Sdílet prostřednictvím

Novinky v Microsoft Sentinel

Tento článek uvádí nedávné funkce přidané pro Microsoft Sentinel a nové funkce v souvisejících službách, které poskytují vylepšené uživatelské prostředí v Microsoft Sentinel. Informace o nových funkcích souvisejících s jednotnými operacemi zabezpečení na portálu Defender najdete v tématu Co je nového pro sjednocené operace zabezpečení?

Uvedené funkce byly vydány za posledních šest měsíců. Informace o dřívějších funkcích, které jsme doručili, najdete v blozích naší Tech komunity .

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v dostupnost funkcí Cloud pro zákazníky státní správy USA.

Březen 2026

  • Výzva k akci: Před červnem 2026 aktualizujte starší verze API Microsoft Sentinel psané jako kód v úložištích Sentinel.

Výzva k akci: určitě aktualizujte starší obsah Microsoft Sentinel jako kód (verze rozhraní API úložišť Sentinel) před červnem 2026

Od 1. června 2026 už nebudou starší verze rozhraní API používané v úložištích Microsoft Sentinel podporované. Tato změna má vliv na všechny Zdrojové řízení a Zdrojové ovládací prvky akce v rozhraní MICROSOFT SENTINEL REST API pro ovlivněné verze rozhraní API.

Vyřazené verze rozhraní API se už nebudou podporovat a požadavky, které je používají, selžou. Stávající připojení úložiště vytvořená pomocí těchto rozhraní API nejsou ovlivněná a úložiště budou i nadále fungovat.

Požadovaná akce

Pokud k vytváření nebo správě připojení úložiště používáte rozhraní API, přejděte na rozhraní API verze 2025-09-01, 2025-06-01 nebo 2025-07-01-Preview před 1. červnem 2026, abyste se vyhnuli přerušení služeb.

Ovlivněné verze rozhraní API

1. června 2026 budou vyřazeny následující verze rozhraní API:

Verze rozhraní API ve verzi Preview (kliknutím rozbalte)
  • 2021-03-01-preview
  • 2021-09-01-preview
  • 2021-10-01-preview
  • 2022-01-01-preview
  • 2022-04-01-preview
  • 2022-05-01-preview
  • 2022-06-01-preview
  • 2022-07-01-preview
  • 2022-08-01-preview
  • 2022-09-01-preview
  • 2022-10-01-preview
  • 2022-11-01-preview
  • 2022-12-01-preview
  • 2023-02-01-preview
  • 2023-03-01 - preview verze
  • 2023-04-01-preview
  • 2023-05-01-preview
  • 2023-06-01-preview
  • 2023-07-01-preview
  • 2023-08-01-preview
  • 2023-09-01-preview
  • 2023-10-01-preview
  • 2023-11-01-preview
  • 2023-12-01-preview
  • 2024-01-01-preview
  • 2024-04-01-preview
  • 2024-10-01-preview
  • 2025-01-01-preview
  • 2025-04-01-preview
  • 2025-07-01-preview
Stabilní verze rozhraní API (kliknutím rozbalte)
  • 2023-11-01
  • 2024-03-01
  • 2024-09-01
  • 2025-03-01

Doporučené verze rozhraní API pro použití:

  • 2025-09-01 (stabilní)
  • 2025-06-01 (stabilní)
  • 2025-07-01-Preview (Preview)

Únor 2026

Microsoft Sentinel vrstva chování UEBA je teď obecně dostupná.

Vrstva chování UEBA v Microsoft Sentinel je nyní obecně dostupná a shrnuje jasné přehledy chování čitelné pro člověka z vysoce objemných nezpracovaných protokolů zabezpečení. Vrstva chování agreguje a sekvencuje související události do znormalizovaného chování a pomáhá analytikům rychleji pochopit, kdo co udělal s kým, bez manuální korelace surových záznamů. Další informace najdete v tématu Přeložit nezpracované protokoly zabezpečení do přehledů chování pomocí chování UEBA v Microsoft Sentinel.

Podívejte se na webinář o chování UEBA , kde najdete úplný přehled a ukázku vrstvy chování UEBA.

Nový pracovní sešit chování UEBA

Microsoft Sentinel nyní poskytuje pracovní sešit chování jako součást řešení základů UEBA, aby týmy SOC získaly hodnotu z chování hned od prvního dne. Sešit nabízí přehledná zobrazení s asistencí a předem připravenou a přizpůsobitelnou analýzu, která promění bohatá data chování na užitečné přehledy napříč třemi základními pracovními postupy SOC:

  • Přehled: Metriky a trendy vysoké úrovně, které správcům SOC a vedení poskytují rychlé situační povědomí
  • Šetření: Podrobné časové osy zaměřené na entity, které analytikům pomáhají zrychlit reakci na incidenty
  • Proaktivní zjišťování hrozeb pro lovce hrozeb pomocí detekce anomálií a analýzy řetězu útoků

Další informace o sešitu najdete v blogovém příspěvku o sešitu Microsoft Sentinel Behaviors .

Generování playbooků pomocí AI v Microsoft Sentinel (preview)

Teď můžete vygenerovat příručky pomocí AI v Microsoft Sentinel. Generátor playbooků SOAR vytváří pracovní postupy automatizace implementované v Pythonu, spoluvytvářené pomocí konverzační zkušenosti s Cline, AI agentem pro kódování. Další informace najdete v blogovém příspěvku o generování playbooků.

Leden 2026

Nový widget Analýza chování entit (UEBA) na domovské stránce portálu Defender (Preview)

Domovská stránka portálu Defender teď obsahuje widget UEBA, kde analytici můžou okamžitě získat přehled o neobvyklém chování uživatelů a urychlit tak pracovní postupy detekce hrozeb. Další informace najdete v tématu Jak UEBA umožňuje analytikům a zjednodušuje pracovní postupy.

Microsoft Sentinel na portálu Azure bude vyřazen v březnu 2027

Microsoft Sentinel je generálně dostupný na portálu Microsoft Defender, včetně pro zákazníky bez Microsoft Defender XDR nebo licence E5. To znamená, že můžete používat Microsoft Sentinel na portálu Defender, i když nepoužíváte jiné Microsoft Defender služby.

Po March 31, 2027 už Microsoft Sentinel nebude podporován na portálu Azure a bude dostupný jenom na portálu Microsoft Defender.

Pokud aktuálně používáte Microsoft Sentinel na portálu Azure, doporučujeme začít plánovat přechod na portál Defender, abyste teď zajistili hladký přechod a plně využili výhod unifikovaného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Další informace naleznete v tématu:

Vrstva chování UEBA agreguje přehledy umožňující akce z nezpracovaných protokolů téměř v reálném čase (Preview).

Microsoft Sentinel zavádí vrstvu chování UEBA, která na portálu Defender transformuje protokoly zabezpečení s velkým objemem a nízkou úrovní na jasné přehledy chování čitelné pro člověka. Tato schopnost využívající AI agreguje a řadí nezpracované události z podporovaných datových zdrojů do normalizovaných chování, která vysvětlují, "kdo co komu udělal" v kontextu MITRE ATT&CK.

Jak chování překlenou mezeru mezi výstrahami a surovými záznamy

Příchozí nezpracované protokoly jsou hlučné, nesouvisející a obtížně interpretovatelné; výstrahy upozorňují analytiky, aby podnikli akce týkající se potenciálních problémů. Chování UEBA shrnuje vzorce chování – normální nebo neobvyklé – které jsou zpracovávány z podporovaných zdrojů dat. Tím se vytvoří abstraktní vrstva, která optimalizuje data pro vyšetřování, proaktivní vyhledávání a zjišťování. Například místo analýzy jednotlivých událostí AWS CloudTrail nebo protokolů brány firewall se analytikům zobrazí chování ( například příchozí relace vzdálené správy z externí adresy), která shrnuje více nezpracovaných událostí a mapuje je na známé taktiky, techniky a postupy (TTPS).

Chování UEBA:

  • Zrychlení vyšetřování: Umožňuje rychlejší reakci na incidenty agregací a sekvencováním chování, což analytikům umožňuje soustředit se na smysluplné akce, a ne projít tisíci událostí.
  • Transformujte hlučnou telemetrii na přehledy s možností akce: Převeďte fragmentované, velkoobjemové protokoly na jasné, čitelné pozorování chování člověka, což usnadňuje pochopení událostí zabezpečení.
  • Posílení všech osob SOC: Vylepšení pracovních postupů pro analytiky SOC, lovce hrozeb a techniky detekce tím, že poskytují sjednocená kontextová zobrazení a stavební bloky pro pravidla detekce a automatizaci.
  • Zajištění vysvětlitelnosti: Mapování na taktiku MITRE ATT&CK, role entit a nezpracované protokoly pro sledovatelnost a přehlednost

Chování UEBA je možné povolit nezávisle na detekci anomálií UEBA.

Podporované zdroje dat ve verzi Public Preview: AWS CloudTrail, CommonSecurityLog (CyberArk Vault, Palo Alto Threats) a GCPAuditLogs.

Další informace najdete v tématu Přeložit nezpracované protokoly zabezpečení do přehledů chování pomocí chování UEBA v Microsoft Sentinel.

Povolení UEBA přímo z konfigurace datového konektoru (Preview)

UEBA teď můžete povolit pro podporované zdroje dat přímo ze stránky konfigurace datového konektoru, což zkracuje dobu správy a brání mezerám v pokrytí. Když povolíte nové konektory, můžete zdroj dat připojit k UEBA, aniž byste museli přejít na samostatnou stránku konfigurace.

Tato integrace vám umožní zjistit, které zdroje dat přivádějí data do UEBA, a povolit tento přenos přímo z nastavení konektoru.

Další informace najdete v tématu Pojení zdrojů dat k Microsoft Sentinel pomocí datových konektorů.

Nové detekce pro řešení Sentinel pro SAP BTP

Tato aktualizace rozšiřuje pokrytí detekce pro SAP BTP a posiluje přehled o rovině řízení vysokého rizika, integraci a aktivitách identit.

  • SAP Integration Suite: Detekuje neoprávněné změny integračních artefaktů, zásad přístupu, zdrojů dat JDBC a importů balíčků, které by mohly umožnit exfiltraci dat nebo zadní vrátka.
  • SAP Cloud Identity Service: Monitoruje odstranění uživatelů, udělení oprávnění a změny konfigurace SAML/OIDC, které oslabují ovládací prvky ověřování nebo vytvářejí trvalý přístup.
  • SAP Build Work Zone: Identifikuje hromadné odstranění rolí a neautorizovaný přístup k chráněným zdrojům portálu.
  • Protokolování auditu SAP BTP: Detekuje mezery a přerušení při zpracování protokolů auditu, které snižují viditelnost zabezpečení a umožňují tichou aktivitu.

Listopad 2025

Nová prostředí analýzy chování entit (UEBA) na portálu Defender (Preview)

Microsoft Sentinel zavádí nová prostředí UEBA na portálu Defender a přináší přehledy chování přímo do klíčových pracovních postupů analytiků. Tato vylepšení pomáhají analytikům určit prioritu vyšetřování a efektivněji použít kontext UEBA.

Šetření zaměřená na uživatelské anomálie

Na portálu Defender jsou uživatelé s anomáliemi chování automaticky označeni anomáliemi UEBA a pomáhají analytikům rychle určit, kteří uživatelé mají určit prioritu.

Analytici můžou zobrazit tři nejlepší anomálie z posledních 30 dnů ve vyhrazené části Anomálie UEBA, která je k dispozici v:

  • Boční panely uživatelů přístupné z různých umístění portálu.
  • Karta Přehled stránek uživatelských entit.

Tato část obsahuje také přímé odkazy na dotazy na anomálie a časovou osu Microsoft Sentinel událostí, což umožňuje hlubší zkoumání a rychlejší shromažďování kontextu.

Podrobná analýza anomálií uživatelů na základě grafů incidentů.

Analytici mohou rychle přistupovat ke všem anomáliím souvisejícím s uživatelem tím, že v grafu incidentů vyberou možnost Go Hunt All user anomalies>. Tento integrovaný dotaz poskytuje okamžitý kontext UEBA pro podporu hlubšího zkoumání.

Pokročilé dotazy pro pokročilé vyhledávání a vlastní detekce s využitím analýz chování

Pokročilá prostředí proaktivního vyhledávání a vlastní detekce teď obsahují kontextový banner, který analytikům vyzve, aby se připojili k tabulce Anomálií UEBA k dotazům, které obsahují zdroje dat UEBA.

Všechny funkce vyžadují aktivaci UEBA a vztahují se na aktuálně vybraný pracovní prostor.

Další informace najdete v tématu Jak UEBA umožňuje analytikům a zjednodušuje pracovní postupy.

Datové konektory SAP

Volání k akci: Aktualizace dotazů a automatizace do 1. července 2026 – standardizované pojmenování entit účtů v incidentech a upozorněních

Microsoft Sentinel aktualizuje způsob identifikace entit účtů v incidentech a výstrahách. Tato změna představuje standardizovanou logiku pojmenování, která zlepšuje konzistenci a spolehlivost v rámci analytických a automatizačních pracovních postupů.

Důležité

Tato změna může ovlivnit analytická pravidla, pravidla automatizace, playbooky, sešity, dotazy proaktivního vyhledávání a vlastní integrace.

Microsoft Sentinel teď vybere nejspolehlivější identifikátor účtu s následující prioritou:

  1. Předpona hlavního názvu uživatele (UPN ) – část před znakem @v hlavním názvu uživatele

    • Příklad: john.doe@contoso.comjohn.doe

  2. Název – používá se, pokud předpona hlavního názvu uživatele (UPN) není k dispozici.

  3. Zobrazovaný název – náhradní možnost, pokud oba výše uvedené chybí

Aktualizujte dotazy KQL a logiku automatizace tak, aby dodržovaly nový vzor s podporou priority. K zajištění kompatibility coalesce()použijte funkci (/kusto/query/coalesce-function ):

coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)

Před uvedením do produkčního prostředí otestujte všechny změny v neprodukčním pracovním prostoru.

Října 2025

Export objektů analýzy hrozeb STIX (Preview)

Microsoft Sentinel teď podporuje export objektů analýzy hrozeb STIX do jiných cílů, jako jsou externí platformy. Pokud jste do Microsoft Sentinel ingestovali analýzu hrozeb z externí platformy, jako například při použití datového konektoru Threat Intelligence – TAXII, můžete nyní exportovat analýzu hrozeb zpět na tuto platformu a povolit tak obousměrné sdílení analýz hrozeb. Tato nová podpora poskytuje přímé a bezpečné sdílení, což snižuje potřebu ručních procesů nebo vlastních playbooků k distribuci analýzy hrozeb.

Export objektů TI se v současné době podporuje pouze u platforem založených na TAXII 2.1. K funkci exportu se dostanete z portálu Defenderu i z portálu Azure:

Další informace naleznete v tématu:

Září 2025

Microsoft Sentinel se vyvíjí na SIEM a platformu

Zabezpečení se v éře umělé inteligence přetáhá mimo statické kontroly založené na pravidlech a reakci po porušení zabezpečení směrem k obraně založené na platformě a rychlosti počítače. Aby bylo možné řešit problém s fragmentovanými nástroji, rozrůstajícími se signály a staršími architekturami, které nemůžou odpovídat rychlosti a škále moderních útoků, Microsoft Sentinel se vyvinuly do SIEM i platformy, která sjednocuje data pro agentskou obranu. Tato aktualizace odráží vylepšení architektury, která podporují operace zabezpečení řízené AI ve velkém měřítku. Další informace najdete v tématu Co je Microsoft Sentinel?

Mezi klíčové doplňky patří Microsoft Sentinel data lake, Microsoft Sentinel graph a server MICROSOFT SENTINEL Model Context Protocol (MCP), jak je popsáno níže.

Microsoft Sentinel data lake je teď obecně dostupná (GA)

Škálovatelný a nákladově efektivní základ pro dlouhodobé uchovávání dat a multimodální analýzy. Microsoft Sentinel Data Lake umožňuje organizacím sjednotit data zabezpečení napříč zdroji a spouštět pokročilé analýzy bez režijních nákladů na infrastrukturu.

Další informace najdete v tématu Microsoft Sentinel data lake.

graf Microsoft Sentinel (Preview)

Sjednocená analýza grafů pro hlubší kontext a odůvodnění hrozeb Microsoft Sentinel vytváří grafové modely vztahů mezi uživateli, zařízeními a aktivitami, aby podpořil komplexní vyšetřování hrozeb a analýzy před porušením a po porušení zabezpečení.

Další informace najdete v tématu Co je graf Microsoft Sentinel? (Preview).

server Microsoft Sentinel protokol pro modelový kontext (MCP) (Preview)

Hostované rozhraní pro vytváření inteligentních agentů pomocí přirozeného jazyka. Microsoft Sentinel server MCP zjednodušuje vytváření agentů a zkoumání dat tím, že technikům umožňuje dotazovat se na data zabezpečení a zdůvodnět je bez nutnosti znalosti schématu.

Další informace naleznete v tématu Přehled protokolu MCP (Model Context Protocol).

Nové zdroje dat pro vylepšenou analýzu chování uživatelů a entit (UEBA) (Preview)

Microsoft Sentinel UEBA umožňuje týmům SOC detekci anomálií využívajících AI na základě signálů chování ve vašem tenantovi. Pomáhá určit prioritu hrozeb pomocí dynamických standardních hodnot, porovnání partnerských vztahů a obohacených profilů entit.

UEBA teď podporuje detekci anomálií pomocí šesti nových zdrojů dat:

  • Zdroje ověřování Microsoftu:

    Tyto zdroje poskytují hlubší přehled o chování identit ve vašem prostředí Microsoftu.

    • Události přihlášení zařízení v Microsoft Defender XDR: Zachycení aktivit přihlášení z koncových bodů, pomáhá identifikovat laterální pohyb, neobvyklé vzory přístupu nebo kompromitovaná zařízení.
    • Microsoft Entra ID protokoly přihlašování spravovaných identit: Sledování přihlášení pomocí spravovaných identit používaných v automatizaci, jako jsou skripty a služby. To je zásadní pro zjišťování tichého zneužití identit služeb.
    • Microsoft Entra ID protokoly přihlašování hlavní služby: Monitorování přihlášení služeb, často využívaných aplikacemi nebo skripty, k detekci anomálií, jako je neočekávaný přístup nebo eskalace oprávnění.

  • Cloudové platformy a platformy pro správu identit třetích stran:

    UEBA se teď integruje s předními cloudovými platformami a platformami pro správu identit, aby se zlepšilo zjišťování ohrožení identity, zneužití oprávnění a rizikových access chování v prostředích s více cloudy.

    • Události přihlášení AWS CloudTrail: Označte rizikové pokusy o přihlášení ve službě Amazon Web Services (AWS), jako je neúspěšné vícefaktorové ověřování (MFA) nebo použití kořenového účtu – kritické indikátory potenciálního ohrožení účtu.
    • Protokoly auditu GCP – Neúspěšné události přístupu IAM: Zachycení neúspěšných pokusů o přístup ve službě Google Cloud Platform, což pomáhá identifikovat pokusy o eskalaci oprávnění nebo nesprávně nakonfigurované role.
    • Změny událostí zabezpečení ověřování a vícefaktorového ověřování v Okta: Zobrazit výzvy MFA a změny zásad ověřování v Okta – signály, které mohou naznačovat cílené útoky nebo manipulaci s identitou.

Tyto nové zdroje vylepšují schopnost UEBA detekovat hrozby napříč microsoftem a hybridními prostředími na základě rozšířených dat o identitě uživatelů, zařízení a služeb, rozšířeného kontextu chování a nových funkcí detekce anomálií napříč platformami.

Pokud chcete povolit nové zdroje dat, musíte být onboardovaný na portálu Defender.

Další informace naleznete v tématu:

Srpen 2025

Úpravy sešitů přímo na portálu Microsoft Defender (Preview)

Teď můžete vytvářet a upravovat Microsoft Sentinel sešity přímo na portálu Microsoft Defender. Toto vylepšení zjednodušuje pracovní postup, umožňuje efektivněji spravovat sešity a přináší prostředí sešitu lépe v souladu s prostředím na portálu Azure.

Microsoft Sentinel pracovní sešity jsou založené na pracovních sešitech Azure Monitor a pomáhají vizualizovat a monitorovat data přijímaná pro Microsoft Sentinel. Sešity přidávají tabulky a grafy s analýzou protokolů a dotazů do nástrojů, které už jsou k dispozici.

Sešity jsou k dispozici na portálu Defender v části Microsoft Sentinel > Správa hrozeb > Sešity. Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinel.

Červenec 2025

Microsoft Sentinel Data Lake

Microsoft Sentinel je nyní vylepšena o moderní datové jezero, které je vytvořené účelově, aby zjednodušila správu dat, snížila náklady a urychlila přijetí umělé inteligence pro provozní týmy zabezpečení. Nové Microsoft Sentinel data lake nabízí nákladově efektivní dlouhodobé úložiště a eliminuje nutnost výběru mezi cenovou dostupností a robustním zabezpečením. Týmy zabezpečení získají hlubší přehled a rychlejší řešení incidentů, a to vše ve známém prostředí Microsoft Sentinel, které je obohacené díky bezproblémové integraci s pokročilými nástroji pro analýzu dat.

Mezi klíčové výhody datového jezera Microsoft Sentinel patří: + Jediná kopie dat ve formátu open-format pro efektivní a nákladově efektivní ukládání + Oddělení úložiště a výpočetního výkonu pro větší flexibilitu + Podpora více analytických strojů pro získání hlubších poznatků z vašich bezpečnostních dat + Nativní integrace s Microsoft Sentinel, včetně možnosti výběru vrstvení dat protokolů napříč úrovněmi analýzy a jezera. Další informace naleznete v tématu

Prozkoumejte datové jezero pomocí dotazů KQL nebo k vizualizaci a analýze dat použijte nový poznámkový blok data Microsoft Sentinel data lake pro VS Code.

Další informace naleznete v tématu:

Nastavení správy a uchovávání tabulek v portálu Microsoft Defender

Nastavení správy a uchovávání tabulek jsou teď k dispozici na portálech Microsoft Defender. Nastavení tabulky můžete zobrazit a spravovat na portálu Microsoft Defender, včetně nastavení uchovávání pro tabulky Microsoft Sentinel a XDR v programu Defender a přepínat mezi úrovněmi analýzy a datového jezera.

Další informace naleznete v tématu:

Oprávnění datového jezera Microsoft Sentinel integrovaná s jednotným řízením přístupu na základě role (RBAC) Microsoft Defender XDR

Od července 2025 jsou oprávnění Microsoft Sentinel data lake poskytována prostřednictvím sjednoceného řízení přístupu na základě role (RBAC) Microsoft Defender XDR. Podpora sjednoceného řízení přístupu na základě role RBAC je k dispozici kromě podpory poskytované globálními rolemi Microsoft Entra ID.

Další informace naleznete v tématu:

Pouze pro nové zákazníky: Automatické začlenění a přesměrování na portál Microsoft Defender.

Pro tuto aktualizaci jsou noví zákazníci Microsoft Sentinel ti zákazníci, kteří od 1. července 2025 nebo později zaregistrují ve svém tenantovi první pracovní prostor do Microsoft Sentinel.

Od 1. července 2025, noví zákazníci, kteří mají oprávnění vlastníka Owner nebo administrátora přístupu uživatele a zároveň nejsou delegovanými uživateli Azure Lighthouse, budou mít své pracovní prostory automaticky zapojené na portálu Defender spolu se zapojením do Microsoft Sentinel. Uživatelé takových pracovních prostorů, kteří také nejsou uživatelé delegovaní prostřednictvím Azure Lighthouse, uvidí odkazy v Microsoft Sentinel v rámci portálu Azure, které je přesměrují na portál Defender. Tito uživatelé používají Microsoft Sentinel jenom na portálu Defender.

Screenshot přesměrovacích odkazů v portálu Azure na portál Defender.

Noví zákazníci, kteří nemají relevantní oprávnění, se automaticky nepřipojí k portálu Defender, ale na portálu Azure se jim stále zobrazují odkazy přesměrování, společně s výzvami, aby uživatel s příslušnými oprávněními mohl pracovní prostor ručně připojit k portálu Defenderu.

Tato změna zjednodušuje proces onboardingu a zajišťuje, aby noví zákazníci mohli okamžitě využívat sjednocené možnosti operací zabezpečení bez dalšího kroku ručního onboardingu svých pracovních prostorů.

Další informace naleznete v tématu:

Žádný limit počtu pracovních prostorů, které můžete připojit k portálu Defender

Počet pracovních prostorů, které můžete připojit k portálu Defender, už není nijak omezený.

Omezení platí i pro počet pracovních prostorů, které můžete zahrnout do dotazu Log Analytics a do počtu pracovních prostorů, které můžete nebo které byste měli zahrnout do naplánovaného analytického pravidla.

Další informace naleznete v tématu:

Microsoft Sentinel na portálu Azure bude vyřazen v červenci 2026

Microsoft Sentinel je generálně dostupný na portálu Microsoft Defender, včetně pro zákazníky bez Microsoft Defender XDR nebo licence E5. To znamená, že můžete používat Microsoft Sentinel na portálu Defender, i když nepoužíváte jiné Microsoft Defender služby.

Od July 2026 bude Microsoft Sentinel podporován pouze na portálu Defender a všichni zbývající zákazníci, kteří používají portál Azure, se automaticky přesměrují.

Pokud aktuálně používáte Microsoft Sentinel na portálu Azure, doporučujeme začít plánovat přechod na portál Defender, abyste teď zajistili hladký přechod a plně využili výhod unifikovaného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Další informace naleznete v tématu:

Červen 2025

Platforma konektoru bez kódu (CCP) přejmenováná na architekturu konektoru bez kódu (CCF)

Platforma Microsoft Sentinel beze skriptování (CCP) byla přejmenována na Codeless Connector Framework (CCF). Nový název odráží vývoj platformy a zabraňuje nejasnostem s jinými službami orientovanými na platformu, zatímco stále poskytuje stejné snadné použití a flexibilitu, kterou uživatelé očekávali.

Další informace najdete v tématu Vytvoření konektoru bez kódu pro Microsoft Sentinel.

Referenční informace ke konsolidovanému datovému konektoru Microsoft Sentinel

Konsolidovali jsme referenční dokumentaci ke konektoru a sloučili jsme samostatné články konektoru do jediné komplexní referenční tabulky.

Odkaz na nový konektor najdete v datových konektorech Microsoft Sentinel. Další informace najdete v tématu Vytvoření konektoru bez kódu a Odemkněte potenciál rozhraní pro konektor bez kódu Microsoft Sentinel a dělejte více s Microsoft Sentinel rychleji.

Šablony souhrnných pravidel teď ve verzi Public Preview

Pomocí šablon souhrnných pravidel teď můžete nasadit předem připravená souhrnná pravidla přizpůsobená běžným scénářům zabezpečení. Tyto šablony pomáhají efektivně agregovat a analyzovat velké datové sady, nevyžadují hluboké znalosti, zkracují dobu nastavení a zajišťují osvědčené postupy. Další informace najdete v tématu shromažďování dat Microsoft Sentinel pomocí souhrnných pravidel (Preview).

Květen 2025

Všechny případy použití Microsoft Sentinel obecně dostupné na portálu Defender

Všechny případy použití Microsoft Sentinel, které jsou obecně dostupné, včetně možností multitenant a multi-workspace a podpory všech cloudů pro státní správu a komerční cloudy, jsou nyní obecně dostupné také na portálu Defender.

Doporučujeme připojit pracovní prostory k portálu Defender , abyste mohli využívat jednotné operace zabezpečení. Další informace naleznete v tématu:

Další informace naleznete v tématu:

Sjednocená tabulka IdentityInfo

Zákazníci Microsoft Sentinel na portálu Defender, kteří povolili UEBA, teď můžou využívat novou verzi tabulky IdentityInfo v části Advanced proaktivního vyhledávání portálu Defender, která obsahuje největší možnou sadu polí, která jsou společná pro portály Defender i Azure. Tato sjednocená tabulka pomáhá rozšířit vyšetřování zabezpečení na celém portálu Defender.

Další informace najdete v tabulce IdentityInfo.

Přidání podpory optimalizace SOC (Preview)

Podpora optimalizace SOC pro:

  • Doporučení pro označování AI MITRE ATT&CK (Preview):: Používá umělou inteligenci k navrhování detekcí zabezpečení pomocí taktik a technik MITRE ATT&CK.
  • Doporučení založená na rizicích (Preview):: Doporučuje implementovat kontroly, které řeší mezery v pokrytí spojené s případy použití, které můžou vést k obchodním rizikům nebo finančním ztrátám, včetně provozních, finančních, reputací, dodržování předpisů a právních rizik.

Další informace najdete v referenčních informacích k optimalizaci SOC.

Duben 2025

Microsoft Sentinel řešení pro Microsoft Business Apps obecně dostupné na portálu Azure

Řešení Microsoft Sentinel pro Microsoft Business Apps je teď obecně dostupné na portálu Azure.

Copilot zabezpečení generuje souhrny incidentů v Microsoft Sentinel na portálu Azure (Preview)

Microsoft Sentinel na portálu Azure teď nabízí souhrny incidentů vygenerované službou Security Copilot, které jsou v souladu s portálem Defender. Tyto souhrny poskytují analytikům zabezpečení počáteční informace, které potřebují k rychlému pochopení, třídění a zahájení vyšetřování incidentů.

Další informace najdete v tématu Souhrn incidentů Microsoft Sentinel s pomocí Security Copilot.

Podpora více pracovních prostorů a víceklientů pro Microsoft Sentinel na portálu Defender (Preview)

Ve verzi Preview se na portálu Defender připojte k jednomu primárnímu pracovnímu prostoru a několika sekundárním pracovním prostorům pro Microsoft Sentinel. Pokud nasadíte Microsoft Sentinel s Defender XDR, budou výstrahy primárního pracovního prostoru korelovány s daty Defender XDR. Incidenty proto zahrnují výstrahy z primárního pracovního prostoru Microsoft Sentinel a XDR v programu Defender. Všechny ostatní onboardované pracovní prostory jsou považovány za sekundární pracovní prostory. Incidenty se vytvářejí na základě dat pracovního prostoru a nebudou obsahovat data Defender XDR.

  • Pokud plánujete používat Microsoft Sentinel na portálu Defender bez XDR v programu Defender, můžete spravovat více pracovních prostorů. Primární pracovní prostor ale neobsahuje data Defender XDR a nebudete mít přístup k funkciám XDR programu Defender.
  • Pokud pracujete s více tenanty a více pracovními prostory na tenanta, můžete také použít Microsoft Defender pro víceklientskou správu k zobrazení incidentů a upozornění a k hledání dat v rozšířeném vyhledávání napříč různými pracovními prostory i tenanty.

Další informace najdete v následujících článcích:

Microsoft Sentinel teď ingestuje všechny objekty a indikátory STIX do nových tabulek analýzy hrozeb (Preview)

Microsoft Sentinel teď ingestuje objekty a indikátory STIX do nových tabulek analýzy hrozeb, ThreatIntelIndicators a ThreatIntelObjects. Nové tabulky podporují nové schéma STIX 2.1, které umožňuje ingestovat a dotazovat různé objekty analýzy hrozeb, včetně identity, attack-pattern, threat-actora relationship.

Microsoft Sentinel bude zpracovávat všechny informace o hrozbách do nové tabulky ThreatIntelIndicators a ThreatIntelObjects a nadále přijímat stejná data do starší tabulky ThreatIntelligenceIndicator až do 31. července 2025.

Nezapomeňte aktualizovat vlastní dotazy, pravidla analýzy a detekce, sešity a automatizaci tak, aby nové tabulky používaly do 31. července 2025. Po tomto datu Microsoft Sentinel přestane ingestovat data do starší tabulky ThreatIntelligenceIndicator. Aktualizujeme všechna předem hotová řešení analýzy hrozeb v centru obsahu, aby využívaly nové tabulky.

Další informace najdete v následujících článcích:

Podpora optimalizace SOC pro nepoužívané sloupce (Preview)

Aby byl optimalizován poměr mezi náklady a hodnotou zabezpečení, optimalizace SOC odhaluje zřídka používané datové konektory nebo tabulky. Optimalizace SOC teď v tabulkách zobrazí nepoužívané sloupce. Další informace najdete v referenční dokumentaci k doporučením pro optimalizaci SOC.

Březen 2025

Připojení bez agentů k SAP teď ve verzi Public Preview

Datový konektor Microsoft Sentinel bez agentů pro SAP a související obsah zabezpečení je nyní součástí řešení pro aplikace SAP ve verzi Public Preview. Tato aktualizace obsahuje také následující vylepšení datového konektoru bez agentů:

Další informace naleznete v tématu:

Leden 2025

Optimalizace informačních kanálů analýzy hrozeb s využitím pravidel příjmu dat

Optimalizujte informační kanály analýzy hrozeb filtrováním a vylepšením objektů před jejich doručením do vašeho pracovního prostoru. Pravidla pro příjem dat aktualizují atributy objektů zpravodajských informací o hrozbách nebo objekty zcela odfiltrovávají. Podívejte se na blogové oznámení sem!

Další informace najdete v tématu Vysvětlení pravidel příjmu analýzy hrozeb.

Pravidlo pro analýzu shody je nyní obecně dostupné (GA)

Microsoft poskytuje přístup ke své prémiové analýze hrozeb prostřednictvím analytického pravidla pro analýzu hrozeb v rámci Defenderu, které je nyní obecně dostupné (GA). Další informace o tom, jak toto pravidlo využít, které generuje výstrahy a incidenty s vysokou věrností, najdete v tématu Použití odpovídající analýzy k detekci hrozeb.

Přesunulo se rozhraní pro správu analýzy hrozeb.

Analýza hrozeb pro Microsoft Sentinel na portálu Defender se změnila. Přejmenovali jsme stránku Intel management a přesunuli jsme ji s jinými pracovními postupy analýzy hrozeb. Pro zákazníky, kteří používají Microsoft Sentinel v prostředí Azure, není žádná změna.

Snímek obrazovky zobrazující nové umístění nabídky pro inteligenci hrozeb v Microsoft Sentinel.

Vylepšení funkcí analýzy hrozeb jsou k dispozici zákazníkům, kteří používají obě Microsoft Sentinel prostředí. Rozhraní pro správu zjednodušuje vytváření a správu informací o hrozbách pomocí těchto klíčových funkcí:

  • Definujte relace při vytváření nových objektů STIX.
  • Kurátorujte stávající analýzu hrozeb pomocí nového tvůrce relací.
  • Rychle vytvořte více objektů zkopírováním běžných metadat z nového nebo existujícího objektu TI pomocí funkce duplikace.
  • Pomocí rozšířeného vyhledávání můžete řadit a filtrovat objekty analýzy hrozeb, aniž byste museli psát Log Analytics dotaz.

Další informace najdete v následujících článcích:

Odemkněte pokročilé proaktivní vyhledávání pomocí nových objektů STIX tím, že se přihlásíte k novým tabulkám analýzy hrozeb.

Tabulky podporující nové schéma objektů STIX nejsou veřejně dostupné. Pokud chcete dotazovat analýzu hrozeb pro objekty STIX pomocí KQL a odemknout model proaktivního vyhledávání, který je používá, požádejte o vyjádření souhlasu s tímto formulářem. Ingestujte svoji analýzu hrozeb do nových tabulek ThreatIntelIndicators a ThreatIntelObjects spolu s aktuální tabulkou ThreatIntelligenceIndicator nebo místo ní, pomocí tohoto procesu výslovného souhlasu.

Další informace najdete v blogovém oznámení Nové objekty STIX v Microsoft Sentinel.

Rozhraní API pro nahrání analýzy hrozeb teď podporuje více objektů STIX.

Když je připojíte k Microsoft Sentinel pomocí nahrávacího rozhraní API, využijte platformy zpravodajství o hrozbách na maximum. Nyní můžete zpracovávat více objektů než jen indikátory, což odráží rozmanité dostupné informace o hrozbách. Rozhraní API pro nahrávání podporuje následující objekty STIX:

  • indicator
  • attack-pattern
  • identity
  • threat-actor
  • relationship

Další informace najdete v následujících článcích:

Datové konektory Microsoft Defender Threat Intelligence jsou nyní obecně dostupné (GA).

Datové konektory pro Microsoft Defender Analýza hrozeb v úrovních Premium a Standard jsou nyní obecně dostupné v centru obsahu. Další informace najdete v následujících článcích:

podpora souborů Bicep pro úložiště (Preview)

V úložištích Microsoft Sentinel používejte soubory Bicep společně se šablonami ARM JSON nebo jako jejich náhradu. Bicep poskytuje intuitivní způsob, jak vytvářet šablony Azure prostředků a Microsoft Sentinel položek obsahu. Nejen že je jednodušší vyvíjet nové položky obsahu, Bicep usnadňuje prohlížení a aktualizaci obsahu pro každého, kdo je součástí průběžné integrace a doručování obsahu Microsoft Sentinel.

Další informace najdete v tématu Plánování obsahu úložiště.

Aktualizace optimalizace SOC pro jednotnou správu pokrytí

V pracovních prostorech integrovaných v portálu Defender nyní optimalizace SOC podporují data SIEM i XDR a pokrývají detekci napříč službami Microsoft Defender.

Na portálu Defender poskytují optimalizace SOC a stránky MITRE ATT&CK také další funkce pro optimalizace pokrytí založené na hrozbách, které vám pomůžou pochopit dopad doporučení ve vašem prostředí a pomoci vám určit prioritu, která se má implementovat jako první.

Mezi vylepšení patří:

Plocha Detaily
Stránka Přehledu optimalizací SOC – Vysoké, střední nebo nízké skóre pro aktuální pokrytí detekce. Tento druh bodování vám může pomoct rozhodnout, která doporučení upřednostnit přehledně.

- Označení počtu aktivních Microsoft Defender produktů (služeb) ze všech dostupných produktů. To vám pomůže pochopit, jestli ve svém prostředí chybí celý produkt.
Podrobnosti optimalizace bočního podokna
zobrazí se, když přejdete k podrobnostem o konkrétní optimalizaci.		 – Podrobná analýza pokrytí, včetně počtu uživatelem definovaných detekcí, akcí odezvy a produktů, které máte aktivní.

- Podrobné radarové grafy, které ukazují vaše pokrytí napříč různými kategoriemi hrozeb, pro uživatelsky definované i předdefinované detekce.

- Možnost přejít na konkrétní scénář hrozby na stránce MITRE ATT&CK místo zobrazení pokrytí MITRE ATT&CK pouze v bočním podokně.

– Možnost zobrazit scénář úplné hrozby , abyste mohli přejít k podrobnostem o dalších podrobnostech o bezpečnostních produktech a detekcích, které jsou k dispozici pro zajištění pokrytí zabezpečení ve vašem prostředí.
Stránka MITRE ATT&CK – Nový přepínač pro zobrazení pokrytí podle scénáře hrozeb. Pokud jste přeskočili na stránku MITRE ATT&CK z bočního podokna s podrobnostmi doporučení nebo ze stránky Zobrazit úplný scénář hrozeb, stránka MITRE ATT&CK je předem filtrovaná pro váš scénář hrozeb.

– Podokno podrobností techniky, které se zobrazí na straně při výběru konkrétní techniky MITRE ATT&CK, nyní zobrazuje počet aktivních detekcí ze všech dostupných detekcí pro tuto techniku.

Další informace najdete v tématu Optimalizujte své operace zabezpečení a Pochopte pokrytí zabezpečení v rámci rámce MITRE ATT&CK

Zobrazení podrobného obsahu řešení v centru obsahu Microsoft Sentinel

Teď můžete zobrazit jednotlivý obsah dostupný v konkrétním řešení přímo z centra obsahu, a to i před instalací řešení. Tato nová viditelnost vám pomůže pochopit obsah, který máte k dispozici, a snadněji identifikovat, naplánovat a nainstalovat konkrétní řešení, která potřebujete.

Rozbalte každé řešení v centru obsahu a zobrazte zahrnutý obsah zabezpečení. Příklad:

Snímek obrazovky znázorňující podrobný obsah

Podrobné aktualizace obsahu řešení zahrnují také generující vyhledávací modul založený na umělé inteligenci, který vám pomůže spouštět robustnější vyhledávání, ponořit se do obsahu řešení a vracet výsledky pro podobné termíny.

Další informace najdete v tématu Zjišťování obsahu.

Další kroky

On-board Azure Sentinel

Získání přehledu o upozorněních

  • Last updated on