En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel.
Las características enumeradas se publicaron en los últimos tres meses. Para más información sobre las características anteriores, consulte los blogs de Tech Community.
Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/sentinel/rss
Disponibilidad de Microsoft Sentinel en el portal de Microsoft Defender
Anteriormente anunciamos que Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel ahora está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para más información, vea:
Asignación de esquema agregada a la experiencia de migración de SIEM
Desde que la experiencia de migración de SIEM estuvo disponible de forma generalizada en mayo de 2024, se han realizado mejoras constantes para ayudar a migrar su supervisión de seguridad desde Splunk. Las siguientes características nuevas permiten a los clientes proporcionar más detalles contextuales sobre su entorno de Splunk y su uso en el motor de traducción de migración SIEM de Microsoft Sentinel:
Asignación de esquemas
Compatibilidad con macros de Splunk en la traducción
Compatibilidad con las búsquedas de Splunk en la traducción
Widgets de enriquecimiento de terceros que se retirarán en febrero de 2025
Efectivo inmediatamente, ya no puede habilitar la característica para crear widgets de enriquecimiento que recuperen datos de orígenes de datos externos y de terceros. Estos widgets se muestran en las páginas de entidades de Microsoft Sentinel y en otras ubicaciones donde se presenta la información de la entidad. Este cambio se produce porque ya no se puede crear el almacén de claves de Azure necesario para acceder a estos orígenes de datos externos.
Si ya usa widgets de enriquecimiento de terceros, es decir, si este almacén de claves ya existe, todavía puede configurar y usar widgets que no estaba usando antes, aunque no se recomienda hacerlo.
A partir de Febrero de 2025, los widgets de enriquecimiento existentes que recuperen datos de orígenes de terceros dejarán de mostrarse, en páginas de entidad o en cualquier otro lugar.
Si su organización usa widgets de enriquecimiento de terceros, se recomienda deshabilitarlos de antemano mediante la eliminación del almacén de claves que creó para este propósito desde su grupo de recursos. El nombre del almacén de claves comienza por "widgets".
Los widgets de enriquecimiento basados en orígenes de datos propios no se ven afectados por este cambio y seguirán funcionando como antes. Los "orígenes de datos de primera entidad" incluyen los datos que ya se han ingerido en Microsoft Sentinel desde orígenes externos (es decir, cualquier cosa de las tablas del área de trabajo de Log Analytics) e Inteligencia sobre amenazas de Microsoft Defender.
Planes de compra anticipada disponibles actualmente para Microsoft Sentinel
Los planes de compra anticipada son un tipo de reserva de Azure. Al comprar un plan de compra anticipada, obtendrá unidades de confirmación (CU) en niveles con descuento para un producto concreto. Las unidades de confirmación (SCU) de Microsoft Sentinel se aplican a los costos elegibles en el área de trabajo. Cuando tenga costos predecibles, la elección del plan de compra anticipada adecuado ahorra dinero.
Importación y exportación de reglas de automatización ahora disponibles con carácter general (GA)
La capacidad de exportar reglas de automatización a plantillas de Azure Resource Manager (ARM) en formato JSON y importarlas desde plantillas de ARM ahora está disponible con carácter general después de un breve período de versión preliminar.
El Conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.
El Conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila conclusiones de Google Security Command Center, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluido el inventario y la detección de activos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.
Microsoft Sentinel ya está generalmente disponible (GA) en Azure Centro de Israel
Microsoft Sentinel ya está disponible en la región de Azure Centro de Israel, con el mismo conjunto de características que todas las demás regiones comerciales de Azure.
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Si ha usado el agente de Log Analytics en la implementación de Microsoft Sentinel, se recomienda completar la migración al agente de Azure Monitor (AMA).
Reglas de automatización de exportación e importación (Vista previa)
Administre las reglas de automatización de Microsoft Sentinel como código. Ahora puede exportar las reglas de automatización a los archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos, como parte del programa para administrar y controlar las implementaciones de Microsoft Sentinel como código. La acción de exportación creará un archivo JSON en la ubicación de descargas del explorador, que puede cambiar el nombre, mover y, de lo contrario, controlar como cualquier otro archivo.
El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.
El archivo incluye todos los parámetros definidos en la regla de automatización. Las reglas de cualquier tipo de desencadenador se pueden exportar a un archivo JSON.
Compatibilidad de Microsoft Sentinel con la administración multiinquilino de Microsoft Defender (versión preliminar)
Si ha incorporado Microsoft Sentinel a la plataforma de operaciones de seguridad unificada de Microsoft, los datos de Microsoft Sentinel ahora están disponibles con los datos de XDR de Defender en la administración multiinquilino de Microsoft Defender. Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en la plataforma de operaciones de seguridad unificada de Microsoft. Por lo tanto, la administración multiinquilino de Microsoft Defender muestra los datos de administración de eventos e información de seguridad (SIEM) de un área de trabajo de Microsoft Sentinel por inquilino. Para obtener más información, consulte Administración multiinquilino de Microsoft Defender y Microsoft Sentinel en el portal de Microsoft Defender.
Conector de datos de inteligencia sobre amenazas de Microsoft Defender Premium (versión preliminar)
Su licencia Premium para inteligencia sobre amenazas de Microsoft Defender (MDTI) ahora desbloquea la capacidad de ingerir todos los indicadores Premium directamente en el área de trabajo. El conector de datos de MDTI Premium agrega más a las funcionalidades de búsqueda e investigación dentro de Microsoft Sentinel.
Conectores unificados basados en AMA para la ingesta de Syslog
Con la retirada inminente del agente de Log Analytics, Microsoft Sentinel ha consolidado la recopilación y la ingesta de mensajes de registro de Syslog, CEF y de formato personalizado en tres conectores de datos de varios propósitos basados en el agente de Azure Monitor (AMA):
Syslog a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla Syslog de Log Analytics.
Formato de evento común (CEF) a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla CommonSecurityLog de Log Analytics.
Nuevo Registros personalizados a través de AMA (versión preliminar)para cualquiera de los 15 tipos de dispositivos, o cualquier dispositivo no incluido en la lista, cuyos registros se ingieren en tablas personalizadas con nombres que terminan en _CL en Log Analytics.
Estos conectores sustituyen a casi todos los conectores existentes para tipos de dispositivos y aparatos individuales que existían hasta ahora, que se basaban en el agente de Log Analytics heredado (también conocido como MMA u OMS) o en el agente de Azure Monitor actual. Las soluciones proporcionadas en el centro de contenidos para todos estos dispositivos y aparatos incluyen ahora cualquiera de estos tres conectores que sea adecuado para la solución.* Los conectores reemplazados se marcan ahora como "En desuso" en la galería de conectores de datos.
Los gráficos de ingesta de datos que antes se encontraban en la página de conectores de cada dispositivo ahora se pueden encontrar en los libros específicos de cada dispositivo empaquetados con la solución de cada dispositivo.
* Al instalar la solución para cualquiera de estas aplicaciones, dispositivos o aparatos, para asegurarse de que está instalado el conector de datos adjunto, debe seleccionar Instalar con dependencias en la página de la solución y, a continuación, marcar el conector de datos en la siguiente página.
Para conocer los procedimientos actualizados para instalar estas soluciones, consulte los siguientes artículos:
Mejor visibilidad de los eventos de seguridad de Windows
Hemos mejorado el esquema de la tabla SecurityEvent que hospeda eventos de seguridad de Windows y hemos agregado nuevas columnas para garantizar la compatibilidad con el Agente de Azure Monitor (AMA) para Windows (versión 1.28.2). Estas mejoras están diseñadas para aumentar la visibilidad y la transparencia de los eventos recopilados de Windows. Si no está interesado en recibir datos en estos campos, puede aplicar una transformación en tiempo de ingesta (por ejemplo, "project-away") para quitarlos.
Nuevo plan de retención de registros auxiliares (versión preliminar)
El nuevo plan de retención de registros auxiliares para tablas de Log Analytics permite ingerir grandes cantidades de registros de gran volumen con un valor complementario para la seguridad a un costo mucho menor. Los registros auxiliares están disponibles con retención interactiva durante 30 días, en los que puede ejecutar consultas simples y de tabla única en ellos, como resumir y agregar los datos. Después de ese período de 30 días, los datos de registro auxiliares van a la retención a largo plazo, que puede definir durante un máximo de 12 años, a un costo ultra bajo. Este plan también le permite ejecutar trabajos de búsqueda en los datos de retención a largo plazo, extrayendo solo los registros que desea usar para una nueva tabla que puede tratar como una tabla normal de Log Analytics, con funcionalidades de consulta completas.
Creación de reglas de resumen en Microsoft Sentinel para grandes conjuntos de datos (versión preliminar)
Microsoft Sentinel ofrece ahora la capacidad de crear resúmenes dinámicos mediante las reglas de resumen de Azure Monitor, que agregan grandes conjuntos de datos en segundo plano para lograr una experiencia más fluida de las operaciones de seguridad en todos los niveles de registro.
Acceda a los resultados de las reglas de resumen mediante el Lenguaje de consulta Kusto (KQL) en las actividades de detección, investigación, búsqueda y creación de informes.
Ejecute consultas de alto rendimiento en Lenguaje de consulta Kusto (KQL) en los datos resumidos.
Use los resultados de reglas de resumen durante períodos más largos en las investigaciones, la búsqueda y las actividades de cumplimiento.