Novedades de Microsoft Azure Sentinel

En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel.

Las características enumeradas se publicaron en los últimos tres meses. Para más información sobre las características anteriores, consulte los blogs de Tech Community.

Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/sentinel/rss

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Abril de 2024

• Plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender (versión preliminar)
• Microsoft Sentinel ya está generalmente disponible (GA) en Azure China 21Vianet
• Se han interrumpido dos detecciones de anomalías
• Microsoft Sentinel ya está disponible en la región Norte de Italia

Plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender (versión preliminar)

Ya está disponible la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Esta versión reúne todas las funciones de Microsoft Sentinel, Microsoft Defender XDR y Microsoft Copilot en Microsoft Defender. Para obtener más información, consulte los siguientes recursos:

• .Anuncio en el blog: Plataforma unificada de operaciones de seguridad con Microsoft Sentinel y Microsoft Defender XDR
• Microsoft Sentinel en el portal de Microsoft Defender
• Conectar Microsoft Sentinel a Microsoft Defender XDR
• Microsoft Security Copilot Microsoft Defender XDR

Microsoft Sentinel ya está generalmente disponible (GA) en Azure China 21Vianet

Microsoft Sentinel ya está disponible de forma general (GA) en Azure China 21Vianet. Es posible que algunas funciones aún estén en fase de versión preliminar pública, como se indica en Compatibilidad de las funciones de Microsoft Sentinel con Azure y otras nubes comerciales.

Para obtener más información, consulte también Disponibilidad geográfica y residencia de datos en Microsoft Sentinel.

Se han interrumpido dos detecciones de anomalías

Las siguientes detecciones de anomalías están interrumpidas desde el 26 de marzo de 2024 debido a una baja calidad de los resultados:

• Anomalía de Palo Alto de reputación de dominio
• Inicios de sesión en varias regiones en un solo día a través de Palo Alto GlobalProtect

Para obtener la lista completa de detecciones de anomalías, consulte la página de referencia de anomalías.

Microsoft Sentinel ya está disponible en la región Norte de Italia

Microsoft Sentinel ya está disponible en la región de Azure Norte de Italia con el mismo conjunto de características que todas las demás regiones comerciales de Azure que se enumeran en Compatibilidad con características de Microsoft Sentinel para nubes comerciales y otras nubes de Azure.

Para obtener más información, consulte también Disponibilidad geográfica y residencia de datos en Microsoft Sentinel.

Marzo de 2024

• La experiencia de migración a SIEM ya está disponible de forma general (GA)
• Ya está disponible el conector de Amazon Web Services S3 con carácter general (GA)
• Generador de conectores sin código (versión preliminar)
• Conectores de datos para Syslog y CEF basados en el agente de Azure Monitor ahora disponibles con carácter general (GA)

La experiencia de migración a SIEM ya está disponible de forma general (GA)

A principios de mes anunciamos el avance de la migración a SIEM. Ahora, a finales de mes, ¡ya es AG! La nueva experiencia de migración de Microsoft Sentinel ayuda a los clientes y socios a automatizar el proceso de migración de sus casos de uso de supervisión de la seguridad alojados en productos ajenos a Microsoft a Microsoft Sentinel.

• Esta primera versión de la herramienta admite migraciones desde Splunk

Para más información, consulte Migración a Microsoft Sentinel con la experiencia de migración de SIEM

Únase a nuestra comunidad de seguridad en un seminario web en el que se mostrará la experiencia de migración a SIEM el 2 de mayo de 2024.

Ya está disponible el conector de Amazon Web Services S3 con carácter general (GA)

Microsoft Sentinel ha publicado el conector de datos de AWS S3 para disponibilidad general (GA). Puede usar este conector para ingerir registros de varios servicios de AWS en Microsoft Sentinel mediante un bucket de S3 y el servicio simple de puesta en cola de mensajes de AWS.

Junto con esta versión, la configuración de este conector ha cambiado ligeramente para los clientes de Azure Commercial Cloud. La autenticación de usuarios en AWS ahora se realiza mediante un proveedor de identidades web de OpenID Connect (OIDC), en lugar de a través del identificador de aplicación de Microsoft Sentinel en combinación con el identificador del área de trabajo del cliente. Los clientes existentes pueden seguir usando su configuración actual por el momento y se le notificará con antelación la necesidad de realizar cualquier cambio.

Para obtener más información sobre el conector de AWS S3, consulte Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro de servicio de AWS

Generador de conectores sin código (versión preliminar)

Ahora tenemos un libro para ayudar a navegar por el JSON complejo implicado en la implementación de una plantilla de ARM para conectores de datos de plataforma de conector sin código (CCP). Use la interfaz fácil de usar del generador de conectores sin código para simplificar el desarrollo.

Consulte nuestra entrada de blog para obtener más detalles, Creación de conectores sin código con el generador de conectores sin código (versión preliminar).

Para obtener más información sobre el generador de conectores sin código, consulte Creación de un conector sin código para Microsoft Sentinel (versión preliminar pública).

Conectores de datos para Syslog y CEF basados en el agente de Azure Monitor ahora disponibles con carácter general (GA)

Microsoft Sentinel ha publicado dos conectores de datos más basados en el agente de Azure Monitor (AMA) con disponibilidad general. Ahora puede usar estos conectores para implementar reglas de recopilación de datos (DCR) en máquinas instaladas por el agente de Azure Monitor para recopilar mensajes de Syslog, incluidos los del formato de evento común (CEF).

Para más información sobre los conectores Syslog y CEF, consulte Ingesta de registros de Syslog y CEF con el agente de Azure Monitor.

Febrero de 2024

• Versión preliminar disponible de la solución Microsoft Sentinel para Microsoft Power Platform
• Nuevo conector basado en Pub/Sub de Google para ingerir conclusiones de Security Command Center (versión preliminar)
• Tareas de incidente ahora disponibles con carácter general (GA)
• Los conectores de datos de AWS y GCP ahora admiten nubes de Azure Government
• Los eventos DNS de Windows a través del conector AMA ya están disponibles de forma general (GA)

Versión preliminar disponible de la solución Microsoft Sentinel para Microsoft Power Platform

La solución Microsoft Sentinel para Power Platform (versión preliminar) le permite supervisar y detectar actividades sospechosas o malintencionadas en su entorno de Power Platform. La solución recopila registros de actividad de los diferentes componentes de Power Platform y datos de inventario. Analiza esos registros de actividad para detectar amenazas y actividades sospechosas, como las siguientes:

• Ejecución de Power Apps desde zonas geográficas no autorizadas
• Destrucción sospechosa de datos por parte de Power Apps
• Eliminación masiva de Power Apps
• Ataques de suplantación de identidad (phishing) posibles a través de Power Apps
• Actividad de flujos de Power Automate mediante la salida de los empleados
• Conectores de Microsoft Power Platform agregados al entorno
• Actualización o eliminación de directivas de prevención de pérdida de datos de Microsoft Power Platform

Busque esta solución en el centro de contenido de Microsoft Sentinel.

Para más información, vea:

• Introducción a la solución Microsoft Sentinel para Microsoft Power Platform
• Solución Microsoft Sentinel para Microsoft Power Platform: referencia de contenido de seguridad
• Implementación de la solución Microsoft Sentinel para Microsoft Power Platform

Nuevo conector basado en Pub/Sub de Google para ingerir conclusiones de Security Command Center (versión preliminar)

Ahora puede ingerir registros desde Security Command Center de Google mediante el nuevo conector basado en Pub/Sub de Google Cloud Platform (GCP) (ahora en versión preliminar).

Security Command Center de Google Cloud Platform (GCP) es una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Proporciona características como el inventario de recursos y la detección, la detección de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos. Estas funcionalidades le ayudan a obtener información y control sobre la posición de seguridad y la superficie expuesta a ataques de datos de la organización, y mejoran la capacidad para controlar eficazmente las tareas relacionadas con los resultados y los recursos.

La integración con Microsoft Sentinel le permite tener visibilidad y control sobre todo el entorno multinube desde un "panel único".

• Obtenga información sobre cómo configurar el nuevo conector e ingerir eventos desde Security Command Center de Google.

Las tareas de incidente ahora están disponibles con carácter general (GA)

Las tareas de incidentes, que le ayudan a estandarizar las prácticas de investigación y respuesta de incidentes para que pueda administrar de forma más eficaz el flujo de trabajo de incidentes, ahora están disponibles con carácter general (GA) en Microsoft Sentinel.

• Obtenga más información sobre las tareas de incidentes en la documentación de Microsoft Sentinel:

  • Uso de tareas para administrar incidentes en Microsoft Sentinel
  • Trabajo con tareas de incidentes en Microsoft Sentinel
  • Auditar y realizar un seguimiento de los cambios en las tareas de incidentes en Microsoft Sentinel

• Consulte esta entrada de blog de Benji Kovacevic que muestra cómo puede usar tareas de incidentes en combinación con listas de reproducción, reglas de automatización y cuadernos de estrategias para crear una solución de administración de tareas con dos partes:

  • Un repositorio de tareas de incidentes.
  • Un mecanismo que asocia automáticamente tareas a incidentes recién creados, según el título del incidente, y los asigna al personal adecuado.

Los conectores de datos de AWS y GCP ahora admiten nubes de Azure Government

Los conectores de datos de Microsoft Sentinel para Amazon Web Services (AWS) y Google Cloud Platform (GCP) ahora incluyen configuraciones auxiliares para ingerir datos en áreas de trabajo en nubes de Azure Government.

Las configuraciones de estos conectores para los clientes de Azure Government difieren ligeramente de la configuración de la nube pública. Consulte la documentación pertinente para más información:

• Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS
• Ingesta de datos de registro de Google Cloud Platform en Microsoft Sentinel

Los eventos DNS de Windows a través del conector AMA ya están disponibles de forma general (GA)

Los eventos DNS de Windows ya pueden ser ingeridos en Microsoft Sentinel usando el agente de Azure Monitor con el conector de datos ya disponible de forma general. Este conector le permite definir reglas de recopilación de datos (DCR) y filtros potentes y complejos para ingerir solo los registros DNS y campos específicos que necesite.

• Para obtener más información, consulte Transmisión y filtrado de datos de servidores DNS de Windows con el conector de AMA.

Enero de 2024

Reducción de falsos positivos en sistemas SAP con reglas de análisis

Reducción de falsos positivos en sistemas SAP con reglas de análisis

Use reglas de análisis junto con la Solución Microsoft Sentinel para aplicaciones SAP® para reducir el número de falsos positivos desencadenados desde los sistemas SAP®. La Solución Microsoft Sentinel para aplicaciones SAP® incluye actualmente las siguientes mejoras:

• La función SAPUsersGetVIP ahora admite la exclusión de usuarios según sus roles o perfiles dados por SAP.

• La lista de reproducción SAP_User_Config ahora admite el uso de caracteres comodín en el campo SAPUser para excluir a todos los usuarios con una sintaxis específica.

Para más información, consulte la referencia de datos de la Solución Microsoft Sentinel para aplicaciones de SAP® y Control de falsos positivos en Microsoft Sentinel.

Pasos siguientes

Incorporación de Azure Sentinel

Obtención de visibilidad sobre las alertas