蟆Ｉ违椹`ト数が少なくなると、アラ`トごとの密度が高い龊悉辘蓼埂％椹`ト ID を参照するダッシュボ`ドと自踊弦AきC能します。

このC能はデフォルトでオンになっており、O定を涓工氡匾悉辘蓼护蟆

浃工毪郡幛摔扦毪长

• 自踊恁弗氓虼_Jします。 プレイブックとスクリプトが、}数のエンティティとよりN富なコンテキストを持つアラ`トをI理できることを_Jします。
• アラ`ト メトリックを_Jします。 アラ`ト数を追Eする龊悉稀⒏鳐椹`トに含まれるユ`ザ`数またはメッセ`ジの数、g行されたアクション、答と解Qにかかるrg (_Jまでの平均rgと解Qまでの平均rg) のy定も视してください。
• SecOps チ`ムとコミュニケ`ションをとる: ^の深さをS持しながら、アラ`ト量の削pにvする期待をO定します。

ロ`ルアウト前にポリシ`や成を涓工氡匾悉辘蓼护蟆

コンプライアンスにvする考]事

コンプライアンスにvする考]事が特定されていない龊悉稀⒔Mにじて_Jします。