Se você trabalha com threat hunting ou resposta a incidentes, provavelmente já passou pela frustração de uma query travar no meio de uma investigação crítica. A Microsoft ouviu esse feedback e lançou uma série de melhorias no Advanced Hunting do Defender XDR que merecem atenção.
Mais dados, menos limitações
O limite de resultados foi expandido de 30.000 para 100.000 registros. Parece simples, mas na prática muda muito o jogo quando você está caçando ameaças em ambientes grandes. Junto a isso, chegou o records limitation picker, que permite definir exatamente quantas linhas uma query deve retornar — 1.000, 5.000, 10.000, 30.000 ou até o limite máximo. Isso evita queries pesadas que travam o ambiente sem querer.
Outro ponto importante: quando uma query ultrapassa o limite de 64 MB, o sistema agora entrega resultados parciais em vez de simplesmente falhar. Ou seja, você age com o que tem, sem precisar reescrever a query do zero. microsoft
Interface mais inteligente para quem caça ameaças
Um novo painel lateral de detalhes de execução de queries agora exibe tempo de execução, fontes de dados, escopo, utilização de recursos e informações detalhadas sobre erros. Isso torna o troubleshooting muito mais ágil — nada de tentativa e erro às cegas. microsoft
As mensagens de erro também ficaram mais claras, com sugestões práticas para resolver os problemas mais comuns. Pequeno detalhe, grande diferença quando você está sob pressão.
Organização e reaproveitamento de trabalho
Agora é possível renomear abas dentro do Advanced Hunting, facilitando a organização de investigações em paralelo sem precisar salvar tudo como função permanente. microsoft
Além disso, funções KQL podem ser salvas diretamente no log analytics workspace, ficando disponíveis para uso em workbooks e regras de analytics no Sentinel. Isso é excelente para quem quer construir lógica reutilizável e padronizar workflows de segurança. microsoft
Glossário de Acrônimos
| Acrônimo | Significado |
|---|---|
| XDR | Extended Detection and Response |
| KQL | Kusto Query Language |
| SIEM | Security Information and Event Management |
| UI | User Interface |
| GA | General Availability (disponibilidade geral) |
Conclusão
As melhorias no Advanced Hunting do Microsoft Defender XDR mostram uma evolução clara em direção a uma ferramenta mais robusta e menos frustrante para analistas de segurança. O aumento de limites, a entrega de resultados parciais e a maior transparência na execução de queries resolvem dores reais do dia a dia. Para quem pratica threat hunting de forma estruturada, esses recursos fazem diferença direta na velocidade e qualidade das investigações.
Referência: Nutkevitch, N.; Tan, J. Microsoft Defender: New Advanced hunting enhancements. Microsoft Tech Community, 28 abr. 2026. Disponível em: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/microsoft-defender-new-advanced-hunting-enhancements/4514654
Seja o primeiro a comentar