Sdílet prostřednictvím

Co je nového v Microsoft Sentinelu

  • Článek

Tento článek obsahuje seznam nedávných funkcí přidaných pro Microsoft Sentinel a nové funkce v souvisejících službách, které poskytují vylepšené uživatelské prostředí v Microsoft Sentinelu.

Uvedené funkce byly vydány za poslední tři měsíce. Informace o dřívějších funkcích, které jsme doručili, najdete na našich blogech technické komunity.

Upozorněte se, když se tato stránka aktualizuje zkopírováním a vložením následující adresy URL do čtečky informačního kanálu: https://aka.ms/sentinel/rss

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Září 2024

Mapování schématu přidané do prostředí migrace SIEM

Od obecné dostupnosti prostředí migrace SIEM v květnu 2024 jsme provedli stabilní vylepšení, která vám pomůžou migrovat monitorování zabezpečení z Splunku. Následující nové funkce umožňují zákazníkům poskytovat více kontextových podrobností o svém prostředí Splunk a využití modulu překladu migrace SIEM služby Microsoft Sentinel:

  • Mapování schématu
  • Podpora maker Splunk v překladu
  • Podpora vyhledávání Splunk v překladu

Další informace o těchtoaktualizacích

Další informace o prostředí migrace SIEM najdete v následujících článcích:

Widgety pro rozšiřování třetích stran, které se mají v únoru 2025 vyřadit z důchodu

Okamžitě můžete funkci povolit, abyste mohli vytvářet widgety pro rozšiřování, které načítají data z externích zdrojů dat třetích stran. Tyto widgety se zobrazují na stránkách entit Microsoft Sentinelu a v jiných umístěních, kde se zobrazují informace o entitách. K této změně dochází, protože už nemůžete vytvořit trezor klíčů Azure potřebný pro přístup k těmto externím zdrojům dat.

Pokud už používáte nějaké widgety pro rozšiřování třetích stran, to znamená, že pokud už tento trezor klíčů existuje, můžete stále konfigurovat a používat widgety, které jste předtím nepoužívali, i když to nedoporučujeme.

Od února 2025 se všechny existující widgety pro rozšiřování, které načítají data ze zdrojů třetích stran, přestanou zobrazovat na stránkách entit nebo kdekoli jinde.

Pokud vaše organizace používá widgety pro rozšiřování třetích stran, doporučujeme je předem zakázat odstraněním trezoru klíčů, který jste vytvořili pro tento účel, ze skupiny prostředků. Název trezoru klíčů začíná "widgety".

Widgety pro rozšiřování založené na zdrojích dat první strany nejsou touto změnou ovlivněny a budou nadále fungovat jako předtím. "Zdroje dat první strany" zahrnují všechna data, která se už ingestují do Služby Microsoft Sentinel z externích zdrojů – jinými slovy, cokoli v tabulkách v pracovním prostoru služby Log Analytics – a Analýza hrozeb v programu Microsoft Defender.

Plány před nákupem jsou nyní k dispozici pro Microsoft Sentinel

Plány před nákupem jsou typem rezervace Azure. Když si koupíte plán před nákupem, získáte jednotky potvrzení (CU) na diskontních úrovních pro konkrétní produkt. Jednotky potvrzení Microsoft Sentinelu se vztahují na způsobilé náklady ve vašem pracovním prostoru. Pokud máte předvídatelné náklady, výběr správného předkupového plánu vám ušetří peníze.

Další informace najdete v tématu Optimalizace nákladů pomocí plánu před nákupem.

Běžně dostupná import a export pravidel automatizace (GA)

Možnost exportu pravidel automatizace do šablon Azure Resource Manageru (ARM) ve formátu JSON a jejich import z šablon ARM je teď obecně dostupná po krátkém období preview.

Přečtěte si další informace o exportu a importu pravidel automatizace.

Datové konektory Google Cloud Platform jsou teď obecně dostupné (GA).

Datové konektory Google Cloud Platform (GCP) od Microsoft Sentinelu založené na naší platformě codeless Connector Platform (CCP) jsou teď obecně dostupné. WIth tyto konektory, můžete ingestovat protokoly z prostředí GCP pomocí funkce GCP Pub/Sub:

  • Konektor Google Cloud Platform (GCP) Pub/Sub Audit Logs shromažďuje záznamy auditu přístupu k prostředkům GCP. Analytici můžou tyto protokoly monitorovat, aby mohli sledovat pokusy o přístup k prostředkům a detekovat potenciální hrozby v prostředí GCP.

  • Konektor Google Cloud Platform (GCP) Security Command Center shromažďuje závěry z Centra příkazů Google Security Command Center, robustní platformy pro správu zabezpečení a rizik pro Google Cloud. Analytici můžou tato zjištění zobrazit, aby získali přehled o stavu zabezpečení organizace, včetně inventáře prostředků a zjišťování, detekcí ohrožení zabezpečení a hrozeb a zmírnění rizik a nápravy.

Další informace o těchto konektorech najdete v tématu Ingestování dat protokolů Google Cloud Platform do Microsoft Sentinelu.

Microsoft Sentinel je teď obecně dostupný (GA) v Azure Israel Central

Microsoft Sentinel je teď dostupný v oblasti Azure Central Azure Pro Izrael se stejnou sadou funkcí jako všechny ostatní komerční oblasti Azure.

Další informace najdete v tématu podpora funkcí služby Microsoft Sentinel pro komerční a jiné cloudy Azure a geografickou dostupnost a rezidenci dat v Microsoft Sentinelu.

Srpen 2024

Vyřazení agenta Log Analytics z provozu

Od 31. srpna 2024 je agent Log Analytics (MMA/OMS) vyřazený.

Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Pokud jste ve svém nasazení Služby Microsoft Sentinel používali agenta Log Analytics, doporučujeme migrovat na agenta služby Azure Monitor (AMA).

Další informace naleznete v tématu:

Export a import pravidel automatizace (Preview)

Spravujte pravidla automatizace Microsoft Sentinelu jako kód. Teď můžete exportovat pravidla automatizace do souborů šablon Azure Resource Manageru (ARM) a importovat pravidla z těchto souborů jako součást programu pro správu a řízení nasazení Microsoft Sentinelu jako kódu. Akce exportu vytvoří soubor JSON v umístění pro stahování v prohlížeči, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor.

Exportovaný soubor JSON je nezávislý na pracovním prostoru, takže ho můžete importovat do jiných pracovních prostorů a dokonce i jiných tenantů. Jako kód se dá také řídit verzemi, aktualizovat a nasadit v rámci spravované architektury CI/CD.

Soubor obsahuje všechny parametry definované v pravidle automatizace. Pravidla libovolného typu triggeru je možné exportovat do souboru JSON.

Přečtěte si další informace o exportu a importu pravidel automatizace.

Podpora služby Microsoft Sentinel ve správě více tenantů v programu Microsoft Defender (Preview)

Pokud jste microsoft Sentinel nasadili na sjednocenou platformu operací zabezpečení Microsoftu, data Microsoft Sentinelu jsou teď k dispozici s daty XDR v programu Defender ve správě víceklientských aplikací v programu Microsoft Defender. V současné době se na platformě Microsoft Unified Security Operations Platform podporuje jenom jeden pracovní prostor Microsoft Sentinelu na tenanta. Správa víceklientů v programu Microsoft Defender proto zobrazuje data o zabezpečení a správě událostí (SIEM) z jednoho pracovního prostoru Služby Microsoft Sentinel na tenanta. Další informace najdete v tématu Správa víceklientů v programu Microsoft Defender a Microsoft Sentinel na portálu Microsoft Defender.

Datový konektor Premium Analýza hrozeb v programu Microsoft Defender (Preview)

Vaše licence Premium pro Analýza hrozeb v programu Microsoft Defender (MDTI) teď umožňuje ingestovat všechny ukazatele premium přímo do vašeho pracovního prostoru. Datový konektor MDTI úrovně Premium přidává další možnosti proaktivního vyhledávání a výzkumu v rámci Microsoft Sentinelu.

Další informace najdete v tématu Vysvětlení analýzy hrozeb.

Sjednocené konektory založené na AMA pro příjem syslogu

S blížícím se vyřazením agenta Log Analytics služba Microsoft Sentinel konsolidovala shromažďování a příjem dat protokolů syslogu, CEF a vlastního formátu do tří víceúčelových datových konektorů založených na agentovi služby Azure Monitor (AMA):

  • Syslog prostřednictvím AMA pro všechna zařízení, jejichž protokoly se ingestují do tabulky Syslog v Log Analytics.
  • Common Event Format (CEF) prostřednictvím AMA, pro všechna zařízení, jejichž protokoly se ingestují do tabulky CommonSecurityLog v Log Analytics.
  • Novinka! Vlastní protokoly přes AMA (Preview)– pro libovolný z 15 typů zařízení nebo jakéhokoli zařízení, jehož protokoly se ingestují do vlastních tabulek s názvy končícími _CL v Log Analytics.

Tyto konektory nahrazují téměř všechny existující konektory pro jednotlivé typy zařízení a zařízení, které existovaly až dosud, které byly založené na starší verzi agenta Log Analytics (označovaného také jako MMA nebo OMS) nebo aktuálním agentovi služby Azure Monitor. Řešení poskytovaná v centru obsahu pro všechna tato zařízení a zařízení teď zahrnují to, které z těchto tří konektorů jsou pro řešení vhodné.* Nahrazené konektory jsou teď v galerii datových konektorů označené jako zastaralé.

Grafy příjmu dat, které byly dříve nalezeny na stránce konektoru jednotlivých zařízení, najdete v sešitech specifických pro zařízení zabalených s řešením jednotlivých zařízení.

* Pokud chcete zajistit instalaci doprovodného datového konektoru, musíte při instalaci řešení pro některou z těchto aplikací, zařízení nebo zařízení vybrat možnost Instalovat se závislostmi na stránce řešení a potom označit datový konektor na následující stránce.

Aktualizované postupy instalace těchto řešení najdete v následujících článcích:

Lepší viditelnost událostí zabezpečení Windows

Vylepšili jsme schéma tabulky SecurityEvent, která hostuje události Zabezpečení Windows, a přidali jsme nové sloupce, abychom zajistili kompatibilitu s agentem služby Azure Monitor (AMA) pro Windows (verze 1.28.2). Tato vylepšení jsou navržená tak, aby zvýšila viditelnost a transparentnost shromážděných událostí Systému Windows. Pokud vás zajímá příjem dat v těchto polích, můžete je pomocí transformace v čase příjmu dat (například "projekt-pryč" odstranit).

Nový plán uchovávání pomocných protokolů (Preview)

Nový plán uchovávání pomocných protokolů pro tabulky Log Analytics umožňuje ingestovat velké objemy protokolů s dodatečnou hodnotou zabezpečení s mnohem nižšími náklady. Pomocné protokoly jsou k dispozici s interaktivním uchováváním po dobu 30 dnů, ve kterých můžete spouštět jednoduché dotazy s jednou tabulkou, jako je sumarizace a agregace dat. Po uplynutí tohoto 30denního období se pomocná data protokolu přejdou do dlouhodobého uchovávání, které můžete definovat až na 12 let za ultra-nízké náklady. Tento plán vám také umožňuje spouštět úlohy vyhledávání na datech v dlouhodobém uchovávání a extrahovat jenom záznamy, které chcete použít k nové tabulce, se kterou můžete zacházet jako s běžnou tabulkou Log Analytics s úplnými možnostmi dotazů.

Další informace o pomocných protokolech a porovnání s protokoly Analytics najdete v tématu Plány uchovávání protokolů v Microsoft Sentinelu.

Podrobnější informace o různých plánech správy protokolů najdete v článku Přehled plánů tabulek v přehledu protokolů služby Azure Monitor v dokumentaci ke službě Azure Monitor.

Vytvoření souhrnných pravidel v Microsoft Sentinelu pro velké sady dat (Preview)

Microsoft Sentinel teď umožňuje vytvářet dynamické souhrny pomocí souhrnných pravidel služby Azure Monitor, která agregují velké sady dat na pozadí pro plynulejší prostředí operací zabezpečení napříč všemi úrovněmi protokolů.

  • Přístup k souhrnným výsledkům pravidel prostřednictvím dotazovací jazyk Kusto (KQL) napříč aktivitami detekce, vyšetřování, proaktivního vyhledávání a generování sestav.
  • Spouštění vysoce výkonných dotazů dotazovací jazyk Kusto (KQL) na souhrnná data
  • Výsledky souhrnných pravidel můžete použít pro delší období při vyšetřování, proaktivním vyhledávání a dodržování předpisů.

Další informace najdete v tématu Agregace dat Služby Microsoft Sentinel pomocí souhrnných pravidel.

Červenec 2024

Obecně dostupné optimalizace SOC

Prostředí optimalizace SOC na portálech Azure i Defender je teď obecně dostupné pro všechny zákazníky Microsoft Sentinelu, včetně doporučení založených na hodnotách dat i na základě hrozeb.

  • Pomocí doporučení k hodnotě dat můžete zlepšit využití ingestovaných fakturovatelných protokolů, získat přehled o nevyužitých protokolech a zjistit správné detekce těchto protokolů nebo správné úpravy úrovně protokolů nebo příjmu dat.

  • Doporučení založená na hrozbách vám pomůžou identifikovat mezery v pokrytí proti konkrétním útokům na základě výzkumu Microsoftu a zmírnit je ingestováním doporučených protokolů a přidáním doporučených detekcí.

Rozhraní recommendations API je stále ve verzi Preview.

Další informace naleznete v tématu:

Běžně dostupný konektor SAP Business Technology Platform (BTP)

Řešení Microsoft Sentinel pro SAP BTP je teď obecně dostupné (GA). Toto řešení poskytuje přehled o prostředí SAP BTP a pomáhá zjišťovat hrozby a podezřelé aktivity a reagovat na ně.

Další informace naleznete v tématu:

Všeobecná dostupnost sjednocené platformy zabezpečení Od Microsoftu

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Sjednocená platforma microsoftu pro operace zabezpečení spojuje všechny funkce Microsoft Sentinelu, XDR v programu Microsoft Defender a Microsoft Copilot v programu Microsoft Defender. Další informace naleznete v následujících zdrojích:

Červen 2024

Obecně dostupná platforma konektoru bez kódu

Platforma konektoru bez kódu (CCP) je nyní obecně dostupná (GA). Podívejte se na příspěvek na blogu s oznámením.

Další informace o vylepšeních a možnostech ústřední protistrany najdete v tématu Vytvoření bezkódového konektoru pro Microsoft Sentinel.

K dispozici možnost rozšířeného vyhledávání indikátorů hrozeb

Vylepšili jsme možnosti vyhledávání a filtrování analýzy hrozeb a prostředí teď má paritu na portálech Microsoft Sentinel a Microsoft Defender. Vyhledávání podporuje maximálně 10 podmínek s každým, který obsahuje až 3 podklíče.

Další informace najdete na aktualizovaném snímku obrazovky v zobrazení a správě indikátorů hrozeb.

Další kroky

On-board Azure Sentinel

Získání přehledu o upozorněních