Compartir a través de

Novedades de Microsoft Azure Sentinel

  • Artículo

En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel.

Las características enumeradas se publicaron en los últimos tres meses. Para más información sobre las características anteriores, consulte los blogs de Tech Community.

Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/sentinel/rss

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Septiembre de 2024

Asignación de esquema agregada a la experiencia de migración de SIEM

Desde que la experiencia de migración de SIEM estuvo disponible de forma generalizada en mayo de 2024, se han realizado mejoras constantes para ayudar a migrar su supervisión de seguridad desde Splunk. Las siguientes características nuevas permiten a los clientes proporcionar más detalles contextuales sobre su entorno de Splunk y su uso en el motor de traducción de migración SIEM de Microsoft Sentinel:

  • Asignación de esquemas
  • Compatibilidad con macros de Splunk en la traducción
  • Compatibilidad con las búsquedas de Splunk en la traducción

Para más información sobre estas actualizaciones, consulte Experiencia de migración de SIEM.

Para obtener más información sobre la experiencia de migración de SIEM, consulte los siguientes artículos:

Widgets de enriquecimiento de terceros que se retirarán en febrero de 2025

Efectivo inmediatamente, ya no puede habilitar la característica para crear widgets de enriquecimiento que recuperen datos de orígenes de datos externos y de terceros. Estos widgets se muestran en las páginas de entidades de Microsoft Sentinel y en otras ubicaciones donde se presenta la información de la entidad. Este cambio se produce porque ya no se puede crear el almacén de claves de Azure necesario para acceder a estos orígenes de datos externos.

Si ya usa widgets de enriquecimiento de terceros, es decir, si este almacén de claves ya existe, todavía puede configurar y usar widgets que no estaba usando antes, aunque no se recomienda hacerlo.

A partir de Febrero de 2025, los widgets de enriquecimiento existentes que recuperen datos de orígenes de terceros dejarán de mostrarse, en páginas de entidad o en cualquier otro lugar.

Si su organización usa widgets de enriquecimiento de terceros, se recomienda deshabilitarlos de antemano mediante la eliminación del almacén de claves que creó para este propósito desde su grupo de recursos. El nombre del almacén de claves comienza por "widgets".

Los widgets de enriquecimiento basados en orígenes de datos propios no se ven afectados por este cambio y seguirán funcionando como antes. Los "orígenes de datos de primera entidad" incluyen los datos que ya se han ingerido en Microsoft Sentinel desde orígenes externos (es decir, cualquier cosa de las tablas del área de trabajo de Log Analytics) e Inteligencia sobre amenazas de Microsoft Defender.

Planes de compra anticipada disponibles actualmente para Microsoft Sentinel

Los planes de compra anticipada son un tipo de reserva de Azure. Al comprar un plan de compra anticipada, obtendrá unidades de confirmación (CU) en niveles con descuento para un producto concreto. Las unidades de confirmación (SCU) de Microsoft Sentinel se aplican a los costos elegibles en el área de trabajo. Cuando tenga costos predecibles, la elección del plan de compra anticipada adecuado ahorra dinero.

Para obtener información, consulte Optimización de costos con un plan de compra anticipada.

Importación y exportación de reglas de automatización ahora disponibles con carácter general (GA)

La capacidad de exportar reglas de automatización a plantillas de Azure Resource Manager (ARM) en formato JSON y importarlas desde plantillas de ARM ahora está disponible con carácter general después de un breve período de versión preliminar.

Obtenga más información sobre la exportación e importación de reglas de automatización.

Los conectores de datos de Google Cloud Platform ahora están disponibles con carácter general (GA)

Los conectores de datos de Google Cloud Platform (GCP) de Microsoft Sentinel, basados en nuestra Plataforma de conectores sin código (CCP) ya están disponibles con carácter general. Con estos conectores, puede ingerir registros desde el entorno de GCP mediante la funcionalidad Pub/Sub de GCP:

  • El Conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.

  • El Conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila conclusiones de Google Security Command Center, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluido el inventario y la detección de activos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.

Para obtener más información sobre estos conectores, consulte Ingesta de datos de registro de Google Cloud Platform en Microsoft Sentinel.

Microsoft Sentinel ya está generalmente disponible (GA) en Azure Centro de Israel

Microsoft Sentinel ya está disponible en la región de Azure Centro de Israel, con el mismo conjunto de características que todas las demás regiones comerciales de Azure.

Para obtener más información, consulte la compatibilidad con características de Microsoft Sentinel para nubes comerciales y otras nubes de Azure y disponibilidad geográfica y residencia de datos en Microsoft Sentinel.

Agosto de 2024

Retirada del agente de Log Analytics

El agente de Log Analytics (MMA/OMS) se ha retirado el 31 de agosto de 2024.

La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Si ha usado el agente de Log Analytics en la implementación de Microsoft Sentinel, se recomienda completar la migración al agente de Azure Monitor (AMA).

Para más información, vea:

Reglas de automatización de exportación e importación (Vista previa)

Administre las reglas de automatización de Microsoft Sentinel como código. Ahora puede exportar las reglas de automatización a los archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos, como parte del programa para administrar y controlar las implementaciones de Microsoft Sentinel como código. La acción de exportación creará un archivo JSON en la ubicación de descargas del explorador, que puede cambiar el nombre, mover y, de lo contrario, controlar como cualquier otro archivo.

El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.

El archivo incluye todos los parámetros definidos en la regla de automatización. Las reglas de cualquier tipo de desencadenador se pueden exportar a un archivo JSON.

Obtenga más información sobre la exportación e importación de reglas de automatización.

Compatibilidad de Microsoft Sentinel con la administración multiinquilino de Microsoft Defender (versión preliminar)

Si ha incorporado Microsoft Sentinel a la plataforma de operaciones de seguridad unificada de Microsoft, los datos de Microsoft Sentinel ahora están disponibles con los datos de XDR de Defender en la administración multiinquilino de Microsoft Defender. Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en la plataforma de operaciones de seguridad unificada de Microsoft. Por lo tanto, la administración multiinquilino de Microsoft Defender muestra los datos de administración de eventos e información de seguridad (SIEM) de un área de trabajo de Microsoft Sentinel por inquilino. Para obtener más información, consulte Administración multiinquilino de Microsoft Defender y Microsoft Sentinel en el portal de Microsoft Defender.

Conector de datos de inteligencia sobre amenazas de Microsoft Defender Premium (versión preliminar)

Su licencia Premium para inteligencia sobre amenazas de Microsoft Defender (MDTI) ahora desbloquea la capacidad de ingerir todos los indicadores Premium directamente en el área de trabajo. El conector de datos de MDTI Premium agrega más a las funcionalidades de búsqueda e investigación dentro de Microsoft Sentinel.

Para más información, consulte Inteligencia sobre amenazas.

Conectores unificados basados en AMA para la ingesta de Syslog

Con la retirada inminente del agente de Log Analytics, Microsoft Sentinel ha consolidado la recopilación y la ingesta de mensajes de registro de Syslog, CEF y de formato personalizado en tres conectores de datos de varios propósitos basados en el agente de Azure Monitor (AMA):

  • Syslog a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla Syslog de Log Analytics.
  • Formato de evento común (CEF) a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla CommonSecurityLog de Log Analytics.
  • Nuevo Registros personalizados a través de AMA (versión preliminar)para cualquiera de los 15 tipos de dispositivos, o cualquier dispositivo no incluido en la lista, cuyos registros se ingieren en tablas personalizadas con nombres que terminan en _CL en Log Analytics.

Estos conectores sustituyen a casi todos los conectores existentes para tipos de dispositivos y aparatos individuales que existían hasta ahora, que se basaban en el agente de Log Analytics heredado (también conocido como MMA u OMS) o en el agente de Azure Monitor actual. Las soluciones proporcionadas en el centro de contenidos para todos estos dispositivos y aparatos incluyen ahora cualquiera de estos tres conectores que sea adecuado para la solución.* Los conectores reemplazados se marcan ahora como "En desuso" en la galería de conectores de datos.

Los gráficos de ingesta de datos que antes se encontraban en la página de conectores de cada dispositivo ahora se pueden encontrar en los libros específicos de cada dispositivo empaquetados con la solución de cada dispositivo.

* Al instalar la solución para cualquiera de estas aplicaciones, dispositivos o aparatos, para asegurarse de que está instalado el conector de datos adjunto, debe seleccionar Instalar con dependencias en la página de la solución y, a continuación, marcar el conector de datos en la siguiente página.

Para conocer los procedimientos actualizados para instalar estas soluciones, consulte los siguientes artículos:

Mejor visibilidad de los eventos de seguridad de Windows

Hemos mejorado el esquema de la tabla SecurityEvent que hospeda eventos de seguridad de Windows y hemos agregado nuevas columnas para garantizar la compatibilidad con el Agente de Azure Monitor (AMA) para Windows (versión 1.28.2). Estas mejoras están diseñadas para aumentar la visibilidad y la transparencia de los eventos recopilados de Windows. Si no está interesado en recibir datos en estos campos, puede aplicar una transformación en tiempo de ingesta (por ejemplo, "project-away") para quitarlos.

Nuevo plan de retención de registros auxiliares (versión preliminar)

El nuevo plan de retención de registros auxiliares para tablas de Log Analytics permite ingerir grandes cantidades de registros de gran volumen con un valor complementario para la seguridad a un costo mucho menor. Los registros auxiliares están disponibles con retención interactiva durante 30 días, en los que puede ejecutar consultas simples y de tabla única en ellos, como resumir y agregar los datos. Después de ese período de 30 días, los datos de registro auxiliares van a la retención a largo plazo, que puede definir durante un máximo de 12 años, a un costo ultra bajo. Este plan también le permite ejecutar trabajos de búsqueda en los datos de retención a largo plazo, extrayendo solo los registros que desea usar para una nueva tabla que puede tratar como una tabla normal de Log Analytics, con funcionalidades de consulta completas.

Para más información sobre los registros auxiliares y compararlos con los registros de Analytics, consulte Planes de retención de registros en Microsoft Sentinel.

Para obtener información más detallada sobre los diferentes planes de administración de registros, consulte Planes de tabla en el artículo Introducción a los registros de Azure Monitor de la documentación de Azure Monitor.

Creación de reglas de resumen en Microsoft Sentinel para grandes conjuntos de datos (versión preliminar)

Microsoft Sentinel ofrece ahora la capacidad de crear resúmenes dinámicos mediante las reglas de resumen de Azure Monitor, que agregan grandes conjuntos de datos en segundo plano para lograr una experiencia más fluida de las operaciones de seguridad en todos los niveles de registro.

  • Acceda a los resultados de las reglas de resumen mediante el Lenguaje de consulta Kusto (KQL) en las actividades de detección, investigación, búsqueda y creación de informes.
  • Ejecute consultas de alto rendimiento en Lenguaje de consulta Kusto (KQL) en los datos resumidos.
  • Use los resultados de las reglas de resumen durante más tiempo en las investigaciones y las actividades de búsqueda y cumplimiento.

Para obtener más información, consulte Agregar datos de Microsoft Sentinel con reglas de resumen.

Julio de 2024

Optimizaciones de SOC ahora disponibles con carácter general

La experiencia de optimización de SOC en los portales de Azure y Defender ahora está disponible con carácter general para todos los clientes de Microsoft Sentinel, incluidas las recomendaciones basadas en amenazas y el valor de los datos.

  • Use recomendaciones de valor de datos para mejorar el uso de datos de los registros facturables ingeridos, obtener visibilidad de los registros infrautilizados y descubrir las detecciones adecuadas para esos registros o los ajustes adecuados para su nivel o ingesta de registros.

  • Use recomendaciones basadas en amenazas para ayudar a identificar brechas en la cobertura contra ataques específicos basados en investigaciones de Microsoft y mitigarlas mediante la ingesta de los registros recomendados y la adición de detecciones recomendadas.

La API de recommendations todavía está en versión preliminar.

Para más información, vea:

Conector de SAP Business Technology Platform (BTP) ahora disponible con carácter general (GA)

La solución Microsoft Sentinel para SAP BTP ya está disponible con carácter general (GA). Esta solución proporciona visibilidad sobre el entorno de SAP BTP y le ayuda a detectar y responder a amenazas y actividades sospechosas.

Para más información, vea:

La plataforma de seguridad unificada de Microsoft ahora está disponible con carácter general

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. La plataforma de operaciones de seguridad unificada de Microsoft reúne todas las funcionalidades de Microsoft Sentinel, Microsoft Defender XDR y Microsoft Copilot en Microsoft Defender. Para obtener más información, consulte los siguientes recursos:

Junio de 2024

Codeless Connector Platform ya está disponible con carácter general

Codeless Connector Platform (CCP) ya está disponible con carácter general (GA). Eche un vistazo a la publicación del blog del anuncio.

Para obtener más información sobre las mejoras y las posibilidades del generador de conectores sin código (CCP), consulte Creación de un conector sin código para Microsoft Sentinel.

Funcionalidad de búsqueda de indicador de amenazas avanzada disponible

Se han mejorado las funcionalidades de búsqueda y filtrado de inteligencia sobre amenazas y la experiencia ahora tiene paridad en los portales de Microsoft Sentinel y Microsoft Defender. La búsqueda admite un máximo de 10 condiciones con cada uno que contenga hasta 3 subclases.

Para obtener más información, vea la captura de pantalla actualizada en Ver y administrar los indicadores de amenazas.

Pasos siguientes

Incorporación de Azure Sentinel

Obtención de visibilidad sobre las alertas