مشاركة عبر

الجديد في Microsoft Sentinel

  • مقالة

تسرد هذه المقالة الميزات الحديثة المضافة لـ Microsoft Azure Sentinel، والميزات الجديدة في الخدمات ذات الصلة التي توفر تجربة مستخدم مُحَسنة في Microsoft Azure Sentinel.

تم إصدار الميزات المدرجة في الأشهر الثلاثة الماضية. للحصول على معلومات حول الميزات السابقة التي تم تسليمها، راجع مدونات مجتمع التكنولوجيا .

احصل على إعلام عند تحديث هذه الصفحة عن طريق نسخ عنوان URL التالي ولصقه في قارئ الموجز: https://aka.ms/sentinel/rss

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

سبتمبر 2024

تمت إضافة تعيين المخطط إلى تجربة ترحيل SIEM

منذ أن أصبحت تجربة ترحيل SIEM متاحة بشكل عام في مايو 2024، تم إجراء تحسينات ثابتة للمساعدة في ترحيل مراقبة الأمان من Splunk. تتيح الميزات الجديدة التالية للعملاء توفير مزيد من التفاصيل السياقية حول بيئة Splunk الخاصة بهم واستخدامهم لمحرك ترجمة ترحيل MICROSOFT Sentinel SIEM:

  • تعيين المخطط
  • دعم وحدات ماكرو Splunk في الترجمة
  • دعم عمليات بحث Splunk في الترجمة

لمعرفة المزيد حول هذه التحديثات، راجع تجربة ترحيل SIEM.

لمزيد من المعلومات حول تجربة ترحيل SIEM، راجع المقالات التالية:

سيتم إيقاف عناصر واجهة مستخدم الإثراء التابعة لجهة خارجية في فبراير 2025

فعالة على الفور، لم يعد بإمكانك تمكين الميزة لإنشاء عناصر واجهة مستخدم الإثراء التي تسترد البيانات من مصادر بيانات خارجية تابعة لجهة خارجية. يتم عرض عناصر واجهة المستخدم هذه على صفحات كيان Microsoft Sentinel وفي مواقع أخرى حيث يتم تقديم معلومات الكيان. يحدث هذا التغيير لأنه لم يعد بإمكانك إنشاء مخزن مفاتيح Azure المطلوب للوصول إلى مصادر البيانات الخارجية هذه.

إذا كنت تستخدم بالفعل أي عناصر واجهة مستخدم إثراء تابعة لجهة خارجية، أي إذا كان مخزن المفاتيح هذا موجودا بالفعل، فلا يزال بإمكانك تكوين واستخدام عناصر واجهة المستخدم التي لم تكن تستخدمها من قبل، على الرغم من أننا لا نوصي بالقيام بذلك.

اعتبارا من فبراير 2025، ستتوقف أي عناصر واجهة مستخدم للإثراء تقوم باسترداد البيانات من مصادر خارجية، على صفحات الكيان أو في أي مكان آخر.

إذا كانت مؤسستك تستخدم عناصر واجهة مستخدم إثراء تابعة لجهة خارجية، نوصي بتعطيلها مسبقا، عن طريق حذف مخزن المفاتيح الذي أنشأته لهذا الغرض من مجموعة الموارد الخاصة بها. يبدأ اسم key vault ب "عناصر واجهة المستخدم".

لا تتأثر عناصر واجهة مستخدم الإثراء المستندة إلى مصادر بيانات الطرف الأول بهذا التغيير، وستستمر في العمل كما كان من قبل. تتضمن "مصادر بيانات الطرف الأول" أي بيانات تم استيعابها بالفعل في Microsoft Sentinel من مصادر خارجية - بمعنى آخر، أي شيء في الجداول في مساحة عمل Log Analytics الخاصة بك - تحليل ذكي للمخاطر في Microsoft Defender.

تتوفر خطط الشراء المسبق الآن ل Microsoft Sentinel

خطط الشراء المسبق هي نوع من حجز Azure. عند شراء خطة ما قبل الشراء، تحصل على وحدات الالتزام (CUs) في مستويات مخفضة لمنتج معين. تنطبق وحدات تثبيت Microsoft Sentinel (SCUs) على التكاليف المؤهلة في مساحة العمل الخاصة بك. عندما يكون لديك تكاليف يمكن التنبؤ بها، فإن اختيار خطة الشراء المسبق المناسبة يوفر لك المال!

لمزيد من المعلومات، راجع تحسين التكاليف باستخدام خطة ما قبل الشراء.

استيراد/تصدير قواعد الأتمتة المتاحة الآن بشكل عام (GA)

تتوفر الآن القدرة على تصدير قواعد التنفيذ التلقائي إلى قوالب Azure Resource Manager (ARM) بتنسيق JSON، واستيرادها من قوالب ARM، بشكل عام بعد فترة معاينة قصيرة.

تعرف على المزيد حول تصدير قواعد التشغيل التلقائي واستيرادها.

تتوفر الآن موصلات بيانات Google Cloud Platform بشكل عام (GA)

تتوفر الآن بشكل عام موصلات بيانات Google Cloud Platform (GCP) الخاصة ب Microsoft Sentinel، استنادا إلى النظام الأساسي للموصل بدون تعليمات برمجية (CCP). WIth هذه الموصلات، يمكنك استيعاب السجلات من بيئة GCP باستخدام إمكانية GCP Pub/Sub:

  • يجمع موصل سجلات التدقيق الفرعية/Pub في Google Cloud Platform (GCP) مسارات التدقيق للوصول إلى موارد GCP. يمكن للمحللين مراقبة هذه السجلات لتتبع محاولات الوصول إلى الموارد واكتشاف التهديدات المحتملة عبر بيئة GCP.

  • يجمع موصل مركز أوامر أمان Google Cloud Platform (GCP) النتائج من مركز أوامر أمان Google، وهو نظام أساسي قوي لإدارة المخاطر والأمان ل Google Cloud. يمكن للمحللين الاطلاع على هذه النتائج للحصول على رؤى حول الوضع الأمني للمؤسسة، بما في ذلك مخزون الأصول واكتشافها، والكشف عن نقاط الضعف والتهديدات، وتخفيف المخاطر ومعالجتها.

لمزيد من المعلومات حول هذه الموصلات، راجع استيعاب بيانات سجل Google Cloud Platform في Microsoft Sentinel.

يتوفر Microsoft Sentinel الآن بشكل عام (GA) في Azure إسرائيل Central

يتوفر Microsoft Sentinel الآن في منطقة Azure الوسطى في إسرائيل، مع نفس مجموعة الميزات مثل جميع مناطق Azure التجارية الأخرى.

لمزيد من المعلومات، راجع كدعم ميزة Microsoft Sentinel للسحب التجارية/الأخرى ل Azure والتوفر الجغرافي وإقامة البيانات في Microsoft Sentinel.

أغسطس 2024

إيقاف عامل Log Analytics

اعتبارا من 31 أغسطس 2024، تم إيقاف عامل Log Analytics (MMA/OMS).

يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. إذا كنت تستخدم عامل Log Analytics في نشر Microsoft Sentinel، نوصي بالترحيل إلى عامل Azure Monitor (AMA).

لمزيد من المعلومات، راجع:

قواعد أتمتة التصدير والاستيراد (معاينة)

إدارة قواعد أتمتة Microsoft Sentinel كتعليل برمجي! يمكنك الآن تصدير قواعد التشغيل التلقائي إلى ملفات قالب Azure Resource Manager (ARM)، واستيراد القواعد من هذه الملفات، كجزء من برنامجك لإدارة عمليات نشر Microsoft Sentinel والتحكم فيها كتعلم برمجي. سيؤدي إجراء التصدير إلى إنشاء ملف JSON في موقع تنزيلات المستعرض، يمكنك بعد ذلك إعادة تسميته ونقله والتعامل معه مثل أي ملف آخر.

ملف JSON الذي تم تصديره مستقل عن مساحة العمل، لذلك يمكن استيراده إلى مساحات العمل الأخرى وحتى المستأجرين الآخرين. كتعليمة برمجية، يمكن أيضًا التحكم في الإصدار وتحديثه ونشره في إطار CI/CD مُدار.

يتضمن الملف جميع المعلمات المحددة في قاعدة التنفيذ التلقائي. يمكن تصدير القواعد من أي نوع مشغل إلى ملف JSON.

تعرف على المزيد حول تصدير قواعد التشغيل التلقائي واستيرادها.

دعم Microsoft Sentinel في إدارة متعددة المستأجرين في Microsoft Defender (معاينة)

إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة من Microsoft، فإن بيانات Microsoft Sentinel متوفرة الآن مع بيانات Defender XDR في إدارة Microsoft Defender متعددة المستأجرين. مساحة عمل Microsoft Sentinel واحدة فقط لكل مستأجر مدعومة حاليا في النظام الأساسي لعمليات الأمان الموحدة من Microsoft. لذلك، تعرض الإدارة متعددة المستأجرين من Microsoft Defender معلومات الأمان وبيانات إدارة الأحداث (SIEM) من مساحة عمل واحدة من Microsoft Sentinel لكل مستأجر. لمزيد من المعلومات، راجع إدارة Microsoft Defender متعددة المستأجرين وMicrosoft Sentinel في مدخل Microsoft Defender.

موصل بيانات تحليل ذكي للمخاطر في Microsoft Defender Premium (معاينة)

يعمل ترخيصك المتميز تحليل ذكي للمخاطر في Microsoft Defender (MDTI) الآن على إلغاء تأمين القدرة على استيعاب جميع المؤشرات المتميزة مباشرة في مساحة العمل الخاصة بك. يضيف موصل بيانات MDTI المتميز المزيد إلى قدرات التتبع والبحث داخل Microsoft Sentinel.

لمزيد من المعلومات، راجع فهم التحليل الذكي للمخاطر.

الموصلات الموحدة المستندة إلى AMA لاستيعاب سجل النظام

مع الإيقاف الوشيك لعامل Log Analytics، قامت Microsoft Sentinel بدمج جمع واستيعاب رسائل سجل syslog وCEF ورسائل السجل ذات التنسيق المخصص في ثلاثة موصلات بيانات متعددة الأغراض استنادا إلى عامل Azure Monitor (AMA):

  • Syslog عبر AMA، لأي جهاز يتم إدخال سجلاته في جدول Syslog في Log Analytics.
  • تنسيق الحدث الشائع (CEF) عبر AMA، لأي جهاز يتم إدخال سجلاته في جدول CommonSecurityLog في Log Analytics.
  • جديد! سجلات مخصصة عبر AMA (معاينة)، لأي نوع من أنواع الأجهزة ال 15، أو أي جهاز غير مدرج، يتم إدخال سجلاته في جداول مخصصة بأسماء تنتهي _CL في Log Analytics.

تحل هذه الموصلات محل جميع الموصلات الموجودة تقريبا لأنواع الأجهزة والأجهزة الفردية التي كانت موجودة حتى الآن، والتي كانت تستند إما إلى عامل Log Analytics القديم (المعروف أيضا باسم MMA أو OMS) أو عامل Azure Monitor الحالي. تتضمن الحلول المتوفرة في مركز المحتوى لجميع هذه الأجهزة والأجهزة الآن أيا من هذه الموصلات الثلاثة المناسبة للحل.* يتم الآن وضع علامة "مهمل" على الموصلات التي تم استبدالها في معرض موصلات البيانات.

يمكن الآن العثور على الرسوم البيانية لاستيعاب البيانات التي تم العثور عليها مسبقا في صفحة موصل كل جهاز في المصنفات الخاصة بالجهاز المحزمة مع حل كل جهاز.

* عند تثبيت الحل لأي من هذه التطبيقات أو الأجهزة أو الأجهزة، للتأكد من تثبيت موصل البيانات المصاحب، يجب تحديد تثبيت مع التبعيات على صفحة الحل، ثم وضع علامة على موصل البيانات في الصفحة التالية.

للاطلاع على الإجراءات المحدثة لتثبيت هذه الحلول، راجع المقالات التالية:

رؤية أفضل لأحداث أمان Windows

لقد قمنا بتحسين مخطط جدول SecurityEvent الذي يستضيف أمن Windows الأحداث، وأضفنا أعمدة جديدة لضمان التوافق مع عامل Azure Monitor (AMA) لنظام التشغيل Windows (الإصدار 1.28.2). تم تصميم هذه التحسينات لزيادة رؤية أحداث Windows المجمعة وشفافيتها. إذا لم تكن مهتما بتلقي البيانات في هذه الحقول، يمكنك تطبيق تحويل وقت الاستيعاب ("خارج المشروع" على سبيل المثال) لإسقاطها.

خطة استبقاء السجلات الإضافية الجديدة (معاينة)

تتيح لك خطة استبقاء السجلات الإضافية الجديدة لجداول Log Analytics استيعاب كميات كبيرة من السجلات ذات الحجم الكبير بقيمة تكميلية للأمان بتكلفة أقل بكثير. تتوفر السجلات الإضافية مع الاستبقاء التفاعلي لمدة 30 يوما، حيث يمكنك تشغيل استعلامات بسيطة من جدول واحد عليها، مثل تلخيص البيانات وتجميعها. بعد فترة ال 30 يوما هذه، تنتقل بيانات السجل المساعدة إلى الاستبقاء طويل الأجل، والذي يمكنك تحديده لمدة تصل إلى 12 عاما، بتكلفة منخفضة للغاية. تسمح لك هذه الخطة أيضا بتشغيل مهام البحث على البيانات في الاحتفاظ طويل الأجل، واستخراج السجلات التي تريدها فقط إلى جدول جديد يمكنك التعامل معه مثل جدول Log Analytics عادي، مع قدرات الاستعلام الكاملة.

لمعرفة المزيد حول السجلات الإضافية والمقارنة مع سجلات التحليلات، راجع خطط استبقاء السجل في Microsoft Sentinel.

لمزيد من المعلومات المتعمقة حول خطط إدارة السجل المختلفة، راجع مقالة Table plans في مقالة نظرة عامة على سجلات Azure Monitor من وثائق Azure Monitor.

إنشاء قواعد ملخص في Microsoft Sentinel لمجموعات كبيرة من البيانات (معاينة)

يوفر Microsoft Sentinel الآن القدرة على إنشاء ملخصات ديناميكية باستخدام قواعد ملخص Azure Monitor، والتي تجمع مجموعات كبيرة من البيانات في الخلفية للحصول على تجربة عمليات أمان أكثر سلاسة عبر جميع طبقات السجل.

  • الوصول إلى نتائج قاعدة ملخص عبر لغة استعلام Kusto (KQL) عبر أنشطة الكشف والتحقيق والتتبع وإعداد التقارير.
  • تشغيل استعلامات Kusto Query Language (KQL) عالية الأداء على البيانات الملخصة.
  • استخدم نتائج قاعدة التلخيص لفترات أطول في أنشطة التحقيق والتتبع والتوافق.

لمزيد من المعلومات، راجع تجميع بيانات Microsoft Sentinel باستخدام قواعد الملخص.

يوليو 2024

تحسينات SOC متاحة الآن بشكل عام

تتوفر الآن تجربة تحسين SOC في كل من مداخل Azure وDefender بشكل عام لجميع عملاء Microsoft Sentinel، بما في ذلك كل من قيمة البيانات والتوصيات المستندة إلى التهديد.

  • استخدم توصيات قيمة البيانات لتحسين استخدام البيانات للسجلات القابلة للفوترة المتناولة، واكتساب رؤية للسجلات غير المستخدمة، واكتشاف الاكتشافات الصحيحة لتلك السجلات أو التعديلات الصحيحة على طبقة السجل أو الاستيعاب.

  • استخدم التوصيات المستندة إلى التهديدات للمساعدة في تحديد الثغرات في التغطية ضد هجمات معينة استنادا إلى أبحاث Microsoft والتخفيف منها عن طريق استيعاب السجلات الموصى بها وإضافة الاكتشافات الموصى بها.

recommendations لا تزال واجهة برمجة التطبيقات في المعاينة.

لمزيد من المعلومات، راجع:

موصل SAP Business Technology Platform (BTP) متوفر الآن بشكل عام (GA)

حل Microsoft Sentinel ل SAP BTP متاح الآن بشكل عام (GA). يوفر هذا الحل رؤية لبيئة SAP BTP الخاصة بك، ويساعدك على اكتشاف التهديدات والأنشطة المشبوهة والاستجابة لها.

لمزيد من المعلومات، راجع:

النظام الأساسي للأمان الموحد من Microsoft متوفر الآن بشكل عام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. يجمع النظام الأساسي لعمليات الأمان الموحدة من Microsoft الإمكانات الكاملة ل Microsoft Sentinel وMicrosoft Defender XDR وMicrosoft Copilot في Microsoft Defender. لمزيد من المعلومات، راجع الموارد التالية:

يونيو 2024

النظام الأساسي للموصل بدون تعليمات برمجية متوفر الآن بشكل عام

النظام الأساسي للموصل بدون تعليمات برمجية (CCP)، متاح الآن بشكل عام (GA). اطلع على منشور مدونة الإعلانات.

لمزيد من المعلومات حول تحسينات CCP وقدراته، راجع إنشاء موصل بدون تعليمات برمجية ل Microsoft Sentinel.

إمكانية البحث المتقدمة عن مؤشر التهديد متاحة

تم تحسين قدرات البحث عن التحليل الذكي للمخاطر وتصفيتها، وأصبحت التجربة الآن تماثلا عبر مداخل Microsoft Sentinel وMicrosoft Defender. يدعم البحث 10 شروط كحد أقصى مع كل منها يحتوي على ما يصل إلى 3 أحرف فرعية.

لمزيد من المعلومات، راجع لقطة الشاشة المحدثة في عرض مؤشرات التهديد وإدارتها.

الخطوات التالية

إعداد Azure Sentinel

الحصول على رؤية في التنبيهات