Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel. Para conocer las nuevas características relacionadas con las operaciones de seguridad unificadas en el portal de Defender, consulte Novedades de las operaciones de seguridad unificadas.
Las características enumeradas se publicaron en los últimos seis meses. Para obtener información sobre las características anteriores entregadas, consulte nuestros blogs de Tech Community.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de la Administración Pública de EE. UU.
Noviembre de 2025
Nuevas experiencias de Análisis de comportamiento de entidades (UEBA) en el portal de Defender (versión preliminar)
Microsoft Sentinel presenta nuevas experiencias de UEBA en el portal de Defender, lo que aporta información de comportamiento directamente a los flujos de trabajo clave del analista. Estas mejoras ayudan a los analistas a priorizar las investigaciones y aplicar el contexto UEBA más efectivamente.
Investigaciones de usuarios centradas en anomalías
En el portal de Defender, los usuarios con anomalías de comportamiento se etiquetan automáticamente con anomalías de UEBA, lo que ayuda a los analistas a identificar rápidamente qué usuarios deben priorizar.
Los analistas pueden ver las tres anomalías principales de los últimos 30 días en una sección dedicada sobre anomalías de UEBA, disponibles en:
- Paneles del usuario accesibles desde varias ubicaciones del portal.
- Pestaña Información generalde las páginas de entidades de usuario.
En esta sección también se incluyen vínculos directos a consultas de anomalías y la escala de tiempo de eventos de Sentinel, lo que permite una investigación más profunda y una recopilación de contexto más rápida.
Explorar en profundidad las anomalías de los usuarios de los gráficos de incidentes
Los analistas pueden acceder rápidamente a todas las anomalías relacionadas con un usuario seleccionando Ir a buscar > todas las anomalías de usuario en el gráfico de incidentes. Esta consulta integrada ofrece un contexto de UEBA inmediato que facilita investigaciones más profundas.
Consultas enriquecidas de búsqueda avanzada y detecciones personalizadas con información de comportamiento
Las experiencias avanzadas de caza de amenazas y detección personalizada ahora incluyen un banner contextual que sugiere a los analistas añadir la tabla de anomalías de UEBA a las consultas que incluyen fuentes de datos de UEBA.
Todas las características requieren que UEBA esté habilitado y están limitadas al área de trabajo seleccionada actualmente.
Para obtener más información, consulte Cómo UEBA permite a los analistas y simplifica los flujos de trabajo.
Conectores de datos de SAP
El conector de datos sin agente para la solución Sentinel para SAP ya está disponible con carácter general. Obtenga más información en nuestro blog de Tech Community.
Desuso: el conector de datos de SAP en contenedor dejará de ser compatible con el 30 de septiembre de 2026. Migre a nuestro conector de datos de SAP sin agente hoy mismo. Todas las implementaciones nuevas solo tienen la nueva opción de conector sin agente, que se factura al mismo precio.
Acción requerida: actualizar las consultas y la automatización antes del 1 de julio de 2026. Nomenclatura estandarizada de entidades de cuenta en incidentes y alertas.
Microsoft Sentinel actualiza cómo identifica las entidades de cuenta en incidentes y alertas. Este cambio presenta una lógica de nomenclatura estandarizada para mejorar la coherencia y la confiabilidad en los flujos de trabajo de análisis y automatización.
Importante
Este cambio puede afectar a las reglas analíticas, las reglas de automatización, los cuadernos de estrategias, los libros, las consultas de búsqueda y las integraciones personalizadas.
Sentinel ahora seleccionará el identificador de cuenta más confiable con la siguiente prioridad:
Prefijo UPN : la parte anterior a "@" en un nombre principal de usuario
- Ejemplo:
john.doe@contoso.com→john.doe
- Ejemplo:
Name : se usa si el prefijo UPN no está disponible.
Nombre para mostrar – alternativa si faltan ambos anteriores
Actualice las consultas KQL y la lógica de automatización para seguir el nuevo patrón con reconocimiento de precedencia. Use la función coalesce()(/kusto/query/coalesce-function) para garantizar la compatibilidad:
coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)
Pruebe todos los cambios en un área de trabajo que no sea de producción antes de implementar en producción.
Octubre de 2025
- Exportación de objetos de inteligencia sobre amenazas STIX (versión preliminar)
- Acción urgente: actualizar consultas y automatización antes del 1 de julio de 2026 - estandarización de nombres de entidades de cuenta en incidentes y alertas
Exportación de objetos de inteligencia sobre amenazas STIX (versión preliminar)
Microsoft Sentinel ahora admite la exportación de objetos de inteligencia sobre amenazas STIX a otros destinos, como plataformas externas. Si ha ingerido inteligencia sobre amenazas en Microsoft Sentinel desde una plataforma externa, como cuando se usa el conector de datos Threat Intelligence - TAXII , ahora puede exportar la inteligencia sobre amenazas a esa plataforma, lo que permite el uso compartido de inteligencia bidireccional. Esta nueva compatibilidad proporciona uso compartido directo y seguro, lo que reduce la necesidad de procesos manuales o cuadernos de estrategias personalizados para distribuir la inteligencia sobre amenazas.
Actualmente, la exportación de objetos ti solo se admite para plataformas basadas en TAXII 2.1. Puede acceder a la característica de exportación desde el portal de Defender y Azure Portal:
Para más información, vea:
- Uso de STIX/TAXII para importar y exportar inteligencia sobre amenazas en Microsoft Sentinel
- Exportación de inteligencia sobre amenazas
Septiembre de 2025
Microsoft Sentinel evoluciona en un SIEM y una plataforma
Entre las adiciones clave se incluyen:
Microsoft Sentinel está evolucionando en un SIEM y una plataforma
La seguridad se está rediseñando para la era de la IA, avanzando más allá de los controles estáticos basados en reglas y respuesta posterior a incidentes de seguridad hacia una defensa a velocidad de máquina liderada por plataformas. Para abordar el desafío de las herramientas fragmentadas, las señales de expansión y las arquitecturas heredadas que no pueden coincidir con la velocidad y la escala de los ataques modernos, Microsoft Sentinel ha evolucionado en un SIEM y una plataforma que unifica los datos para la defensa agente. Esta actualización refleja mejoras arquitectónicas que admiten operaciones de seguridad controladas por ia a escala. Para obtener más información, consulte ¿Qué es Microsoft Sentinel?
Entre las adiciones clave se incluyen el lago de datos de Microsoft Sentinel, el grafo de Microsoft Sentinel y el servidor del Protocolo de contexto de modelos de Microsoft Sentinel (MCP), como se describe a continuación.
El lago de datos de Microsoft Sentinel ya está disponible con carácter general (GA)
Una base escalable y rentable para la retención de datos a largo plazo y el análisis multi modal. El lago de datos de Microsoft Sentinel permite a las organizaciones unificar los datos de seguridad entre orígenes y ejecutar análisis avanzados sin sobrecarga de infraestructura.
Para más información, consulte Lago de datos de Microsoft Sentinel.
Microsoft Sentinel Graph (versión preliminar)
Análisis unificado de grafos para un contexto más profundo y razonamiento sobre amenazas. Microsoft Sentinel modela las relaciones entre usuarios, dispositivos y actividades para admitir investigaciones complejas sobre amenazas y análisis previos y posteriores a la vulneración de seguridad.
Para obtener más información, consulte ¿Qué es microsoft Sentinel graph? (Versión preliminar).
Servidor del Protocolo de contexto de modelo (MCP) de Microsoft Sentinel (versión preliminar)
Interfaz hospedada para crear agentes inteligentes mediante lenguaje natural. El servidor MCP de Microsoft Sentinel simplifica la creación de agentes y la exploración de datos al permitir a los ingenieros consultar y razonar los datos de seguridad sin necesidad de conocimientos de esquema.
Para obtener más información, consulte Información general sobre el Protocolo de contexto de modelo (MCP).
Nuevos orígenes de datos para análisis mejorado de comportamiento de usuarios y entidades (UEBA) (versión preliminar)
UEBA de Microsoft Sentinel permite a los equipos de SOC detectar anomalías con tecnología de inteligencia artificial en función de las señales de comportamiento del inquilino. Ayuda a priorizar las amenazas mediante líneas base dinámicas, comparaciones del mismo nivel y perfiles de entidad enriquecidos.
UEBA ahora admite la detección de anomalías mediante seis nuevos orígenes de datos:
Orígenes de autenticación de Microsoft:
Estos orígenes proporcionan una visibilidad más profunda del comportamiento de la identidad en todo el entorno de Microsoft.
- Eventos de inicio de sesión de dispositivos XDR de Microsoft Defender: Capture la actividad de inicio de sesión desde los puntos de conexión, lo que ayuda a identificar el movimiento lateral, patrones de acceso inusuales o dispositivos comprometidos.
- Registros de inicio de sesión de identidad administrada de Microsoft Entra ID: realice un seguimiento de los inicios de sesión de las identidades administradas que se usan en la automatización, como scripts y servicios. Esto es fundamental para detectar el uso incorrecto silencioso de las identidades de servicio.
- Registros de inicio de sesión de las entidades de servicio de Microsoft Entra ID: supervise los inicios de sesión de las entidades de servicio (frecuentemente usados por aplicaciones o scripts) para detectar anomalías como el acceso inesperado o la elevación de privilegios.
Plataformas de administración de identidades y en la nube de terceros:
UEBA ahora se integra con las principales plataformas de administración de identidades y en la nube para mejorar la detección de riesgos de identidad, el uso indebido de privilegios y los comportamientos de acceso de riesgo en entornos multinube.
- Eventos de inicio de sesión de AWS CloudTrail: marca los intentos de inicio de sesión de riesgo en Amazon Web Services (AWS), como la autenticación multifactor con errores (MFA) o el uso de la cuenta raíz, indicadores críticos de posibles riesgos de la cuenta.
- Registros de auditoría de GCP: eventos de acceso IAM con errores: captura intentos de acceso denegados en Google Cloud Platform, lo que ayuda a identificar intentos de escalación de privilegios o roles mal configurados.
- Eventos de cambio de seguridad de autenticación y MFA de Okta: desafíos de MFA de Surface y cambios en las directivas de autenticación en Okta: señales que podrían indicar ataques dirigidos o alteraciones de identidad.
Estos nuevos orígenes mejoran la capacidad de UEBA para detectar amenazas en entornos híbridos y de Microsoft basados en datos de identidad de usuario, dispositivo y servicio enriquecidos, contexto de comportamiento mejorado y nuevas funcionalidades de detección de anomalías multiplataforma.
Para habilitar los nuevos orígenes de datos, debe incorporarse al portal de Defender.
Para más información, vea:
- La IA impulsada por UEBA de Microsoft Sentinel marca el comienzo de la próxima era del análisis de comportamiento
- Detección avanzada de amenazas con análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Referencia de UEBA de Microsoft Sentinel
- Anomalías de UEBA
Agosto de 2025
Editar libros directamente en el portal de Microsoft Defender (versión preliminar)
Ahora puede crear y editar libros de Microsoft Sentinel directamente en el portal de Microsoft Defender. Esta mejora simplifica el flujo de trabajo, le permite administrar los libros de forma más eficaz y que la experiencia del libro esté más estrechamente alineada con la experiencia en Azure Portal.
Los libros de Microsoft Sentinel se basan en libros de Azure Monitor y le ayudan a visualizar y supervisar los datos ingeridos en Microsoft Sentinel. Los libros agregan tablas y gráficos con análisis para los registros y consultas a las herramientas que ya están disponibles.
Los libros están disponibles en el portal de Defender en Microsoft Sentinel > Administración de amenazas > Libros. Para obtener más información, consulte Visualizar y supervisar sus datos usando libros de trabajo en Microsoft Sentinel.
Julio de 2025
- Lago de datos de Microsoft Sentinel
- Configuración de retención y administración de tablas en el portal de Microsoft Defender
- Permisos del lago de datos de Microsoft Sentinel integrados con el RBAC unificado de Microsoft Defender XDR
- Solo para clientes nuevos: incorporación y redirección automáticas al portal de Microsoft Defender
- No hay límite en el número de áreas de trabajo que puede incorporar al portal de Defender
- Microsoft Sentinel en el Azure Portal que se retirará en julio de 2026
Lago de datos de Microsoft Sentinel
Microsoft Sentinel ahora se ha mejorado con un lago de datos moderno, creado específicamente para simplificar la administración de datos, reducir los costos y acelerar la adopción de la inteligencia artificial para los equipos de operaciones de seguridad. El nuevo lago de datos de Microsoft Sentinel ofrece almacenamiento rentable y a largo plazo, lo que elimina la necesidad de elegir entre la asequibilidad y la seguridad sólida. Los equipos de seguridad obtienen una mayor visibilidad y una resolución de incidentes más rápida, todo ello dentro de la conocida experiencia de Microsoft Sentinel, enriquecida a través de una integración perfecta con herramientas avanzadas de análisis de datos.
Entre las principales ventajas del lago de datos de Microsoft Sentinel se incluyen: +Copia única de datos de formato abierto para almacenamiento eficaz y rentable +Separación de almacenamiento y computación para mayor flexibilidad +Compatibilidad con varios motores de análisis para desbloquear información más detallada de los datos de seguridad +Integración nativa con Microsoft Sentinel, incluida la capacidad de seleccionar niveles de registro para los datos de registro en los niveles de análisis y lago Para obtener más información, consulte
Explore el lago de datos mediante consultas KQL o use el nuevo cuaderno de lago de datos de Microsoft Sentinel para VS Code para visualizar y analizar los datos.
Para más información, vea:
- Lago de datos de Microsoft Sentinel
- KQL y el lago de datos de Microsoft Sentinel (versión preliminar)
- Cuadernos de Jupyter y el Data Lake de Microsoft Sentinel (versión preliminar)
- Blog técnico de Data Lake
Configuración de administración y retención de tablas en el portal de Microsoft Defender
La configuración de retención y administración de tablas ya está disponible en los portales de Microsoft Defender. Puede ver y administrar la configuración de tabla en el portal de Microsoft Defender, incluida la configuración de retención para las tablas XDR de Microsoft Sentinel y Defender, y cambiar entre los niveles de análisis y lago de datos.
Para más información, vea:
- Administración de niveles de datos y retención en Microsoft Sentinel
- Configure las opciones de tabla en Microsoft Sentinel.
Permisos del lago de datos de Microsoft Sentinel integrados con el RBAC unificado de Microsoft Defender XDR
A partir de julio de 2025, los permisos de Microsoft Sentinel Data Lake se proporcionan a través del RBAC unificado de Microsoft Defender XDR. La compatibilidad con RBAC unificado está disponible además del soporte que ofrecen los roles globales de Microsoft Entra ID.
Para más información, vea:
- Control de acceso basado en roles (RBAC) unificado de Microsoft Defender XDR
- Creación de roles personalizados con Microsoft Defender XDR RBAC unificado
- Permisos en el control de acceso basado en rol (RBAC) unificado de XDR de Microsoft Defender
- Roles y permisos para el lago de datos de Microsoft Sentinel
Solo para clientes nuevos: incorporación y redirección automáticas al portal de Microsoft Defender
Para esta actualización, los nuevos clientes de Microsoft Sentinel son clientes que incorporan el primer área de trabajo de su inquilino a Microsoft Sentinel el 1 de julio de 2025 o después.
A partir del 1 de julio de 2025, estos nuevos clientes que tienen los permisos de un propietario de la suscripción o un administrador de acceso de usuario, y tampoco son usuarios delegados de Azure Lighthouse, tienen sus áreas de trabajo incorporadas automáticamente al portal de Defender junto con la incorporación a Microsoft Sentinel. Los usuarios de estas áreas de trabajo, que tampoco son usuarios delegados de Azure Lighthouse, ven los vínculos de Microsoft Sentinel en el portal de Azure que los redirigen al portal de Defender. Estos usuarios usan Microsoft Sentinel solo en el portal de Defender.
Los nuevos clientes que no tienen permisos pertinentes no se incorporan automáticamente al portal de Defender, pero siguen viendo vínculos de redireccionamiento en Azure Portal, junto con avisos para que un usuario con permisos pertinentes incorpore manualmente el área de trabajo al portal de Defender.
Este cambio simplifica el proceso de incorporación y garantiza que los nuevos clientes puedan aprovechar inmediatamente las funcionalidades de operaciones de seguridad unificadas sin el paso adicional de incorporar manualmente sus áreas de trabajo.
Para más información, vea:
- Incorporación a Microsoft Sentinel
- Microsoft Sentinel en el portal de Microsoft Defender
- Cambios para nuevos clientes a partir de julio de 2025
No hay límite en el número de áreas de trabajo que puede incorporar al portal de Defender
Ya no hay ningún límite en el número de áreas de trabajo que puede incorporar al portal de Defender.
Las limitaciones se siguen aplicando al número de áreas de trabajo que puede incluir en una consulta de Log Analytics y, en el número de áreas de trabajo que puede incluir o debe incluir en una regla de análisis programados.
Para más información, vea:
- Conexión de Microsoft Sentinel al portal de Microsoft Defender
- Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender
- Extensión de Microsoft Azure Sentinel entre áreas de trabajo e inquilinos
Microsoft Sentinel en el Azure Portal que se retirará en julio de 2026
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5. Esto significa que puede usar Microsoft Sentinel en el portal de Defender aunque no use otros servicios de Microsoft Defender.
A partir de julio de 2026, Microsoft Sentinel solo se admitirá en el portal de Defender y los clientes restantes que usen Azure Portal se redirigirán automáticamente.
Si actualmente usa Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender ahora para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender.
Para más información, vea:
- Microsoft Sentinel en el portal de Microsoft Defender
- Transición del entorno de Microsoft Sentinel al portal de Defender
- Planeación del traslado al portal de Microsoft Defender para todos los clientes de Microsoft Sentinel (blog)
Junio de 2025
- Microsoft Sentinel Codeless Connector Platform (CCP) ha cambiado el nombre a Codeless Connector Framework (CCF)
- Referencia consolidada del conector de datos de Microsoft Sentinel
- Plantillas de regla de resumen ahora en la versión preliminar pública
Se ha cambiado el nombre de Codeless Connector Platform (CCP) a Codeless Connector Framework (CCF)
Se ha cambiado el nombre de la Plataforma de conector sin código (CCP) de Microsoft Sentinel a Codeless Connector Framework (CCF). El nuevo nombre refleja la evolución de la plataforma y evita confusiones con otros servicios orientados a la plataforma, a la vez que proporciona la misma facilidad de uso y flexibilidad que esperan los usuarios.
Para más información, consulte Creación de un conector sin código para Microsoft Sentinel.
Referencia consolidada del conector de datos de Microsoft Sentinel
Hemos consolidado la documentación de referencia del conector, combinando los artículos de conector independientes en una sola tabla de referencia completa.
Puede encontrar la nueva referencia del conector en conectores de datos de Microsoft Sentinel. Para obtener más información, consulte Crear un conector sin código y Libera el potencial del marco de conectores sin código de Microsoft Sentinel y haz más con Microsoft Sentinel más rápidamente.
Las plantillas de reglas de resumen ahora están en vista previa pública
Ahora puede usar plantillas de reglas de resumen para implementar reglas de resumen pregeneradas adaptadas a escenarios de seguridad comunes. Estas plantillas le ayudan a agregar y analizar grandes conjuntos de datos de forma eficaz, no requieren conocimientos profundos, reducir el tiempo de instalación y garantizar los procedimientos recomendados. Para obtener más información, consulte Agregar datos de Microsoft Sentinel con reglas de resumen (versión preliminar).
Mayo de 2025
- Todos los casos de uso de Microsoft Sentinel disponibles con carácter general en el portal de Defender
- Tabla Unified IdentityInfo
- Adiciones al soporte con la optimización de SOC (versión preliminar)
Todos los casos de uso de Microsoft Sentinel disponibles con carácter general en el portal de Defender
Todos los casos de uso de Microsoft Sentinel que están en disponibilidad general, incluidas las funcionalidades multiinquilino y multiempresa y el soporte con todas las nubes gubernamentales y comerciales, ahora también se admiten para la disponibilidad general en el portal de Defender.
Se recomienda incorporar las áreas de trabajo al portal de Defender para aprovechar las ventajas de las operaciones de seguridad unificadas. Para más información, vea:
Para más información, vea:
- Lo mejor de Microsoft Sentinel: ahora en Microsoft Defender (blog)
- Microsoft Sentinel en el portal de Microsoft Defender
- Transición del entorno de Microsoft Sentinel al portal de Defender
Tabla Unified IdentityInfo
Los clientes de Microsoft Sentinel en el portal de Defender que han habilitado UEBA ahora pueden aprovechar una nueva versión de la tabla IdentityInfo , que se encuentra en la sección Búsqueda avanzada del portal de Defender, que incluye el conjunto de campos más grande posible común tanto a Defender como a Azure Portal. Esta tabla unificada ayuda a enriquecer las investigaciones de seguridad en todo el portal de Defender.
Para obtener más información, vea Tabla IdentityInfo.
Adiciones al soporte de optimización de SOC (versión preliminar)
Compatibilidad con optimización del SOC para:
- Recomendaciones de etiquetado con inteligencia artificial de MITRE ATT&CK (Vista previa): utiliza inteligencia artificial para sugerir el etiquetado de detecciones de seguridad con tácticas y técnicas de MITRE ATT&CK.
- Recomendaciones basadas en riesgos (versión preliminar): recomienda implementar controles para abordar las brechas de cobertura vinculadas a los casos de uso que pueden dar lugar a riesgos empresariales o pérdidas financieras, incluidos los riesgos operativos, financieros, financieros, de reputación, cumplimiento y legales.
Para obtener más información, consulte Referencia de optimización de SOC.
Abril de 2025
- Solución de Microsoft Sentinel para Aplicaciones empresariales de Microsoft disponible con carácter general en Azure Portal
- Security Copilot genera resúmenes de incidentes en Microsoft Sentinel en Azure Portal (versión preliminar)
- Compatibilidad con varias áreas de trabajo y multiinquilino para Microsoft Sentinel en el portal de Defender (versión preliminar)
- Microsoft Sentinel ahora ingiere todos los objetos e indicadores STIX en nuevas tablas de inteligencia sobre amenazas (versión preliminar)
- Compatibilidad con la optimización de SOC para columnas sin usar (Versión preliminar)
Solución de Microsoft Sentinel para Aplicaciones empresariales de Microsoft disponible con carácter general en Azure Portal
La solución Microsoft Sentinel para Aplicaciones empresariales de Microsoft ahora está disponible con carácter general en Azure Portal.
Security Copilot genera resúmenes de incidentes en Microsoft Sentinel en Azure Portal (versión preliminar)
Microsoft Sentinel en Azure Portal ahora incluye resúmenes de incidentes (en versión preliminar) generados por Security Copilot, lo que lo pone en línea con el portal de Defender. Estos resúmenes proporcionan a los analistas de seguridad la información inicial que necesitan para comprender, evaluar y empezar a investigar incidentes en desarrollo rápidamente.
Para obtener más información, consulte Resumen de incidentes de Microsoft Sentinel con Security Copilot.
Compatibilidad con varias áreas de trabajo y multiinquilino para Microsoft Sentinel en el portal de Defender (Versión preliminar)
Para obtener una versión preliminar, en el portal de Defender, conéctese a una área de trabajo principal y a varias áreas de trabajo secundarias para Microsoft Sentinel. Si integra Microsoft Sentinel con Defender XDR, las alertas de un espacio de trabajo principal se correlacionan con los datos de Defender XDR. Por tanto, los incidentes incluyen alertas tanto del área de trabajo principal de Microsoft Sentinel como de Defender XDR. Todas las demás áreas de trabajo incorporadas se consideran áreas de trabajo secundarias. Los incidentes se crean según los datos del área de trabajo y no incluirán datos de Defender XDR.
- Si tiene previsto usar Microsoft Sentinel en el portal de Defender sin XDR de Defender, puede administrar varias áreas de trabajo. Sin embargo, el área de trabajo principal no incluye datos XDR de Defender y no tendrá acceso a las funcionalidades de XDR de Defender.
- Si trabaja con varios clientes y varios espacios de trabajo por cliente, también puede usar la administración multicliente de Microsoft Defender para ver incidentes y alertas, y para buscar datos en Búsqueda Avanzada, tanto en varios espacios de trabajo como en varios clientes.
Vea los siguientes artículos para más información:
- Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender
- Conexión de Microsoft Sentinel al portal de Microsoft Defender
- Administración multicliente de Microsoft Defender
- Visualización y administración de incidentes y alertas en la administración multiinquilino de Microsoft Defender
- Búsqueda avanzada de amenazas en la administración multiinquilino de Microsoft Defender
Microsoft Sentinel ahora ingiere todos los objetos e indicadores STIX en nuevas tablas de inteligencia sobre amenazas (versión preliminar)
Microsoft Sentinel ahora ingiere objetos e indicadores STIX en las nuevas tablas de inteligencia sobre amenazas, ThreatIntelIndicators y ThreatIntelObjects. Las nuevas tablas admiten el nuevo esquema STIX 2.1, que permite ingerir y consultar varios objetos de inteligencia sobre amenazas, incluidos identity, attack-pattern, threat-actory relationship.
Microsoft Sentinel ingerirá toda la inteligencia sobre amenazas en las tablas nuevas ThreatIntelIndicators y ThreatIntelObjects, y seguirá ingeriendo los mismos datos en la tabla heredada ThreatIntelligenceIndicator hasta el 31 de julio de 2025.
Asegúrese de actualizar las consultas personalizadas, las reglas de análisis y detección, los libros y la automatización para usar las nuevas tablas el 31 de julio de 2025. Después de esta fecha, Microsoft Sentinel dejará de ingerir datos en la tabla heredada ThreatIntelligenceIndicator . Estamos actualizando todas las soluciones de inteligencia sobre amenazas integradas en el centro de contenido para aprovechar las nuevas tablas.
Vea los siguientes artículos para más información:
- Inteligencia sobre amenazas en Microsoft Sentinel
- Trabajar con indicadores e objetos STIX para mejorar la inteligencia sobre amenazas y la búsqueda de amenazas en Microsoft Sentinel (versión preliminar)
Compatibilidad con la optimización de SOC para columnas sin usar (Versión preliminar)
Para optimizar la relación de valor de costo/seguridad, las superficies de optimización de SOC apenas usan conectores de datos o tablas. La optimización de SOC ahora expone columnas sin usar en las tablas. Para obtener más información, consulte Referencia de recomendaciones para la optimización del SOC.
Marzo de 2025
Conexión sin agente a SAP ahora en versión preliminar pública
El conector de datos sin agente de Microsoft Sentinel para SAP y el contenido de seguridad relacionado se incluye ahora, como versión preliminar pública, en la solución para aplicaciones SAP. Esta actualización también incluye las siguientes mejoras para el conector de datos sin agente:
- Instrucciones mejoradas en el portal para implementar y configurar el conector de datos. La documentación externa se actualiza para basarse en las instrucciones del portal.
- Se ingieren más datos, como los registros de Change Docs y los datos maestros de usuario.
- Parámetros opcionales para personalizar el comportamiento del conector de datos (opcional).
- Una nueva herramienta para comprobar los requisitos previos del sistema y la compatibilidad, se recomienda tanto antes de implementar como al solucionar problemas.
Para más información, vea:
- Solución de Microsoft Sentinel para aplicaciones sap: Introducción a la implementación
- Solución de Microsoft Sentinel para aplicaciones SAP: referencia de funciones
- Solución de problemas de la solución de Microsoft Sentinel para la implementación de aplicaciones de SAP
Enero de 2025
- Optimizar fuentes de inteligencia sobre amenazas con reglas de ingesta
- Regla de análisis de coincidencias ahora disponible con carácter general (GA)
- Interfaz de administración de inteligencia sobre amenazas actualizada
- Desbloquee la búsqueda avanzada de amenazas con nuevos objetos STIX mediante la participación en nuevas tablas de inteligencia sobre amenazas
- Ahora, la API de carga de inteligencia sobre amenazas admite más objetos STIX
- Los conectores de datos de Inteligencia sobre amenazas de Microsoft Defender ahora están disponibles con carácter general (GA)
- Compatibilidad con archivos de Bicep para repositorios (versión preliminar)
- Actualizaciones de optimización de SOC para la administración unificada de cobertura
- Visualización del contenido de la solución granular en el centro de contenido de Microsoft Sentinel
Optimizar fuentes de inteligencia sobre amenazas con reglas de ingesta
Optimice las fuentes de inteligencia sobre amenazas filtrando y mejorando los objetos antes de que se entreguen al área de trabajo. Las reglas de ingesta actualizan los atributos de objeto intel de amenazas o filtran todos los objetos juntos. Consulte el anuncio del blog aquí.
Para obtener más información, consulte Descripción de las reglas de ingesta de inteligencia sobre amenazas.
Ahora está disponible de forma general la regla de análisis de coincidencias (GA)
Microsoft proporciona acceso a su inteligencia sobre amenazas premium a través de la regla de análisis de Inteligencia sobre amenazas de Defender que ya está disponible con carácter general (GA). Para obtener más información sobre cómo aprovechar esta regla, que genera alertas e incidentes de alta fidelidad, consulte Uso del análisis de coincidencias para detectar amenazas.
La interfaz de administración de inteligencia sobre amenazas se ha movido
¡La inteligencia sobre amenazas para Microsoft Sentinel en el portal de Defender ha cambiado! Hemos cambiado el nombre de la página Administración de Intel y lo hemos movido con otros flujos de trabajo de inteligencia sobre amenazas. No hay ningún cambio para los clientes que usan Microsoft Sentinel en la experiencia de Azure.
Las mejoras en las funcionalidades de inteligencia sobre amenazas están disponibles para los clientes que usan ambas experiencias de Microsoft Sentinel. La interfaz de administración simplifica la creación y curación de información sobre amenazas con estas características clave:
- Defina las relaciones a medida que crea nuevos objetos STIX.
- Ajuste la inteligencia sobre amenazas existente con el nuevo generador de relaciones.
- Cree varios objetos rápidamente copiando metadatos comunes de un objeto de TI nuevo o existente mediante una función de duplicación.
- Use la búsqueda avanzada para ordenar y filtrar los objetos de inteligencia sobre amenazas sin necesidad de escribir una consulta de Log Analytics.
Vea los siguientes artículos para más información:
- Nuevos objetos STIX en Microsoft Sentinel
- Comprender la inteligencia sobre amenazas
- Descubrir adversarios con inteligencia sobre amenazas en el portal de Defender
Desbloquee la búsqueda avanzada de amenazas con nuevos objetos STIX mediante la participación en nuevas tablas de inteligencia sobre amenazas
Las tablas que admiten el nuevo esquema de objetos STIX no están disponibles públicamente. Para poder ver la inteligencia sobre amenazas para objetos STIX con KQL y desbloquear el modelo de búsqueda que los usa, solicite participar mediante este formulario. Ingiere la inteligencia sobre amenazas en las nuevas tablas, ThreatIntelIndicators y ThreatIntelObjects junto con o en lugar de la tabla actual, ThreatIntelligenceIndicator, con este proceso de participación.
Para obtener más información, consulte el anuncio del blog Nuevos objetos STIX en Microsoft Sentinel.
La API de carga de inteligencia sobre amenazas ya admite más objetos STIX
Aproveche al máximo las plataformas de inteligencia sobre amenazas al conectarlas a Microsoft Sentinel con la API de carga. Ya es posible ingerir más objetos que solo indicadores, lo que refleja la variada disponibilidad que hay de inteligencia sobre amenazas. La API de carga admite los siguientes objetos STIX:
indicatorattack-patternidentitythreat-actorrelationship
Vea los siguientes artículos para más información:
- Conexión de la plataforma de inteligencia sobre amenazas con la API de carga (versión preliminar)
- Importación de inteligencia sobre amenazas en Microsoft Sentinel con la API de carga (versión preliminar)
- Nuevos objetos STIX en Microsoft Sentinel
El conector de datos de Inteligencia contra amenazas de Microsoft Defender ya está disponible con carácter general (GA)
Los conectores de datos premium y estándar de Inteligencia contra amenazas de Microsoft Defender ya están disponibles con carácter general (GA) en el centro de contenido. Vea los siguientes artículos para más información:
- Explora las licencias de Inteligencia de amenazas de Defender
- Habilitación del conector de datos de Inteligencia sobre amenazas de Microsoft Defender
Compatibilidad con archivos de Bicep para repositorios (versión preliminar)
Use archivos de Bicep junto con o como reemplazo de plantillas JSON de ARM en repositorios de Microsoft Sentinel. Bicep proporciona una manera intuitiva de crear plantillas de recursos de Azure y elementos de contenido de Microsoft Sentinel. No solo es más fácil desarrollar nuevos elementos de contenido, sino que Bicep facilita la revisión y actualización del contenido a cualquier persona que forme parte de la integración y entrega continuas de su contenido de Microsoft Sentinel.
Para obtener más información, consulte Planear el contenido del repositorio.
Actualizaciones de optimización del SOC para la administración unificada de cobertura
En las áreas de trabajo incorporadas al portal de Defender, las optimizaciones de SOC ahora admiten datos SIEM y XDR, con cobertura de detección de servicios de Microsoft Defender.
En el portal de Defender, las optimizaciones del SOC y las páginas MITRE ATT&CK, también, ahora, proporcionan funcionalidad adicional para las optimizaciones de cobertura basadas en amenazas para ayudarle a comprender el impacto de las recomendaciones en su entorno y ayudarle a priorizar cuál implementar primero.
Entre las mejoras se incluyen:
| Área | Detalles |
|---|---|
| Página de información general sobre optimizaciones de SOC | - Puntuación alta, media o baja para la cobertura de detección actual. Este tipo de puntuación puede ayudarle a decidir qué recomendaciones priorizar de un vistazo. - Una indicación del número de productos activos de Microsoft Defender (servicios) de entre todos los productos disponibles. Esto le ayuda a comprender si hay un producto completo que falta en su entorno. |
|
Panel lateral de detalles de optimización se muestra al explorar en profundidad una optimización específica |
- Análisis detallado de cobertura, incluido el número de detecciones definidas por el usuario, acciones de respuesta y productos que tiene activos. - Gráficos de araña detallados que muestran su cobertura en diferentes categorías de amenazas, tanto para las detecciones definidas por el usuario como incluidas. - Una opción para saltar al escenario de amenazas específico en la página MITRE ATT&CK en lugar de ver la cobertura de MITRE ATT&CK solo en el panel lateral. - Una opción para ver el escenario de amenazas completa para explorar en profundidad aún más detalles sobre los productos de seguridad y las detecciones disponibles para proporcionar cobertura de seguridad en su entorno. |
| Página MITRE ATT&CK | - Un nuevo botón de alternancia para ver la cobertura por escenario de amenaza. Si ha saltado a la página MITRE ATT&CK desde un panel lateral de detalles de recomendación o desde la página Ver escenario de amenazas completa , la página MITRE ATT&CK se filtra previamente para su escenario de amenazas. - El panel de detalles de la técnica, que se muestra en el lateral al seleccionar una técnica específica de MITRE ATT&CK, muestra ahora el número de detecciones activas de todas las detecciones disponibles para esa técnica. |
Para obtener más información, vea Optimizar sus operaciones de seguridad y Comprender la cobertura de seguridad por el marco MITRE ATT&CK.
Visualización detallada del contenido de una solución en el Centro de contenido de Microsoft Sentinel
Ahora puede ver el contenido individual disponible en una solución específica directamente desde el centro de contenido, incluso antes de instalar la solución. Esta nueva visibilidad le ayuda a conocer el contenido disponible y a identificar, planear e instalar las soluciones específicas que necesita más fácilmente.
Expanda cada solución en el Centro de contenido para ver el contenido de seguridad incluido. Por ejemplo:
Las actualizaciones del contenido detallado de la solución también incluyen un motor de búsqueda basado en IA generativa que le ayuda a ejecutar búsquedas más sólidas, profundizar en el contenido de la solución y devolver resultados para términos similares.
Para obtener más información, vea Detectar contenido.