Nouveautés de Microsoft Sentinel

Cet article liste les fonctionnalités récentes ajoutées à Microsoft Sentinel et les nouvelles fonctionnalités des services associés qui offrent une expérience utilisateur améliorée dans Microsoft Sentinel.

Les fonctionnalités répertoriées ont été publiées au cours des trois derniers mois. Pour plus d’informations sur les fonctionnalités précédentes fournies, consultez nos blogs Tech Community.

Recevez une notification quand cette page est mise à jour en copiant et collant l’URL suivante dans votre lecteur de flux : https://aka.ms/sentinel/rss

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Avril 2024

• Plateforme d’opérations de sécurité unifiée sur le portail Microsoft Defender (préversion)
• Microsoft Sentinel est désormais à disposition générale dans Azure China 21Vianet
• Deux détections d’anomalies interrompues
• Microsoft Sentinel maintenant disponible dans la région Italie Nord

Plateforme d’opérations de sécurité unifiée sur le portail Microsoft Defender (préversion)

La plateforme d’opérations de sécurité unifiée sur le portail Microsoft Defender est désormais disponible. Cette version regroupe les fonctionnalités complètes de Microsoft Sentinel, Microsoft Defender XDR et Microsoft Copilot dans Microsoft Defender. Pour plus d’informations, consultez les ressources suivantes :

• Annonce de blog : Plateforme d’opérations de sécurité unifiée avec Microsoft Sentinel et Microsoft Defender XDR
• Microsoft Sentinel sur le portail Microsoft Defender
• Connecter Microsoft Sentinel à Microsoft Defender XDR
• Microsoft Sécurité Copilot dans Microsoft Defender XDR

Microsoft Sentinel est désormais à disposition générale dans Azure China 21Vianet

Microsoft Sentinel est désormais à disposition générale dans Azure China 21Vianet. Les fonctionnalités individuelles peuvent toujours être en préversion publique, comme indiqué dans la Prise en charge des fonctionnalités de Microsoft Sentinel pour les clouds commerciaux/autres Azure.

Pour plus d’informations, consultez également Disponibilité géographique et résidence des données dans Microsoft Sentinel.

Deux détections d’anomalies interrompues

Les détections d’anomalies suivantes sont interrompues depuis le 26 mars 2024, en raison de la faible qualité des résultats :

• Anomalie Palo Alto de réputation de domaine
• Connexions multirégions en une seule journée via Palo Alto GlobalProtect

Pour la liste complète des détections d’anomalies, consultez lapage de référence sur les anomalies.

Microsoft Sentinel est disponible dans la région Italie Nord

Microsoft Sentinel est désormais disponible dans la région Azure Italie Nord avec le même ensemble de fonctionnalités que dans toutes les autres régions commerciales Azure, comme indiqué dans Prise en charge des fonctionnalités Microsoft Sentinel pour les clouds commerciaux/autres Azure.

Pour plus d’informations, consultez également Disponibilité géographique et résidence des données dans Microsoft Sentinel.

Mars 2024

• Expérience de migration SIEM désormais à disposition générale
• Connecteur Amazon Web Services S3 désormais en disponibilité générale (GA)
• Générateur de connecteurs sans code (préversion)
• Connecteurs de données pour Syslog et CEF basés sur Azure Monitor Agent désormais généralement disponibles (GA)

Expérience de migration SIEM désormais à disposition générale

Au début du mois, nous avons annoncé la préversion de migration SIEM. Nous sommes à la fin du mois et elle est déjà à disposition générale ! La nouvelle expérience de migration Microsoft Sentinel aide les clients et les partenaires à automatiser le processus de migration de leurs cas d'usage d’analyse de la sécurité hébergés dans des produits non Microsoft vers Microsoft Sentinel.

• Cette première version de l'outil prend en charge les migrations depuis Splunk

Pour plus d’informations, consultez Migrer vers Microsoft Sentinel avec l'expérience de migration SIEM

Rejoignez notre Communauté de sécurité pour un webinaire présentant l’expérience de migration SIEM le 2 mai 2024.

Connecteur Amazon Web Services S3 désormais en disponibilité générale (GA)

Microsoft Sentinel a publié le connecteur de données AWS S3 en disponibilité générale (GA). Vous pouvez utiliser ce connecteur pour ingérer des journaux à partir de plusieurs services AWS vers Microsoft Sentinel à l’aide d’un compartiment S3 et du service de mise en file d’attente des messages simple d’AWS.

Parallèlement à cette mise en production, la configuration de ce connecteur a légèrement changé pour les clients du cloud commercial Azure. L’authentification utilisateur auprès d’AWS s’effectue désormais à l’aide d’un fournisseur d’identité web OpenID Connect (OIDC), plutôt que par le biais de l’ID d’application Microsoft Sentinel en combinaison avec l’ID d’espace de travail client. Les clients existants peuvent continuer à utiliser leur configuration actuelle pour le moment, et seront avertis à l’avance de la nécessité d’apporter des modifications.

Pour en savoir plus sur le connecteur AWS S3, consultez Connecter Microsoft Sentinel à Amazon Web Services pour ingérer les données des journaux des services AWS.

Générateur de connecteurs sans code (préversion)

Nous disposons maintenant d’un classeur qui permet de naviguer dans le JSON complexe impliqué dans le déploiement d’un modèle ARM pour les connecteurs de données de la plateforme de connecteurs sans code (CCP, codeless connector platform). Utilisez l’interface conviviale du générateur de connecteurs sans code pour simplifier votre développement.

Pour plus d’informations, consultez notre billet de blog Créer des connecteurs sans code avec le Générateur de connecteurs sans code (préversion).

Pour plus d’informations sur la plateforme CCP, consultez Créer un connecteur sans code pour Microsoft Sentinel (préversion publique).

Connecteurs de données pour Syslog et CEF basés sur Azure Monitor Agent désormais généralement disponibles (GA)

Microsoft Sentinel a publié deux connecteurs de données supplémentaires basés sur Azure Monitor Agent (AMA) en disponibilité générale. Vous pouvez désormais utiliser ces connecteurs pour déployer des règles de collecte de données (DCR) sur les machines installées par Azure Monitor Agent afin de collecter les messages Syslog, y compris ceux au format Common Event Format (CEF).

Pour en savoir plus sur les connecteurs Syslog et CEF, consultez Ingérer les journaux Syslog et CEF avec l'agent Azure Monitor.

Février 2024

• Préversion disponible de la solution Microsoft Sentinel pour Microsoft Power Platform
• Nouveau connecteur basé sur Google Pub/Sub pour l’ingestion de résultats de Security Command Center (Préversion)
• Tâches d’incident désormais en disponibilité générale (GA)
• Les connecteurs de données AWS et GCP prennent désormais en charge les clouds Azure Government
• Événements DNS Windows via le connecteur AMA désormais en disponibilité générale (GA)

Préversion disponible de la solution Microsoft Sentinel pour Microsoft Power Platform

La solution Microsoft Sentinel pour Microsoft Power Platform (préversion) vous permet de monitorer et de détecter des activités suspectes ou malveillante dans votre environnement Power Platform. La solution collecte des journaux d’activité à partir de divers composants et données d’inventaire de Power Platform. Elle analyse ces journaux d’activité pour détecter des menaces et des activités suspectes telles que les activités suivantes :

• Exécution de Power Apps à partir de zones géographiques non autorisées
• Destruction de données suspectes par Power Apps
• Suppression en masse de Power Apps
• Attaques par hameçonnage possibles via Power Apps
• Activité de flux Power Automate par des employés qui quittent l’entreprise
• Connecteurs Microsoft Power Platform ajoutés à l’environnement
• Mise à jour ou suppression de stratégies de protection contre la perte de données Microsoft Power Platform

Recherchez cette solution dans le hub de contenu de Microsoft Sentinel.

Pour plus d’informations, consultez l’article suivant :

• Vue d’ensemble de la solution Microsoft Sentinel pour Microsoft Power Platform
• Solution Microsoft Sentinel pour Microsoft Power Platform : informations de référence relatives au contenu de sécurité
• Déployer la solution Microsoft Sentinel pour Microsoft Power Platform

Nouveau connecteur basé sur Google Pub/Sub pour l’ingestion de résultats de Security Command Center (Préversion)

Vous pouvez désormais ingérer des journaux à partir du Security Command Center de Google en utilisant le nouveau connecteur basé sur Pub/Sub de Google Cloud Platform (GCP) (maintenant en PRÉVERSION).

Le Security Command Center de Google Cloud Platform (GCP) constitue une plateforme puissante de gestion des risques et de la sécurité pour Google Cloud. Elle fournit des fonctionnalités comme l’inventaire et la détection de ressources, la détection des vulnérabilités et des menaces et la correction et l’atténuation des risques. Ces fonctionnalités vous permettent d’obtenir des insights et un contrôle sur la surface d’attaque de données et la posture de sécurité de votre organisation et d’améliorer votre capacité à gérer efficacement des tâches liées aux ressources et aux résultats.

L’intégration à Microsoft Sentinel vous permet d’obtenir une visibilité et un contrôle sur l’ensemble de votre environnement cloud à partir d’un « volet unique ».

• Découvrez comment configurer le nouveau connecteur et ingérer des événements du Security Command Center de Google.

Tâches d’incident désormais en disponibilité générale (GA)

Les tâches d’incident, qui vous permettent de standardiser vos pratiques d’investigation et de réponse aux incidents pour pouvoir gérer plus efficacement le workflow des incidents, sont désormais en disponibilité générale (GA) dans Microsoft Sentinel.

• Découvrez plus en détail les tâches d’incident dans la documentation de Microsoft Sentinel :

  • Utiliser des tâches pour gérer les incidents dans Microsoft Sentinel
  • Utiliser des tâches d’incident dans Microsoft Sentinel
  • Auditer et suivre les changements apportés aux tâches d’incident dans Microsoft Sentinel

• Consultez ce billet de blog de Benji Kovacevic, qui montre comment utiliser les tâches d’incident en combinaison avec des Watchlists, des règles d’automatisation et des playbooks pour générer une solution de gestion des tâches en deux parties :

  • Référentiel de tâches d’incident.
  • Mécanisme qui attache automatiquement des tâches aux incidents qui viennent d’être créés, en fonction du titre de l’incident, et les affecte au personnel approprié.

Les connecteurs de données AWS et GCP prennent désormais en charge les clouds Azure Government

Les connecteurs de données Microsoft Sentinel pour Amazon Web Services (AWS) et Google Cloud Platform (GCP) incluent désormais des configurations de prise en charge pour ingérer des données dans des espaces de travail au sein de clouds Azure Government.

Les configurations de ces connecteurs pour les clients Azure Government diffèrent légèrement de la configuration du cloud public. Pour plus d’informations, consultez la documentation pertinente :

• Connecter Microsoft Sentinel à Amazon Web Services pour ingérer les données des journaux des services AWS
• Ingérer des données de journal Google Cloud Platform dans Microsoft Sentinel

Les événements DNS Windows via le connecteur AMA sont désormais en disponibilité générale (GA)

Les événements DNS Windows peuvent désormais être ingérés dans Microsoft Sentinel en utilisant l’agent Azure Monitor avec le connecteur de données désormais disponible en disponibilité générale. Ce connecteur vous permet de définir des règles de collecte de données (DCR) et des filtres puissants et complexes afin de n’ingérer que les enregistrements et champs DNS spécifiques dont vous avez besoin.

• Pour plus d’informations, consultez Diffuser en continu et filtrer des données à partir de serveurs DNS Windows avec le connecteur AMA.

Janvier 2024

Réduire les faux positifs pour les systèmes SAP avec des règles analytiques

Réduire les faux positifs pour les systèmes SAP avec des règles d’analyse

Utilisez des règles d’analyse avec la Solution Microsoft Sentinel pour les applications SAP® afin de réduire le nombre de faux positifs déclenchés par vos systèmes SAP®. La solution Microsoft Sentinel pour SAP® comprend désormais les améliorations suivantes :

• La fonction SAPUsersGetVIP prend désormais en charge l’exclusion des utilisateurs en fonction de leurs rôles ou profil attribués par SAP.

• La Watchlist SAP_User_Config prend désormais en charge l’utilisation de caractères génériques dans le champ SAPUser pour exclure tous les utilisateurs avec une syntaxe spécifique.

Pour plus d’informations, consultez la Référence de données de la Solution Microsoft Sentinel pour les applications SAP® et Gérer les faux positifs dans Microsoft Sentinel.

Étapes suivantes

Intégrer Azure Sentinel

Obtenir une visibilité des alertes