Freigeben über

Neuerungen in Microsoft Sentinel

In diesem Artikel werden die neuesten Features aufgeführt, die für Microsoft Sentinel hinzugefügt wurden, sowie neue Features in verwandten Diensten, die eine verbesserte Benutzererfahrung in Microsoft Sentinel bieten. Neue Features im Zusammenhang mit einheitlichen Sicherheitsvorgängen im Defender-Portal finden Sie unter "Neuerungen für einheitliche Sicherheitsvorgänge"?

Die aufgeführten Features wurden in den letzten sechs Monaten veröffentlicht. Informationen zu früheren Features finden Sie in unseren blogs der Tech Community.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel Tabellen in Cloud-Featureverfügbarkeit für US Government-Kunden.

März 2026

Handlungsaufruf: Aktualisieren älterer Microsoft Sentinel Inhalte als Code-API-Versionen (Sentinel-Repositorys) vor Juni 2026

Ab June 1, 2026 werden ältere API-Versionen, die von Microsoft Sentinel Repositorys verwendet werden nicht mehr unterstützt. Diese Änderung wirkt sich auf alle aktionen Source Control und Source Controls in der Microsoft Sentinel REST-API für die betroffenen API-Versionen aus.

Die eingestellten API-Versionen werden nicht mehr unterstützt, und Anforderungen, die sie verwenden, schlagen fehl. Vorhandene Repositoryverbindungen, die mit diesen APIs erstellt wurden, sind nicht betroffen, und die Repositorys funktionieren weiterhin.

Erforderliche Maßnahme

Wenn Sie APIs zum Erstellen oder Verwalten von Repositoryverbindungen verwenden, wechseln Sie zur API-Version 2025-09-01, 2025-06-01 oder 2025-07-01-Preview vor dem 1. Juni 2026, um Dienstunterbrechungen zu vermeiden.

Betroffene API-Versionen

Die folgenden API-Versionen werden am 1. Juni 2026 eingestellt:

Vorschau-API-Versionen (zum Erweitern klicken)
  • 2021-03-01-preview
  • 2021-09-01-preview
  • 2021-10-01-preview
  • 2022-01-01-preview
  • 2022-04-01-preview
  • 2022-05-01-preview
  • 2022-06-01-preview
  • 2022-07-01-preview
  • 2022-08-01-preview
  • 2022-09-01-preview
  • 2022-10-01-preview
  • 2022-11-01-preview
  • 2022-12-01-preview
  • 2023-02-01-preview
  • 2023-03-01-preview
  • 2023-04-01-preview
  • 2023-05-01-preview
  • 2023-06-01-preview
  • 2023-07-01-preview
  • 2023-08-01-preview
  • 2023-09-01-preview
  • 2023-10-01-preview
  • 2023-11-01-preview
  • 2023-12-01-preview
  • 2024-01-01-preview
  • 2024-04-01-preview
  • 2024-10-01-preview
  • 2025-01-01-preview
  • 2025-04-01-preview
  • 2025-07-01-preview
Stabile API-Versionen (zum Erweitern klicken)
  • 2023-11-01
  • 2024-03-01
  • 2024-09-01
  • 2025-03-01

Empfohlene API-Versionen für die Verwendung:

  • 2025-09-01 (stabil)
  • 2025-06-01 (stabil)
  • 2025-07-01-Preview (Vorschau)

Februar 2026

Microsoft Sentinel UEBA-Verhaltensschicht ist jetzt allgemein verfügbar.

Die UEBA-Verhaltensschicht in Microsoft Sentinel ist jetzt allgemein verfügbar und fasst klare, lesbare Verhaltenserkenntnisse aus hochvolumigen Rohsicherheitsprotokollen zusammen. Die Verhaltensebene aggregiert und sequenziert verwandte Ereignisse in normalisierte Verhaltensweisen und hilft Analysten dabei, schneller zu verstehen, wer was mit wem getan hat, ohne rohe Protokolle manuell zu korrelieren. Weitere Informationen finden Sie unter Übersetzen Sie rohe Sicherheitsprotokolle in Verhaltensanalysen mittels UEBA-Verhalten in Microsoft Sentinel.

Sehen Sie sich das UEBA Behaviors-Webinar an, um eine vollständige Übersicht und Demo der UEBA-Verhaltensschicht zu erfahren.

Neue UEBA-Verhaltensarbeitsmappe

Um SOC-Teams von Tag eins an einen Mehrwert zu bieten, stellt Microsoft Sentinel nun die Arbeitsmappe Behaviors als Teil der UEBA Essentials-Lösung bereit. Die Arbeitsmappe bietet geführte Ansichten und vordefinierte, anpassbare Analysen, die umfassende Verhaltensdaten in umsetzbare Einblicke in drei Kern-SOC-Workflows verwandeln:

  • Übersicht: Allgemeine Metriken und Trends, die SOC-Managern und führungsschnelles Situationsbewusstsein vermitteln
  • Untersuchung: Deep-Dive, entitätsorientierte Zeitachsen, die Analysten helfen, die Reaktion auf Vorfälle zu beschleunigen
  • Suche: Proaktive Bedrohungserkennung für Bedrohungssucher mit Anomalieerkennung und Angriffskettenanalyse

Weitere Informationen zur Arbeitsmappe finden Sie im Blogbeitrag Microsoft Sentinel Behaviors Workbook.

Generieren von Playbooks mit KI in Microsoft Sentinel (Vorschau)

Sie können jetzt Playbooks generieren, indem Sie KI in Microsoft Sentinel verwenden. Der SOAR-Playbook-Generator erstellt Python-basierte Automatisierungsworkflows, die durch eine dialogbasierte Erfahrung mit Cline, einem KI-Coding-Agenten, koautoriert werden. Weitere Informationen finden Sie im Blogbeitrag der Playbook-Generation.

Januar 2026

Neues Entitätsverhaltensanalyse-Widget (UEBA) auf der Startseite des Defender-Portals (Vorschau)

Die Startseite des Defender-Portals enthält jetzt ein UEBA-Widget, in dem Analysten sofort Einblicke in anomales Benutzerverhalten haben und daher Bedrohungserkennungsworkflows beschleunigen können. Weitere Informationen finden Sie unter Wie UEBA Analysten unterstützt und Arbeitsabläufe optimiert.

Aktualisierungsdatum: Microsoft Sentinel im Azure Portal, das am März 2027 eingestellt werden soll

Microsoft Sentinel ist general im Microsoft Defender Portal verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal verwenden können, auch wenn Sie keine anderen Microsoft Defender Dienste verwenden.

Nach March 31, 2027 wird Microsoft Sentinel nicht mehr im Azure-Portal unterstützt und nur im Microsoft Defender Portal verfügbar sein.

Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang sicherzustellen und die unifizierten Sicherheitsvorgänge zu nutzen, die von Microsoft Defender angeboten werden.

Weitere Informationen finden Sie unter:

UEBA Behaviors Layer aggregiert umsetzbare Erkenntnisse aus rohen Protokollen in Echtzeit (Vorschau)

Microsoft Sentinel führt eine UEBA-Verhaltensschicht ein, die hochvolumige Sicherheitsprotokolle auf niedriger Ebene in klare, lesbare Verhaltenserkenntnisse im Defender-Portal transformiert. Diese KI-gestützte Funktion aggregiert und sequenziert Rohereignisse aus unterstützten Datenquellen in normalisierte Verhaltensweisen, die "wer was für wen getan hat" mit MITRE ATT&CK-Kontext erklären.

Wie Verhalten die Lücke zwischen Warnungen und unformatierten Protokollen überbrücken

Während eingehende Rohprotokolle rauschend, nicht korreliert und schwer zu interpretieren sind, fordern Warnmeldungen Analysten auf, bei potenziellen Problemen Maßnahmen zu ergreifen. UEBA-Verhaltensweisen fassen Verhaltensmuster (normal oder abnorm) aus unterstützten Datenquellen zusammen. Dadurch wird eine Abstraktionsebene erstellt, die Daten für Untersuchungen, Suche und Erkennung optimiert. Anstatt beispielsweise einzelne AWS CloudTrail-Ereignisse oder Firewallprotokolle zu analysieren, sehen Analysten ein Verhalten wie "Eingehende Remoteverwaltungssitzung von externer Adresse", das mehrere rohe Ereignisse zusammenfasst und ihnen bekannte Taktiken, Techniken und Verfahren (TTPs) zuordnet.

UEBA-Verhalten:

  • Beschleunigen Sie Untersuchungen: Ermöglichen Sie eine schnellere Reaktion auf Vorfälle durch Aggregieren und Sequenzierungsverhalten, sodass Analysten sich auf sinnvolle Aktionen konzentrieren können, anstatt Tausende von Ereignissen zu durchsuchen.
  • Transformieren Sie laute Telemetrie in umsetzbare Erkenntnisse: Konvertieren Sie fragmentierte, volumenreiche Protokolle in klare, lesbare Verhaltensbeobachtungen, wodurch sicherheitsrelevante Ereignisse leichter zu verstehen sind.
  • Unterstützen Sie alle SOC-Personas: Verbessern Sie Workflows für SOC-Analysten, Bedrohungssucher und Erkennungstechniker, indem Sie einheitliche, kontextbezogene Ansichten und Bausteine für Erkennungsregeln und Automatisierung bereitstellen.
  • Erklärbarkeit sicherstellen: Zuordnung zu MITRE ATT&CK-Taktiken, Entitätsrollen und rohen Protokollen zur Rückverfolgbarkeit und Klarheit.

UEBA-Verhalten können unabhängig von der Anomalieerkennung von UEBA aktiviert werden.

Unterstützte Datenquellen während der öffentlichen Vorschau: AWS CloudTrail, CommonSecurityLog (CyberArk Vault, Palo Alto Threats) und GCPAuditLogs.

Weitere Informationen finden Sie unter Übersetzen Sie rohe Sicherheitsprotokolle in Verhaltensanalysen mittels UEBA-Verhalten in Microsoft Sentinel.

Aktivieren Sie UEBA direkt über die Datenconnectorkonfiguration (Vorschau)

Sie können jetzt UEBA für unterstützte Datenquellen direkt über die Konfigurationsseite des Datenkonnektors aktivieren, die Verwaltungszeit reduzieren und Abdeckungslücken verhindern. Wenn Sie neue Connectors aktivieren, können Sie die Datenquelle in UEBA integrieren, ohne zu einer separaten Konfigurationsseite zu navigieren.

Mit dieser Integration können Sie sehen, welche Datenquellen in UEBA eingespeist werden, und diesen Datenstrom direkt aus der Connector-Konfiguration aktivieren.

Weitere Informationen finden Sie unter Datenquellen mit Microsoft Sentinel über Datenverbinder verknüpfen.

Neue Erkennungen für Sentinel-Lösung für SAP BTP

Dieses Update erweitert die Erkennungsabdeckung für SAP BTP und stärkt die Sichtbarkeit in risikoreiche Kontrollebene, Integration und Identitätsaktivitäten.

  • SAP Integration Suite: Erkennt unautorisierte Änderungen an Integrationsobjekten, Zugriffsrichtlinien, JDBC-Datenquellen und Paketimporten, die Datenexfiltration oder Hintertüren ermöglichen könnten.
  • SAP Cloud Identity Service: Überwacht Benutzerlöschungen, Berechtigungserteilungen und SAML/OIDC-Konfigurationsänderungen, die Authentifizierungssteuerelemente schwächen oder dauerhaften Zugriff gewähren.
  • SAP Build Work Zone: Identifiziert Massenrollenlöschungen und nicht autorisierten Zugriff auf eingeschränkte Portalressourcen.
  • SAP BTP-Überwachungsprotokollierung: Erkennt Erfassungslücken und Unterbrechungen in den Überwachungsprotokollen, die die Sicherheitstransparenz reduzieren und unbemerkte Aktivitäten ermöglichen.

November 2025

Neue Funktionen für Entity Behavior Analytics (UEBA) im Defender-Portal (Vorschau)

Microsoft Sentinel führt neue UEBA-Erfahrungen im Defender-Portal ein, wodurch Verhaltenserkenntnisse direkt in wichtige Analystenworkflows integriert werden. Diese Verbesserungen helfen Analysten dabei, Untersuchungen zu priorisieren und den UEBA-Kontext effektiver anzuwenden.

Anomaliebezogene Benutzeruntersuchungen

Im Defender-Portal werden Benutzer mit Verhaltensanomalien automatisch mit UEBA-Anomalien markiert, wodurch Analysten schnell erkennen können, welche Benutzer priorisiert werden sollen.

Analysten können die drei wichtigsten Anomalien aus den letzten 30 Tagen in einem dedizierten Abschnitt mit den wichtigsten UEBA-Anomalien anzeigen, verfügbar in:

  • Benutzerseitige Panels, auf die von verschiedenen Portalstandorten zugegriffen werden kann.
  • Die Registerkarte "Übersicht" der Benutzerentitätsseiten.

Dieser Abschnitt enthält auch direkte Links zu Anomalieabfragen und zur Zeitachse der Microsoft Sentinel-Ereignisse, was eine tiefere Untersuchung und ein schnelleres Sammeln von Kontextinformationen ermöglicht.

Detaillierte Analyse von Benutzeranomalien aus Ereignisdiagrammen

Analysten können schnell auf alle Anomalien im Zusammenhang mit einem Benutzer zugreifen, indem sie Go Hunt > Alle Benutzeranomalien aus dem Vorfalldiagramm auswählen. Diese integrierte Abfrage bietet sofortigen UEBA-Kontext, um eine tiefergehende Untersuchung zu unterstützen.

Erweiterte Such- und benutzerdefinierte Erkennungsabfragen mit Verhaltenseinblicken

Erweiterte Such- und benutzerdefinierte Erkennungsfunktionen enthalten jetzt ein kontextbezogenes Banner, das Analysten auffordert, Abfragen mit UEBA-Datenquellen zur UEBA-Anomalies-Tabelle hinzuzufügen.

Alle Funktionen erfordern, dass UEBA aktiviert ist, und beschränken sich auf den aktuell ausgewählten Arbeitsbereich.

Weitere Informationen finden Sie unter Wie UEBA Analysten unterstützt und Arbeitsabläufe optimiert.

SAP-Datenconnectors

Handlungsaufforderung: Aktualisieren von Abfragen und Automatisierung bis zum 1. Juli 2026 – standardisierte Kontoentitätsbenennung in Vorfällen und Warnungen

Microsoft Sentinel aktualisiert die Methode, wie Kontoentitäten in Vorfällen und Warnungen identifiziert werden. Diese Änderung führt eine standardisierte Benennungslogik ein, um Konsistenz und Zuverlässigkeit in Ihren Analyse- und Automatisierungsworkflows zu verbessern.

Von Bedeutung

Diese Änderung kann sich auf Ihre Analyseregeln, Automatisierungsregeln, Playbooks, Arbeitsmappen, Suchabfragen und benutzerdefinierte Integrationen auswirken.

Microsoft Sentinel wählt nun den zuverlässigsten Kontobezeichner mit der folgenden Priorität aus:

  1. UPN-Präfix – der Teil vor "@" in einem Benutzerprinzipalnamen

    • Beispiel: john.doe@contoso.comjohn.doe

  2. Name – wird verwendet, wenn das UPN-Präfix nicht verfügbar ist

  3. Anzeigename – Fallback, wenn beide oben fehlen

Aktualisieren Sie Ihre KQL-Abfragen und Automatisierungslogik, um dem neuen vorrangbewussten Muster zu folgen. Verwenden Sie die coalesce()Funktion (/kusto/query/coalesce-function), um die Kompatibilität sicherzustellen:

coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)

Testen Sie alle Änderungen in einem Nichtproduktionsarbeitsbereich, bevor Sie sie in die Produktion umsetzen.

Oktober 2025

Exportieren von STIX Threat Intelligence-Objekten (Vorschau)

Microsoft Sentinel unterstützt jetzt das Exportieren von STIX Threat Intelligence-Objekten in andere Ziele, z. B. externe Plattformen. Wenn Sie Bedrohungsinformationen aus einer externen Plattform wie Microsoft Sentinel importiert haben, z. B. bei Verwendung des Datenkonnektors Threat Intelligence - TAXII, können Sie diese Bedrohungsinformationen jetzt zurück auf die Plattform exportieren und so eine bidirektionale Freigabe ermöglichen. Diese neue Funktionalität ermöglicht direktes und sicheres Teilen und reduziert damit die Notwendigkeit manueller Prozesse oder benutzerdefinierter Playbooks zur Verteilung von Bedrohungsinformationen.

Das Exportieren von TI-Objekten wird derzeit nur für TAXII 2.1-basierte Plattformen unterstützt. Sie können sowohl über das Defender-Portal als auch über das Azure-Portal auf das Exportfeature zugreifen:

Weitere Informationen finden Sie unter:

September 2025

Microsoft Sentinel entwickelt sich zu einem SIEM und einer Plattform

Die Sicherheit wird für die KI-Ära neu konzipiert, indem sie über statische, regelbasierte Kontrollmechanismen und Reaktion auf Sicherheitsvorfälle hinaus zu einer plattformgestützten, maschinenschnellen Verteidigung übergeht. Um die Herausforderung von fragmentierten Tools, weitreichenden Signalen und Legacy-Architekturen, die nicht mit der Geschwindigkeit und Skalierung moderner Angriffe mithalten können, zu adressieren, hat sich Microsoft Sentinel zu einem SIEM und einer Plattform entwickelt, die Daten für eine aktive Verteidigung vereint. Dieses Update spiegelt architekturbezogene Verbesserungen wider, die KI-gesteuerte Sicherheitsvorgänge im großen Maßstab unterstützen. Weitere Informationen finden Sie unter What is Microsoft Sentinel?

Wichtige Ergänzungen sind Microsoft Sentinel Data Lake, Microsoft Sentinel Graph und Microsoft Sentinel Model Context Protocol (MCP)-Server, wie unten beschrieben.

Microsoft Sentinel Data Lake ist jetzt allgemein verfügbar (GA)

Eine skalierbare, kostengünstige Grundlage für die langfristige Datenaufbewahrung und multi modale Analysen. Microsoft Sentinel Data Lake ermöglicht Es Organisationen, Sicherheitsdaten über Quellen hinweg zu vereinheitlichen und erweiterte Analysen ohne Infrastrukturaufwand auszuführen.

Weitere Informationen finden Sie unter Microsoft Sentinel Data Lake.

Microsoft Sentinel Graph (Vorschauversion)

Einheitliche Graph-Analysen für tieferes Verständnis des Kontexts und Bedrohungsanalysen. Microsoft Sentinel Graph modellieren Beziehungen zwischen Benutzern, Geräten und Aktivitäten, um komplexe Bedrohungsuntersuchungen und Vor- und Nachverletzungsanalysen zu unterstützen.

Weitere Informationen finden Sie unter What is Microsoft Sentinel graph? (Vorschau).

Microsoft Sentinel Model Context Protocol (MCP)-Server (Vorschau)

Eine gehostete Schnittstelle zum Erstellen intelligenter Agents mit natürlicher Sprache. Microsoft Sentinel MCP-Server vereinfacht die Agenterstellung und Datensuche, da Techniker Sicherheitsdaten abfragen und grundieren können, ohne dass Schemakenntnisse erforderlich sind.

Weitere Informationen finden Sie in der Übersicht über das Model Context Protocol (MCP).

Neue Datenquellen für erweiterte Benutzer- und Entitätsverhaltensanalysen (UEBA) (Vorschau)

Microsoft Sentinel UEBA unterstützt SOC-Teams mit KI-basierter Anomalieerkennung basierend auf Verhaltenssignalen in Ihrem Mandanten. Sie hilft bei der Priorisierung von Bedrohungen mithilfe dynamischer Basispläne, Peervergleiche und erweiterter Entitätsprofile.

UEBA unterstützt jetzt die Anomalieerkennung mit sechs neuen Datenquellen:

  • Microsoft-Authentifizierungsquellen:

    Diese Quellen bieten einen tieferen Einblick in das Identitätsverhalten in Ihrer Microsoft-Umgebung.

    • Microsoft Defender XDR Geräteanmeldungsereignisse: Erfassen sie Anmeldeaktivitäten von Endpunkten, helfen bei der Identifizierung lateraler Bewegungen, ungewöhnlicher Zugriffsmuster oder kompromittierter Geräte.
    • Microsoft Entra ID Protokolle für verwaltete Identitätsanmeldungen: Nachverfolgen von Anmeldungen durch verwaltete Identitäten, die in der Automatisierung verwendet werden, z. B. Skripts und Dienste. Dies ist entscheidend für das Aufspüren eines unbemerkten Missbrauchs von Dienstidentitäten.
    • Microsoft Entra ID Dienstprinzipalanmeldungsprotokolle: Überwachen Sie die Anmeldungen von Dienstprinzipalen, die häufig von Apps oder Skripts verwendet werden, zur Erkennung von Anomalien, z. B. unerwartete Zugriffs- oder Berechtigungseskalation.

  • Cloud- und Identitätsverwaltungsplattformen von Drittanbietern:

    UEBA ist jetzt in führende Cloud- und Identitätsverwaltungsplattformen integriert, um die Erkennung von Identitätskompromittierung, Berechtigungsmissbrauch und riskantem access Verhalten in multicloud-Umgebungen zu verbessern.

    • AWS CloudTrail-Anmeldeereignisse: Kennzeichnen Sie riskante Anmeldeversuche in Amazon Web Services (AWS), z. B. fehlgeschlagene mehrstufige Authentifizierung (MFA) oder die Verwendung des Stammkontos – kritische Indikatoren für potenzielle Kontokompromittierungen.
    • GCP-Überwachungsprotokolle – Fehlgeschlagene IAM-access-Ereignisse: Erfassung verweigerter access Versuche in Google Cloud Platform, hilft beim Identifizieren von Berechtigungseskalationsversuchen oder falsch konfigurierten Rollen.
    • Okta MFA- und Authentifizierungssicherheitsänderungsereignisse: Surface MFA-Herausforderungen und Änderungen an Authentifizierungsrichtlinien in Okta – Signale, die auf gezielte Angriffe oder Identitätsmanipulationen hinweisen können.

Diese neuen Quellen verbessern die Fähigkeit der UEBA, Bedrohungen in Microsoft- und Hybridumgebungen basierend auf erweiterten Benutzer-, Geräte- und Dienstidentitätsdaten, erweitertem Verhaltenskontext und neuen plattformübergreifenden Anomalieerkennungsfunktionen zu erkennen.

Um die neuen Datenquellen zu aktivieren, müssen Sie in das Defender-Portal integriert sein.

Weitere Informationen finden Sie unter:

August 2025

Bearbeiten von Arbeitsmappen direkt im Microsoft Defender-Portal (Vorschau)

Jetzt können Sie Microsoft Sentinel Arbeitsmappen direkt im Microsoft Defender-Portal erstellen und bearbeiten. Diese Verbesserung optimiert Ihren Workflow, ermöglicht es Ihnen, Ihre Arbeitsmappen effizienter zu verwalten und die Arbeitsmappenerfahrung enger an die Oberfläche im Azure-Portal auszurichten.

Microsoft Sentinel Arbeitsmappen basieren auf Azure Monitor Arbeitsmappen und helfen Ihnen, die in Microsoft Sentinel aufgenommenen Daten zu visualisieren und zu überwachen. Arbeitsmappen fügen Tabellen und Diagramme mit Analysen für Ihre Protokolle und Abfragen zu den bereits verfügbaren Tools hinzu.

Arbeitsmappen sind im Defender-Portal unter Microsoft Sentinel > Threat Management > Workbooks verfügbar. Weitere Informationen finden Sie unter Visualisieren und überwachen Sie Ihre Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.

Juli 2025

Microsoft Sentinel-Datensee

Microsoft Sentinel wird jetzt mit einem modernen Data Lake erweitert, der speziell entwickelt wurde, um das Datenmanagement zu optimieren, Kosten zu senken und die KI-Einführung für Sicherheitsbetriebsteams zu beschleunigen. Der neue Microsoft Sentinel Data Lake bietet kostengünstigen, langfristigen Speicher, wodurch die Wahl zwischen Erschwinglichkeit und robuster Sicherheit vermieden werden muss. Sicherheitsteams gewinnen tiefere Sichtbarkeit und schnellere Vorfallauflösung, alles in der vertrauten Microsoft Sentinel Erfahrung, die durch die nahtlose Integration mit erweiterten Datenanalysetools erweitert wurde.

Die wichtigsten Vorteile des Microsoft Sentinel Data Lake sind: +Einzelne, open-formatierte Datenkopie für effiziente und kostengünstige Speicherung +Trennung von Speicherung und Berechnung für höhere Flexibilität +Unterstützung mehrerer Analyse-Engines, um tiefere Einblicke aus Ihren Sicherheitsdaten zu gewinnen +Natürliche Integration mit Microsoft Sentinel, einschließlich der Möglichkeit, das Tiering für Protokolldaten über Analyse- und Seestufen hinweg auszuwählen. Weitere Informationen finden Sie unter

Erkunden Sie den Datensee mithilfe von KQL-Abfragen, oder verwenden Sie das neue Microsoft Sentinel Data Lake-Notizbuch für VS Code, um Ihre Daten zu visualisieren und zu analysieren.

Weitere Informationen finden Sie unter:

Tabellenverwaltungs- und Aufbewahrungseinstellungen im Microsoft Defender-Portal

Tabellenverwaltungs- und Aufbewahrungseinstellungen sind jetzt in den Microsoft Defender Portalen verfügbar. Sie können Tabelleneinstellungen im Microsoft Defender-Portal anzeigen und verwalten, einschließlich Aufbewahrungseinstellungen für Microsoft Sentinel- und Defender XDR-Tabellen, und zwischen Analyse- und Data Lake-Ebenen wechseln.

Weitere Informationen finden Sie unter:

Integration der Microsoft Sentinel Data Lake-Berechtigungen mit dem einheitlichen RBAC von Microsoft Defender XDR

Ab Juli 2025 werden die Berechtigungen für Microsoft Sentinel Data Lake über vereinheitlichtes RBAC von Microsoft Defender XDR bereitgestellt. Die Unterstützung für einheitliche RBAC ist zusätzlich zur Unterstützung verfügbar, die von globalen Microsoft Entra ID rollen bereitgestellt wird.

Weitere Informationen finden Sie unter:

Nur für neue Kunden: Automatisches Onboarding und Umleitung zum Microsoft Defender-Portal

Für dieses Update sind neue Microsoft Sentinel-Kunden Kunden, die den ersten Arbeitsbereich in ihrem Mandanten bei Microsoft Sentinel einrichten am oder nach dem 1. Juli 2025.

Ab dem 1. Juli 2025 werden neukunden, die über Berechtigungen als Abonnement-Eigentümer oder als Benutzerzugriffsadministrator verfügen und nicht als Azure Lighthouse-Delegierte auftreten, ihre Arbeitsbereiche automatisch in das Defender-Portal eingebunden und in Microsoft Sentinel integriert. Benutzer solcher Arbeitsbereiche, die auch nicht Azure Lighthouse delegierte Benutzer sind, sehen Links in Microsoft Sentinel im Azure Portal, die sie an das Defender-Portal umleiten. Solche Benutzer verwenden nur Microsoft Sentinel im Defender-Portal.

Screenshot der Umleitungslinks im Azure Portal zum Defender-Portal.

Neue Kunden, die nicht über relevante Berechtigungen verfügen, werden nicht automatisch für das Defender-Portal angemeldet. Sie sehen jedoch weiterhin Umleitungslinks im Azure-Portal, zusammen mit Aufforderungen, einen Benutzer mit relevanten Berechtigungen das Workspace manuell für das Defender-Portal zu registrieren.

Diese Änderung optimiert den Onboardingprozess und stellt sicher, dass neue Kunden sofort die einheitlichen Security Operations-Funktionen nutzen können, ohne den zusätzlichen Schritt des manuellen Onboardings ihrer Arbeitsbereiche durchzuführen.

Weitere Informationen finden Sie unter:

Keine Beschränkung für die Anzahl der Arbeitsbereiche, die Sie in das Defender-Portal integrieren können

Es gibt keine Beschränkung mehr für die Anzahl von Arbeitsbereichen, die Sie in das Defender-Portal integrieren können.

Einschränkungen gelten weiterhin für die Anzahl der Arbeitsbereiche, die Sie in eine Log Analytics Abfrage einschließen können, und in der Anzahl der Arbeitsbereiche, die Sie in eine geplante Analyseregel einbeziehen können oder sollten.

Weitere Informationen finden Sie unter:

Microsoft Sentinel im Azure-Portal wird im Juli 2026 eingestellt.

Microsoft Sentinel ist general im Microsoft Defender Portal verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal verwenden können, auch wenn Sie keine anderen Microsoft Defender Dienste verwenden.

Ab July 2026 werden Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure Portal verwenden, werden automatisch umgeleitet.

Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang sicherzustellen und die unifizierten Sicherheitsvorgänge zu nutzen, die von Microsoft Defender angeboten werden.

Weitere Informationen finden Sie unter:

Juni 2025

Codeless Connector Platform (CCP) wurde in Codeless Connector Framework (CCF) umbenannt.

Die Microsoft Sentinel Codeless Connector Platform (CCP) wurde in Codeless Connector Framework (CCF) umbenannt. Der neue Name spiegelt die Entwicklung der Plattform wider und vermeidet Verwirrung mit anderen plattformorientierten Diensten und bietet weiterhin die gleiche Benutzerfreundlichkeit und Flexibilität, die benutzer erwarten.

Weitere Informationen finden Sie unter Create a codeless connector for Microsoft Sentinel.

Konsolidierte Microsoft Sentinel Datenkonnektorreferenz

Wir haben die Verbinderreferenzdokumentation konsolidiert, wobei die separaten Verbinderartikel in einer einzigen, umfassenden Referenztabelle zusammengeführt werden.

Sie finden den neuen Verweis auf den Konnektor unter Microsoft Sentinel-Datenkonnektoren. Weitere Informationen finden Sie unter Einen konfigurationsfreien Connector erstellen und Das Potenzial des Microsoft Sentinel Codeless Connector Frameworks nutzen und mehr mit Microsoft Sentinel schneller tun.

Zusammenfassungsregelvorlagen sind jetzt in der öffentlichen Vorschau

Sie können jetzt Zusammenfassungsregelvorlagen verwenden, um vordefinierte Zusammenfassungsregeln bereitzustellen, die auf allgemeine Sicherheitsszenarien zugeschnitten sind. Diese Vorlagen helfen Ihnen, große Datasets effizient zu aggregieren und zu analysieren, benötigen keine umfassende Expertise, reduzieren Sie die Einrichtungszeit und stellen Sie bewährte Methoden sicher. Weitere Informationen finden Sie unter Aggregate Microsoft Sentinel Daten mit Zusammenfassungsregeln (Vorschau).

Mai 2025

Alle Microsoft Sentinel Anwendungsfälle, die allgemein im Defender-Portal verfügbar sind

Alle Microsoft Sentinel Anwendungsfälle, die allgemein verfügbar sind, einschließlich multitenant und multi-workspace Funktionen und Unterstützung für alle staatlichen und kommerziellen Clouds, sind nun auch im Defender-Portal allgemein verfügbar.

Es wird empfohlen, Ihre Arbeitsbereiche in das Defender-Portal zu integrieren , um einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter:

Weitere Informationen finden Sie unter:

Einheitliche IdentityInfo-Tabelle

Kunden von Microsoft Sentinel im Defender-Portal, die UEBA aktiviert haben, können jetzt eine neue Version des Abschnitts IdentityInfo nutzen, die sich in der Advanced-Suche Befindet, die den größtmöglichen Satz von Feldern enthält, die sowohl für die Defender- als auch Azure Portale gemeinsam sind. Diese einheitliche Tabelle trägt dazu bei, Ihre Sicherheitsuntersuchungen im gesamten Defender-Portal zu erweitern.

Weitere Informationen finden Sie in der Tabelle "IdentityInfo".

Ergänzungen zur SOC-Optimierungsunterstützung (Vorschau)

SOC-Optimierungsunterstützung für:

  • KI-Taggingempfehlungen von MITRE ATT&CK (Vorschau): Nutzt künstliche Intelligenz, um Vorschläge für das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken zu machen.
  • Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.

Weitere Informationen finden Sie unter SOC-Optimierungsreferenz.

April 2025

Microsoft Sentinel Lösung für Microsoft Business Apps allgemein im Azure-Portal verfügbar

Die Microsoft Sentinel-Lösung für Microsoft Business Apps ist jetzt im Azure-Portal allgemein verfügbar.

Sicherheits-Copilot generiert Vorfallzusammenfassungen in Microsoft Sentinel im Azure-Portal (Vorschau)

Microsoft Sentinel im Azure-Portal verfügt jetzt (im Vorschau-Modus) über von Security Copilot generierte Vorfallzusammenfassungen, was es in Einklang mit dem Defender-Portal bringt. Diese Zusammenfassungen geben Ihren Sicherheitsanalysten die vorab benötigten Informationen, um schnell zu verstehen, zu triagen und mit der Untersuchung von Vorfällen zu beginnen.

Weitere Informationen finden Sie unter Microsoft Sentinel-Zwischenfälle mit Security Copilot zusammenfassen.

Unterstützung für mehrere Arbeitsbereiche und multitenant-Unterstützung für Microsoft Sentinel im Defender-Portal (Vorschau)

Stellen Sie für die Vorschau im Defender-Portal eine Verbindung mit einem primären Arbeitsbereich und mehreren sekundären Arbeitsbereichen für Microsoft Sentinel her. Wenn Sie Microsoft Sentinel mit Defender XDR integrieren, werden die Warnungen eines primären Arbeitsbereichs mit Defender XDR-Daten korreliert. Vorfälle umfassen also Warnungen aus dem primären Arbeitsbereich Microsoft Sentinel und Defender XDR. Alle anderen integrierten Arbeitsbereiche werden als sekundäre Arbeitsbereiche betrachtet. Vorfälle werden basierend auf den Daten des Arbeitsbereichs erstellt und enthalten keine Defender XDR-Daten.

  • Wenn Sie beabsichtigen, Microsoft Sentinel im Defender-Portal ohne Defender XDR zu verwenden, können Sie mehrere Arbeitsbereiche verwalten. Der primäre Arbeitsbereich enthält jedoch keine Defender XDR-Daten, und Sie haben keinen Zugriff auf die Funktionen von Defender XDR.
  • Wenn Sie mit mehreren Mandanten und mehreren Arbeitsbereichen pro Mandant arbeiten, können Sie auch die Microsoft Defender Multimandantenverwaltung verwenden, um Vorfälle und Warnungen anzuzeigen und Daten in der Funktion "Advanced Hunting" sowohl in mehreren Arbeitsbereichen als auch in Mandanten zu suchen.

Weitere Informationen finden Sie in den folgenden Artikeln:

Microsoft Sentinel nimmt jetzt alle STIX-Objekte und -Indikatoren in neue Bedrohungserkennungstabellen ein (Vorschau)

Microsoft Sentinel nimmt nun STIX-Objekte und -Indikatoren in die neuen Bedrohungserkennungstabellen ein, ThreatIntelIndicators und ThreatIntelObjects. Die neuen Tabellen unterstützen das neue STIX 2.1-Schema, mit dem Sie verschiedene Bedrohungserkennungsobjekte aufnehmen und abfragen können, einschließlich identity, attack-pattern, threat-actorund relationship.

Microsoft Sentinel wird alle Bedrohungsinformationen in die neuen Tabellen ThreatIntelIndicators und ThreatIntelObjects aufnehmen, während dieselben Daten bis zum 31. Juli 2025 weiterhin in die alte Tabelle ThreatIntelligenceIndicator aufgenommen werden.

Aktualisieren Sie ihre benutzerdefinierten Abfragen, Analyse- und Erkennungsregeln, Arbeitsmappen und Automatisierung, um die neuen Tabellen bis zum 31. Juli 2025 zu verwenden. Nach diesem Datum beendet Microsoft Sentinel das Aufnehmen von Daten in die Legacytabelle ThreatIntelligenceIndicator. Wir aktualisieren alle sofort einsatzbereiten Lösungen für die Bedrohungserkennung im Inhaltshub, um die neuen Tabellen zu nutzen.

Weitere Informationen finden Sie in den folgenden Artikeln:

SOC-Optimierungsunterstützung für nicht verwendete Spalten (Vorschau)

Um das Verhältnis Ihrer Kosten mit den Sicherheitswerten zu optimieren, werden bei der SOC-Optimierung selten verwendete Datenconnectors oder Tabellen aufgedeckt. Die SOC-Optimierung zeigt jetzt nicht verwendete Spalten in Ihren Tabellen an. Weitere Informationen finden Sie in der Referenz zu SOC-Optimierungsempfehlungen.

März 2025

Agentlose Verbindung mit SAP jetzt in der öffentlichen Vorschau

Der Microsoft Sentinel agentenlose Datenkonnektor für SAP und zugehörige Sicherheitsinhalte ist nun als öffentliche Vorschauversion in der Lösung für SAP-Anwendungen enthalten. Dieses Update enthält auch die folgenden Verbesserungen für den agentlosen Datenconnector:

Weitere Informationen finden Sie unter:

Januar 2025

Bedrohungsintelligenz-Feeds mit Erfassungsregeln optimieren

Optimieren Sie Threat Intelligence-Feeds, indem Sie Objekte filtern und anreichern, bevor sie an Ihren Arbeitsbereich übermittelt werden. Erfassungsregeln aktualisieren Attribute von Threat Intelligence-Objekten oder filtern Objekte vollständig heraus. Sehen Sie sich hier die Ankündigung an.

Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence-Erfassungsregeln.

Abgleichsanalyseregel jetzt allgemein verfügbar (GA)

Microsoft bietet Zugriff auf Premium-Threat Intelligence über die Threat Intelligence-Analyseregel von Defender, die jetzt allgemein verfügbar ist (GA). Weitere Informationen zum Verwenden dieser Regel, die Warnungen und Incidents mit hoher Genauigkeit generiert, finden Sie unter Verwenden von Abgleichsanalysen zum Erkennen von Bedrohungen.

Threat Intelligence-Verwaltungsschnittstelle wurde verschoben

Die Bedrohungserkennung für Microsoft Sentinel im Defender-Portal hat sich geändert! Wir haben die Seite in Intel-Verwaltung umbenannt und mit anderen Threat Intelligence-Workflows verschoben. Es gibt keine Änderung für Kunden, die Microsoft Sentinel in der Azure Erfahrung verwenden.

Screenshot mit neuer Menüplatzierung für Microsoft Sentinel Threat Intelligence.

Verbesserungen an den Funktionen für die Bedrohungserkennung sind für Kunden verfügbar, die beide Microsoft Sentinel Erfahrungen verwenden. Die Verwaltungsschnittstelle optimiert die Erstellung und Zusammenstellung von Threat Intelligence mit den folgenden wichtigen Features:

  • Definieren Sie Beziehungen beim Erstellen neuer STIX-Objekte.
  • Stellen Sie vorhandene Threat Intelligence mit dem neuen Beziehungs-Generator zusammen.
  • Erstellen Sie schnell mehrere Objekte, indem Sie allgemeine Metadaten aus einem neuen oder vorhandenen TI-Objekt mithilfe einer Duplizierungsfunktion kopieren.
  • Verwenden Sie die erweiterte Suche, um Ihre Bedrohungserkennungsobjekte zu sortieren und zu filtern, ohne sogar eine Log Analytics Abfrage zu schreiben.

Weitere Informationen finden Sie in den folgenden Artikeln:

Freischalten der erweiterten Bedrohungssuche mit neuen STIX-Objekten, indem Sie neue Threat Intelligence-Tabellen aktivieren

Tabellen, die das neue STIX-Objektschema unterstützen, sind nicht öffentlich verfügbar. Um Threat Intelligence für STIX-Objekte mit KQL abzufragen und das Suchmodell freizuschalten, das sie verwendet, fordern Sie mit diesem Formular eine Registrierung an. Integrieren Sie Ihre Threat Intelligence mit diesem Opt-in-Verfahren in die neuen Tabellen ThreatIntelIndicators und ThreatIntelObjects, zusammen mit oder anstelle der aktuellen Tabelle ThreatIntelligenceIndicator.

Weitere Informationen finden Sie in der Blogankündigung Neue STIX-Objekte in Microsoft Sentinel.

Die Upload-API für Threat Intelligence unterstützt jetzt mehr STIX-Objekte.

Nutzen Sie Ihre Bedrohungserkennungsplattformen, wenn Sie sie mit der Upload-API mit Microsoft Sentinel verbinden. Jetzt können Sie mehr Objekte aufnehmen als nur Indikatoren, wodurch die verschiedenen verfügbaren Threat Intelligence-Möglichkeiten widergespiegelt werden. Die Upload-API unterstützt die folgenden STIX-Objekte:

  • indicator
  • attack-pattern
  • identity
  • threat-actor
  • relationship

Weitere Informationen finden Sie in den folgenden Artikeln:

Microsoft Defender Threat Intelligence-Datenverbinder jetzt allgemein verfügbar (GA)

Sowohl Premium- als auch Standard-Microsoft Defender Threat Intelligence-Daten-Connectors sind jetzt allgemein verfügbar (GA) im Content Hub. Weitere Informationen finden Sie in den folgenden Artikeln:

Bicep Dateiunterstützung für Repositorys (Vorschau)

Verwenden Sie Bicep Dateien zusammen oder als Ersatz von ARM-JSON-Vorlagen in Microsoft Sentinel Repositorys. Bicep bietet eine intuitive Möglichkeit zum Erstellen von Vorlagen für Azure-Ressourcen und Microsoft Sentinel-Inhaltsobjekte. Nicht nur ist es einfacher, neue Inhaltselemente zu entwickeln, Bicep erleichtert das Überprüfen und Aktualisieren von Inhalten für alle, die Teil der kontinuierlichen Integration und Bereitstellung Ihrer Microsoft Sentinel Inhalte sind.

Weitere Informationen finden Sie unter Planen Ihres Repositoryinhalts.

SOC-Optimierungsupdates für eine einheitliche Abdeckungsverwaltung

In Arbeitsbereichen, die in das Defender-Portal integriert sind, unterstützen SOC-Optimierungen jetzt SOWOHL SIEM- als auch XDR-Daten mit Erkennungsabdeckung über Microsoft Defender Dienste hinweg.

Im Defender-Portal bieten die Seiten SOC-Optimierungen und MITRE ATT&CK jetzt auch zusätzliche Funktionen für eine bedrohungsbasierte Optimierung der Abdeckung, um die Auswirkungen der Empfehlungen auf Ihre Umgebung besser zu erläutern und Sie bei der Priorisierung der Implementierung zu unterstützen.

Zu den Verbesserungen gehören:

Bereich Einzelheiten
SOC-Optimierungen: Übersichtsseite – Der Score High, Medium oder Low für Ihre aktuelle Erkennungsabdeckung. Diese Bewertung kann Ihnen dabei helfen, zu entscheiden, welche Empfehlungen priorisiert werden sollten.

- Ein Hinweis auf die Anzahl der aktiven Microsoft Defender Produkte (Dienstleistungen) aus allen verfügbaren Produkten. Dies hilft Ihnen zu verstehen, ob in Ihrer Umgebung ein ganzes Produkt fehlt.
Der Seitenbereich Optimierungsdetails.
wird angezeigt, wenn Sie einen Drilldown zu einer bestimmten Optimierung ausführen		 - Detaillierte Abdeckungsanalyse, einschließlich der Anzahl der benutzerdefinierten Erkennungen, Antwortaktionen und Produkte, die Sie aktiviert haben.

- Detaillierte Netzdiagramme, die Ihre Abdeckung über verschiedene Bedrohungskategorien hinweg zeigen, sowohl für benutzerdefinierte als auch für sofort einsatzbereite Erkennungen.

- Eine Option, um zum spezifischen Bedrohungsszenario auf der Seite MITRE ATT&CK zu springen, anstatt die MITRE ATT&CK-Abdeckung nur im Seitenbereich anzuzeigen.

– Eine Option zum Anzeigen des vollständigen Bedrohungsszenarios, um weitere Details zu den sicherheitsrelevanten Produkten und Erkennungen anzuzeigen, die zur Sicherheitsabdeckung in Ihrer Umgebung verfügbar sind.
MITRE ATT&CK-Seite – Eine neue Umschaltfläche, um die Abdeckung nach Bedrohungsszenario anzuzeigen. Wenn Sie entweder vom Seitenbereich der Empfehlungsdetails oder von der Seite Vollständige Bedrohungsszenarios anzeigen zur MITRE ATT&CK-Seite gesprungen sind, ist die MITRE ATT&CK-Seite für Ihr Bedrohungsszenario vorgefiltert.

- Der Bereich Technische Details, der auf der Seite angezeigt wird, wenn Sie eine bestimmte MITRE ATT&CK-Technik auswählen, zeigt nun die Anzahl der aktiven Erkennungen aller verfügbaren Erkennungen für diese Technik an.

Weitere Informationen finden Sie unter Optimieren Sie Ihre Sicherheitsoperationen und Verstehen Sie die Sicherheitsabdeckung durch das MITRE ATT&CK-Rahmenwerk.

Anzeigen präziser Lösungsinhalte im Microsoft Sentinel Inhaltshub

Sie können jetzt die einzelnen Inhalte, die in einer bestimmten Lösung verfügbar sind, direkt über den Inhaltshub anzeigen, und zwar auch, bevor Sie die Lösung installiert haben. Diese neue Sichtbarkeit hilft Ihnen, die für Sie verfügbaren Inhalte zu verstehen und die benötigten spezifischen Lösungen einfacher zu identifizieren, zu planen und zu installieren.

Erweitern Sie jede Lösung im Inhaltshub, um enthaltene Sicherheitsinhalte anzuzeigen. Zum Beispiel:

Screenshot: Granulare Inhalte.

Die Aktualisierungen der granularen Lösungsinhalte umfassen auch eine auf generativer KI basierende Suchmaschine, die Ihnen hilft, zuverlässigere Suchvorgänge auszuführen, indem sie tief in den Lösungsinhalt eintaucht und Ergebnisse für ähnliche Begriffe zurückgibt.

Weitere Informationen finden Sie unter Entdecken von Inhalten.

Nächste Schritte

Azure Sentinel einbinden

Einblick in Warnungen

  • Last updated on