Teilen über


Neuerungen in Microsoft Sentinel

In diesem Artikel werden die neuesten Features für Microsoft Sentinel sowie neue Features in verwandten Diensten aufgeführt, die Microsoft Sentinel noch benutzerfreundlicher machen.

Die aufgeführten Features wurden in den letzten drei Monaten veröffentlicht. Informationen zu älteren bereitgestellten Features finden Sie in unseren Tech Community-Blogs.

Sie können Benachrichtigungen erhalten, wenn diese Seite aktualisiert wird, indem Sie folgende URL kopieren und in Ihren Feedreader einfügen: https://aka.ms/sentinel/rss

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

September 2024

Schemazuordnung zur SIEM-Migrationserfahrung hinzugefügt

Da die SIEM-Migrationserfahrung im Mai 2024 allgemein verfügbar wurde, wurden stetige Verbesserungen vorgenommen, um ihre Sicherheitsüberwachung von Splunk zu migrieren. Mit den folgenden neuen Features können Kunden dem Übersetzungsmodul für Microsoft Sentinel SIEM-Migration kontextbezogenere Details zu ihrer Splunk-Umgebung und -Verwendung bereitstellen:

  • Schemazuordnung
  • Unterstützung für Splunk-Makros bei der Übersetzung
  • Unterstützung für Splunk-Lookups bei der Übersetzung

Weitere Informationen zu diesen Updates finden Sie unter SIEM-Migrationserfahrung.

Weitere Informationen zur SIEM Migrationserfahrung finden Sie in den folgenden Artikeln:

Anreicherungs-Widgets von Drittanbietern, die im Februar 2025 eingestellt werden

Ab sofort können Sie das Feature zum Erstellen von Anreicherungs-Widgets, die Daten aus externen Datenquellen von Drittanbietern abrufen, nicht mehr aktivieren. Diese Widgets werden auf Microsoft Sentinel-Entitätsseiten und an anderen Stellen angezeigt, an denen Entitätsinformationen angezeigt werden. Diese Änderung geschieht, da Sie den Azure Key Vault nicht mehr erstellen können, der für den Zugriff auf diese externen Datenquellen erforderlich ist.

Wenn Sie bereits Anreicherungs-Widgets von Drittanbietern verwenden, d. h., wenn dieser Schlüsseltresor bereits vorhanden ist, können Sie Widgets, die Sie noch nicht verwendet haben, konfigurieren und verwenden, obwohl wir dies nicht empfehlen.

Ab Februar 2025 werden alle vorhandenen Anreicherungs-Widgets, die Daten aus Quellen von Drittanbietern abrufen, nicht mehr angezeigt, weder auf Entitätsseiten noch an anderen Stellen.

Wenn Ihre Organisation Anreicherungs-Widgets von Drittanbietern verwendet, empfehlen wir, diese im Voraus zu deaktivieren, indem Sie den Schlüsseltresor, den Sie für diesen Zweck erstellt haben, aus seiner Ressourcengruppe löschen. Der Name des Schlüsseltresors beginnt mit „Widgets“.

Anreicherungs-Widgets, die auf Datenquellen von Erstanbietern basieren, sind von dieser Änderung nicht betroffen und funktionieren weiterhin wie zuvor. „Datenquellen von Erstanbietern“ enthalten alle Daten, die bereits aus externen Quellen (d. h. alle Daten in Tabellen in Ihrem Log Analytics-Arbeitsbereich) und aus Microsoft Defender Threat Intelligence in Microsoft Sentinel aufgenommen wurden.

Erwerbspläne mit Vorauszahlung jetzt für Microsoft Sentinel verfügbar

Erwerbspläne mit Vorauszahlung sind eine Art von Azure-Reservierung. Wenn Sie einen Erwerbsplan mit Vorauszahlung kaufen, erhalten Sie Commit-Einheiten (CUs) zu vergünstigten Konditionen für ein bestimmtes Produkt. Microsoft Sentinel Commit-Einheiten (SCUs) werden auf die anrechenbaren Kosten in Ihrem Arbeitsbereich angerechnet. Wenn Sie vorhersehbare Kosten haben, spart Ihnen die Auswahl des richtigen Erwerbsplans mit Vorauszahlung Geld!

Weitere Informationen finden Sie unter Optimieren der Kosten mit einem Erwerbsplan mit Vorauszahlung.

Import/Export von Automatisierungsregeln jetzt allgemein verfügbar

Die Möglichkeit, Automatisierungsregeln in Azure Resource Manager-Vorlagen (ARM) im JSON-Format zu exportieren und aus ARM-Vorlagen zu importieren, ist jetzt nach einem kurzen Vorschauzeitraum allgemein verfügbar.

Weitere Informationen finden Sie unter Exportieren und Importieren von Automatisierungsregeln.

Google Cloud Platform-Datenconnectors jetzt allgemein verfügbar

Die Google Cloud Platform-Datenconnectors (GCP) von Microsoft Sentinel basieren auf Codeless Connector Platform (CCP) und sind jetzt allgemein verfügbar. Mit diesen Connectors können Sie Protokolle aus Ihrer GCP-Umgebung mithilfe der Pub/Sub-Funktion der GCP erfassen.

  • Der Pub/Sub Audit Logs-Connector von Google Cloud Platform (GCP) erfasst Überwachungspfade des Zugriffs auf GCP-Ressourcen. Analysten können diese Protokolle überwachen, um Ressourcenzugriffsversuche nachzuverfolgen und potenzielle Bedrohungen in der GCP-Umgebung zu erkennen.

  • Der Security Command Center-Connector von Google Cloud Platform (GCP) sammelt Erkenntnisse aus dem Google Security Command Center, einer robusten Sicherheits- und Risikomanagementplattform für Google Cloud. Analysten können diese Ergebnisse anzeigen, um Einblicke in den Sicherheitsstatus der Organisation zu erhalten, einschließlich des Ressourcenbestands und der Ermittlung und Erkennung von Sicherheitsrisiken und Bedrohungen sowie Risikominderung und -behebung.

Weitere Informationen zu diesen Connectors finden Sie unter Erfassung von Google Cloud Platform-Protokolldaten in Microsoft Sentinel.

Microsoft Sentinel jetzt allgemein verfügbar (GA) in Azure Israel, Mitte

Microsoft Sentinel ist jetzt in der Azure Region Israel, Mitte verfügbar, mit demselben Featuresatz wie in allen anderen kommerziellen Azure-Regionen.

Weitere Informationen finden Sie unter Microsoft Sentinel-Featureunterstützung für kommerzielle/andere Clouds und geografische Verfügbarkeit und Datenresidenz in Microsoft Sentinel.

August 2024

Einstellung des Log Analytics-Agents

Am 31. August 2024 wurde der Log Analytics-Agent (MMA/OMS) außer Betrieb genommen.

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwendet haben, wird empfohlen, zum Azure Monitor-Agent (AMA) zu migrieren.

Weitere Informationen finden Sie unter:

Exportieren und Importieren von Automatisierungsregeln (Vorschau)

Verwalten Sie Ihre Microsoft Sentinel-Automatisierungsregeln als Code! Sie können jetzt Ihre Automatisierungsregeln innerhalb Ihres Programms in ARM-Vorlagendateien (Azure Resource Manager) exportieren und Regeln aus diesen Dateien importieren, um Ihre Microsoft Sentinel-Bereitstellungen als Code zu verwalten und zu steuern. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und auch sonst wie jede andere Datei behandeln können.

Die exportierte JSON-Datei ist arbeitsbereichsunabhängig, sodass sie in andere Arbeitsbereiche und sogar andere Mandanten importiert werden kann. Als Code kann sie außerdem versionskontrolliert, aktualisiert und in einem verwalteten CI/CD-Framework bereitgestellt werden.

Die Datei enthält alle Parameter, die in der Automatisierungsregel definiert sind. Es können Regeln beliebiger Triggertypen in eine JSON-Datei exportiert werden.

Weitere Informationen finden Sie unter Exportieren und Importieren von Automatisierungsregeln.

Microsoft Sentinel-Unterstützung in der Microsoft Defender-Mehrmandantenverwaltung (Vorschau)

Wenn Sie Microsoft Sentinel in die Microsoft Unified Security Operations Platform integriert haben, sind Microsoft Sentinel-Daten jetzt mit Defender XDR-Daten in der Mehrmandantenverwaltung von Microsoft Defender verfügbar. Derzeit wird auf der Microsoft Unified Security Operations Platform nur ein Microsoft Sentinel-Arbeitsbereich pro Mandant unterstützt. Daher zeigt die Microsoft Defender-Mehrmandantenverwaltung SIEM-Daten (Security Information & Event Management) aus einem Microsoft Sentinel-Arbeitsbereich pro Mandant an. Weitere Informationen finden Sie unter Microsoft Defender-Mehrmandantenverwaltung und Microsoft Sentinel im Microsoft Defender-Portal.

Microsoft Defender Threat Intelligence Premium-Datenconnector (Vorschau)

Ihre Premium-Lizenz für Microsoft Defender Threat Intelligence (MDTI) bietet Ihnen jetzt die Möglichkeit, alle Premium-Indikatoren direkt in Ihren Arbeitsbereich zu integrieren. Der MDTI Premium-Datenconnector erweitert die Funktionen für Bedrohungssuche und -recherche in Microsoft Sentinel.

Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence.

Einheitliche AMA-basierte Connectors für Syslog-Erfassung

Mit der bevorstehenden Einstellung des Log Analytics-Agents hat Microsoft Sentinel die Sammlung und Erfassung von Syslog-Nachrichten, CEF-Nachrichten und Protokollnachrichten im benutzerdefinierten Format in drei Datenconnectors für verschiedene Zwecke basierend auf dem Azure Monitor Agent (AMA) konsolidiert:

  • Syslog über AMA, für jedes Gerät, dessen Protokolle in der Syslog-Tabelle in Log Analytics erfasst werden.
  • Common Event Format (CEF) über AMA, für jedes Gerät, dessen Protokolle in der CommonSecurityLog-Tabelle in Log Analytics erfasst werden.
  • Neu! Benutzerdefinierte Protokolle über AMA (Vorschau), für jeden der 15 Gerätetypen oder jedes nicht aufgelistete Gerät, dessen Protokolle in benutzerdefinierten Tabellen erfasst werden, deren Namen mit _CL in Log Analytics enden.

Diese Connectors ersetzen nahezu alle bisher vorhandenen Connectors für einzelne Geräte- und Appliance-Typen, die entweder auf dem älteren Log Analytics-Agent (auch als MMA oder OMS bezeichnet) oder dem aktuellen Azure Monitor Agent basieren. Die Lösungen, die im Inhaltshub für alle diese Geräte und Appliances bereitgestellt werden, enthalten nun einen der drei Connectors, der für die Lösung geeignet ist.* Die ersetzten Connectors sind jetzt im Datenconnectorkatalog als „Veraltet“ gekennzeichnet.

Die Diagramme für die Datenerfassung, die zuvor auf der Connectorseite der einzelnen Geräte angezeigt wurden, finden Sie jetzt in den gerätespezifischen Arbeitsmappen, die für jede Gerätelösung bereitgestellt werden.

* Wenn Sie die Lösung für eine dieser Anwendungen, eines dieser Geräte oder eine dieser Appliances installieren, müssen Sie die Option Mit Abhängigkeiten installieren auf der Lösungsseite auswählen und dann den Datenconnector auf der folgenden Seite markieren, um sicherzustellen, dass der zugehörige Datenconnector installiert ist.

Informationen zu den aktualisierten Verfahren für die Installation dieser Lösungen finden Sie in den folgenden Artikeln:

Bessere Sichtbarkeit für Windows-Sicherheitsereignisse

Wir haben das Schema der SecurityEvent-Tabelle, die Windows-Sicherheitsereignisse hostet, verbessert und neue Spalten hinzugefügt, um die Kompatibilität mit dem Azure Monitor Agent (AMA) für Windows (Version 1.28.2) sicherzustellen. Diese Verbesserungen sind darauf ausgelegt, die Sichtbarkeit und Transparenz gesammelter Windows-Ereignisse zu erhöhen. Wenn Sie nicht daran interessiert sind, Daten in diesen Feldern zu empfangen, können Sie eine Erfassungszeittransformation (z. B. „project-away“) anwenden, um sie zu löschen.

Neuer Aufbewahrungsplan für Hilfsprotokolle (Preview)

Mit dem neuen Aufbewahrungsplan für Hilfsprotokolle für Log Analytics-Tabellen können Sie große Mengen von Protokollen mit hohem Volumen erfassen, die zusätzliche Sicherheit zu wesentlich geringeren Kosten beitragen. Hilfsprotokolle sind für 30 Tage mit interaktiver Aufbewahrung verfügbar, in denen Sie einfache Abfragen mit einer einzelnen Tabelle ausführen können, z. B. um die Daten zusammenzufassen und zu aggregieren. Nach diesem 30-Tage-Zeitraum werden Hilfsprotokolldaten in die Langzeitaufbewahrung übertragen, für die Sie zu sehr geringen Kosten bis zu 12 Jahre angeben können. Mit diesem Plan können Sie auch Suchaufträge für die Daten in der Langzeitaufbewahrung ausführen und nur die gewünschten Datensätze in eine neue Tabelle extrahieren, die Sie wie eine normale Log Analytics-Tabelle mit vollständigen Abfragefunktionen nutzen können.

Weitere Informationen zu Hilfsprotokollen und zum Vergleich mit Analyseprotokollen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.

Ausführlichere Informationen zu den verschiedenen Protokollverwaltungsplänen finden Sie unter Tabellenpläne im Artikel Übersicht über Azure Monitor-Protokolle in der Azure Monitor-Dokumentation.

Erstellen von Zusammenfassungsregeln in Microsoft Sentinel für große Datenmengen (Preview)

Microsoft Sentinel bietet jetzt die Möglichkeit, mit Azure Monitor-Zusammenfassungsregeln dynamische Zusammenfassungen zu erstellen, die große Datenmengen im Hintergrund zusammenfassen und so einen reibungsloseren Ablauf der Sicherheitsvorgänge auf allen Protokollebenen ermöglichen.

  • Greifen Sie über die Kusto Query Language (KQL) auf zusammengefasste Regelergebnisse für Erkennung, Untersuchung, Hunting und Berichterstattung zu.
  • Führen Sie Hochleistungsabfragen der Kusto Query Language (KQL) für zusammengefasste Daten aus.
  • Verwenden Sie die Ergebnisse der Zusammenfassungsregeln für längere Zeiträume für Untersuchungen, Hunting und Compliance-Aktivitäten.

Weitere Informationen finden Sie unter Aggregieren von Microsoft Sentinel-Daten mit Zusammenfassungsregeln.

Juli 2024

SOC-Optimierungen sind jetzt allgemein verfügbar.

Die SOC-Optimierungserfahrung in den Azure- und Defender-Portalen ist jetzt einschließlich Datenwert- und bedrohungsbasierter Empfehlungen allgemein für alle Microsoft Sentinel-Kunden verfügbar.

  • Verwenden Sie Empfehlungen zu Datenwerten, um die Datennutzung von erfassten abrechenbaren Protokollen zu verbessern, Sichtbarkeit für selten verwendete Protokolle zu erhalten und die passenden Erkennungen für diese Protokolle oder die richtigen Anpassungen ihrer Protokollebene oder Erfassung zu ermitteln.

  • Verwenden Sie bedrohungsbasierte Empfehlungen, um basierend auf Untersuchungen von Microsoft Lücken in den Schutzmaßnahmen gegen bestimmte Angriffe zu identifizieren und sie zu mindern, indem Sie die empfohlenen Protokolle erfassen und empfohlene Erkennungen hinzufügen.

Die recommendations-API befindet sich noch in der Preview.

Weitere Informationen finden Sie unter:

SAP Business Technology Platform (BTP)-Connector jetzt allgemein verfügbar (GA)

Die Microsoft Sentinel-Lösung für SAP-BTP ist jetzt allgemein verfügbar (GA). Diese Lösung bietet Sichtbarkeit in Ihre SAP BTP-Umgebung und hilft Ihnen, Bedrohungen und verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

Weitere Informationen finden Sie unter:

Microsoft Unified Security Platform jetzt allgemein verfügbar

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Die Microsoft Unified Security Operations Platform vereint den vollständigen Funktionsumfang von Microsoft Sentinel, Microsoft Defender XDR und Microsoft Copilot in Microsoft Defender. Weitere Informationen finden Sie in den folgenden Ressourcen:

Juni 2024

Codeless Connector Platform jetzt allgemein verfügbar

Die Codeless Connector Platform (CCP) ist jetzt allgemein verfügbar (GA). Sehen Sie sich den Ankündigungsblogbeitragan.

Weitere Informationen zu den CCP-Verbesserungen und -Funktionen finden Sie unter Erstellen eines codelosen Connectors für Microsoft Sentinel.

Erweiterte Suchfunktion für Bedrohungsanzeigen verfügbar

Die Such- und Filterfunktionen für Bedrohungserkennung wurden verbessert und die Erfahrung verfügt jetzt über Parität in den Microsoft Sentinel- und Microsoft Defender-Portalen. Die Suche unterstützt maximal 10 Bedingungen mit bis zu 3 Unterklauseln.

Weitere Informationen finden Sie im aktualisierten Screenshot in Anzeigen und Verwalten Ihrer Bedrohungsindikatoren.

Nächste Schritte