Novedades de Microsoft Azure Sentinel
En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel.
Las características enumeradas se publicaron en los últimos tres meses. Para más información sobre las características anteriores, consulte los blogs de Tech Community.
Reciba una notificación cuando se actualice esta página. Para ello, copie y pegue la siguiente dirección URL en su lector de fuentes: https://aka.ms/sentinel/rss
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Septiembre de 2024
- Asignación de esquema agregada a la experiencia de migración de SIEM
- Widgets de enriquecimiento de terceros que se retirarán en febrero de 2025
- Las reservas de Azure ahora tienen planes de compra anticipada disponibles para Microsoft Sentinel
- Importación y exportación de reglas de automatización ahora disponibles con carácter general (GA)
- Los conectores de datos de Google Cloud Platform ahora están disponibles con carácter general (GA)
- Microsoft Sentinel ya está generalmente disponible (GA) en Azure Centro de Israel
Asignación de esquema agregada a la experiencia de migración de SIEM
Desde que la experiencia de migración de SIEM estuvo disponible de forma generalizada en mayo de 2024, se han realizado mejoras constantes para ayudar a migrar su supervisión de seguridad desde Splunk. Las siguientes características nuevas permiten a los clientes proporcionar más detalles contextuales sobre su entorno de Splunk y su uso en el motor de traducción de migración SIEM de Microsoft Sentinel:
- Asignación de esquemas
- Compatibilidad con macros de Splunk en la traducción
- Compatibilidad con las búsquedas de Splunk en la traducción
Para más información sobre estas actualizaciones, consulte Experiencia de migración de SIEM.
Para obtener más información sobre la experiencia de migración de SIEM, consulte los siguientes artículos:
- Conviértase en un experto de Microsoft Sentinel: sección de migración
- Actualización de migración de SIEM: blog de Microsoft Sentinel
Widgets de enriquecimiento de terceros que se retirarán en febrero de 2025
Efectivo inmediatamente, ya no puede habilitar la característica para crear widgets de enriquecimiento que recuperen datos de orígenes de datos externos y de terceros. Estos widgets se muestran en las páginas de entidades de Microsoft Sentinel y en otras ubicaciones donde se presenta la información de la entidad. Este cambio se produce porque ya no se puede crear el almacén de claves de Azure necesario para acceder a estos orígenes de datos externos.
Si ya usa widgets de enriquecimiento de terceros, es decir, si este almacén de claves ya existe, todavía puede configurar y usar widgets que no estaba usando antes, aunque no se recomienda hacerlo.
A partir de Febrero de 2025, los widgets de enriquecimiento existentes que recuperen datos de orígenes de terceros dejarán de mostrarse, en páginas de entidad o en cualquier otro lugar.
Si su organización usa widgets de enriquecimiento de terceros, se recomienda deshabilitarlos de antemano mediante la eliminación del almacén de claves que creó para este propósito desde su grupo de recursos. El nombre del almacén de claves comienza por "widgets".
Los widgets de enriquecimiento basados en orígenes de datos propios no se ven afectados por este cambio y seguirán funcionando como antes. Los "orígenes de datos de primera entidad" incluyen los datos que ya se han ingerido en Microsoft Sentinel desde orígenes externos (es decir, cualquier cosa de las tablas del área de trabajo de Log Analytics) e Inteligencia sobre amenazas de Microsoft Defender.
Planes de compra anticipada disponibles actualmente para Microsoft Sentinel
Los planes de compra anticipada son un tipo de reserva de Azure. Al comprar un plan de compra anticipada, obtendrá unidades de confirmación (CU) en niveles con descuento para un producto concreto. Las unidades de confirmación (SCU) de Microsoft Sentinel se aplican a los costos elegibles en el área de trabajo. Cuando tenga costos predecibles, la elección del plan de compra anticipada adecuado ahorra dinero.
Para obtener información, consulte Optimización de costos con un plan de compra anticipada.
Importación y exportación de reglas de automatización ahora disponibles con carácter general (GA)
La capacidad de exportar reglas de automatización a plantillas de Azure Resource Manager (ARM) en formato JSON y importarlas desde plantillas de ARM ahora está disponible con carácter general después de un breve período de versión preliminar.
Obtenga más información sobre la exportación e importación de reglas de automatización.
Los conectores de datos de Google Cloud Platform ahora están disponibles con carácter general (GA)
Los conectores de datos de Google Cloud Platform (GCP) de Microsoft Sentinel, basados en nuestra Plataforma de conectores sin código (CCP) ya están disponibles con carácter general. Con estos conectores, puede ingerir registros desde el entorno de GCP mediante la funcionalidad Pub/Sub de GCP:
El Conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.
El Conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila conclusiones de Google Security Command Center, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluido el inventario y la detección de activos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.
Para obtener más información sobre estos conectores, consulte Ingesta de datos de registro de Google Cloud Platform en Microsoft Sentinel.
Microsoft Sentinel ya está generalmente disponible (GA) en Azure Centro de Israel
Microsoft Sentinel ya está disponible en la región de Azure Centro de Israel, con el mismo conjunto de características que todas las demás regiones comerciales de Azure.
Para obtener más información, consulte la compatibilidad con características de Microsoft Sentinel para nubes comerciales y otras nubes de Azure y disponibilidad geográfica y residencia de datos en Microsoft Sentinel.
Agosto de 2024
- Retirada del agente de Log Analytics
- Reglas de automatización de exportación e importación (versión preliminar)
- Compatibilidad de Microsoft Sentinel con la administración multiinquilino de Microsoft Defender (versión preliminar)
- Conector de datos de inteligencia sobre amenazas de Microsoft Defender Premium (versión preliminar)
- Conectores unificados basados en AMA para la ingesta de Syslog
- Mejor visibilidad de los eventos de seguridad de Windows
- Nuevo plan de retención de registros auxiliares (versión preliminar)
- Creación de reglas de resumen para grandes conjuntos de datos (versión preliminar)
Retirada del agente de Log Analytics
El agente de Log Analytics (MMA/OMS) se ha retirado el 31 de agosto de 2024.
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Si ha usado el agente de Log Analytics en la implementación de Microsoft Sentinel, se recomienda completar la migración al agente de Azure Monitor (AMA).
Para más información, vea:
- Búsqueda del conector de datos de Microsoft Sentinel
- Migración al agente de Azure Monitor desde el agente de Log Analytics
- Migración de AMA para Microsoft Sentinel
- Blogs:
Reglas de automatización de exportación e importación (Vista previa)
Administre las reglas de automatización de Microsoft Sentinel como código. Ahora puede exportar las reglas de automatización a los archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos, como parte del programa para administrar y controlar las implementaciones de Microsoft Sentinel como código. La acción de exportación creará un archivo JSON en la ubicación de descargas del explorador, que puede cambiar el nombre, mover y, de lo contrario, controlar como cualquier otro archivo.
El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.
El archivo incluye todos los parámetros definidos en la regla de automatización. Las reglas de cualquier tipo de desencadenador se pueden exportar a un archivo JSON.
Obtenga más información sobre la exportación e importación de reglas de automatización.
Compatibilidad de Microsoft Sentinel con la administración multiinquilino de Microsoft Defender (versión preliminar)
Si ha incorporado Microsoft Sentinel a la plataforma de operaciones de seguridad unificada de Microsoft, los datos de Microsoft Sentinel ahora están disponibles con los datos de XDR de Defender en la administración multiinquilino de Microsoft Defender. Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en la plataforma de operaciones de seguridad unificada de Microsoft. Por lo tanto, la administración multiinquilino de Microsoft Defender muestra los datos de administración de eventos e información de seguridad (SIEM) de un área de trabajo de Microsoft Sentinel por inquilino. Para obtener más información, consulte Administración multiinquilino de Microsoft Defender y Microsoft Sentinel en el portal de Microsoft Defender.
Conector de datos de inteligencia sobre amenazas de Microsoft Defender Premium (versión preliminar)
Su licencia Premium para inteligencia sobre amenazas de Microsoft Defender (MDTI) ahora desbloquea la capacidad de ingerir todos los indicadores Premium directamente en el área de trabajo. El conector de datos de MDTI Premium agrega más a las funcionalidades de búsqueda e investigación dentro de Microsoft Sentinel.
Para más información, consulte Inteligencia sobre amenazas.
Conectores unificados basados en AMA para la ingesta de Syslog
Con la retirada inminente del agente de Log Analytics, Microsoft Sentinel ha consolidado la recopilación y la ingesta de mensajes de registro de Syslog, CEF y de formato personalizado en tres conectores de datos de varios propósitos basados en el agente de Azure Monitor (AMA):
- Syslog a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla Syslog de Log Analytics.
- Formato de evento común (CEF) a través de AMA, para cualquier dispositivo cuyos registros se ingieren en la tabla CommonSecurityLog de Log Analytics.
- Nuevo Registros personalizados a través de AMA (versión preliminar)para cualquiera de los 15 tipos de dispositivos, o cualquier dispositivo no incluido en la lista, cuyos registros se ingieren en tablas personalizadas con nombres que terminan en _CL en Log Analytics.
Estos conectores sustituyen a casi todos los conectores existentes para tipos de dispositivos y aparatos individuales que existían hasta ahora, que se basaban en el agente de Log Analytics heredado (también conocido como MMA u OMS) o en el agente de Azure Monitor actual. Las soluciones proporcionadas en el centro de contenidos para todos estos dispositivos y aparatos incluyen ahora cualquiera de estos tres conectores que sea adecuado para la solución.* Los conectores reemplazados se marcan ahora como "En desuso" en la galería de conectores de datos.
Los gráficos de ingesta de datos que antes se encontraban en la página de conectores de cada dispositivo ahora se pueden encontrar en los libros específicos de cada dispositivo empaquetados con la solución de cada dispositivo.
* Al instalar la solución para cualquiera de estas aplicaciones, dispositivos o aparatos, para asegurarse de que está instalado el conector de datos adjunto, debe seleccionar Instalar con dependencias en la página de la solución y, a continuación, marcar el conector de datos en la siguiente página.
Para conocer los procedimientos actualizados para instalar estas soluciones, consulte los siguientes artículos:
- CEF a través del conector de datos AMA: configure un dispositivo específico para la ingesta de datos de Microsoft Sentinel
- Syslog a través del conector de datos AMA: configure un dispositivo específico para la ingesta de datos de Microsoft Sentinel
- Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos en Microsoft Sentinel desde aplicaciones específicas
Mejor visibilidad de los eventos de seguridad de Windows
Hemos mejorado el esquema de la tabla SecurityEvent que hospeda eventos de seguridad de Windows y hemos agregado nuevas columnas para garantizar la compatibilidad con el Agente de Azure Monitor (AMA) para Windows (versión 1.28.2). Estas mejoras están diseñadas para aumentar la visibilidad y la transparencia de los eventos recopilados de Windows. Si no está interesado en recibir datos en estos campos, puede aplicar una transformación en tiempo de ingesta (por ejemplo, "project-away") para quitarlos.
Nuevo plan de retención de registros auxiliares (versión preliminar)
El nuevo plan de retención de registros auxiliares para tablas de Log Analytics permite ingerir grandes cantidades de registros de gran volumen con un valor complementario para la seguridad a un costo mucho menor. Los registros auxiliares están disponibles con retención interactiva durante 30 días, en los que puede ejecutar consultas simples y de tabla única en ellos, como resumir y agregar los datos. Después de ese período de 30 días, los datos de registro auxiliares van a la retención a largo plazo, que puede definir durante un máximo de 12 años, a un costo ultra bajo. Este plan también le permite ejecutar trabajos de búsqueda en los datos de retención a largo plazo, extrayendo solo los registros que desea usar para una nueva tabla que puede tratar como una tabla normal de Log Analytics, con funcionalidades de consulta completas.
Para más información sobre los registros auxiliares y compararlos con los registros de Analytics, consulte Planes de retención de registros en Microsoft Sentinel.
Para obtener información más detallada sobre los diferentes planes de administración de registros, consulte Planes de tabla en el artículo Introducción a los registros de Azure Monitor de la documentación de Azure Monitor.
Creación de reglas de resumen en Microsoft Sentinel para grandes conjuntos de datos (versión preliminar)
Microsoft Sentinel ofrece ahora la capacidad de crear resúmenes dinámicos mediante las reglas de resumen de Azure Monitor, que agregan grandes conjuntos de datos en segundo plano para lograr una experiencia más fluida de las operaciones de seguridad en todos los niveles de registro.
- Acceda a los resultados de las reglas de resumen mediante el Lenguaje de consulta Kusto (KQL) en las actividades de detección, investigación, búsqueda y creación de informes.
- Ejecute consultas de alto rendimiento en Lenguaje de consulta Kusto (KQL) en los datos resumidos.
- Use los resultados de reglas de resumen durante períodos más largos en las investigaciones, la búsqueda y las actividades de cumplimiento.
Para obtener más información, consulte Agregar datos de Microsoft Sentinel con reglas de resumen.
Julio de 2024
- Optimizaciones de SOC ahora disponibles con carácter general
- Conector de SAP Business Technology Platform (BTP) ahora disponible con carácter general
- La plataforma de seguridad unificada de Microsoft ahora está disponible con carácter general
Optimizaciones de SOC ahora disponibles con carácter general
La experiencia de optimización de SOC en los portales de Azure y Defender ahora está disponible con carácter general para todos los clientes de Microsoft Sentinel, incluidas las recomendaciones basadas en amenazas y el valor de los datos.
Use recomendaciones de valor de datos para mejorar el uso de datos de los registros facturables ingeridos, obtener visibilidad de los registros infrautilizados y descubrir las detecciones adecuadas para esos registros o los ajustes adecuados para su nivel o ingesta de registros.
Use recomendaciones basadas en amenazas para ayudar a identificar brechas en la cobertura contra ataques específicos basados en investigaciones de Microsoft y mitigarlas mediante la ingesta de los registros recomendados y la adición de detecciones recomendadas.
La API de recommendations
todavía está en versión preliminar.
Para más información, vea:
Conector de SAP Business Technology Platform (BTP) ahora disponible con carácter general (GA)
La solución Microsoft Sentinel para SAP BTP ya está disponible con carácter general (GA). Esta solución proporciona visibilidad sobre el entorno de SAP BTP y le ayuda a detectar y responder a amenazas y actividades sospechosas.
Para más información, vea:
- Solución Microsoft Sentinel para SAP Business Technology Platform (BTP)
- Implementación de la Solución Microsoft Sentinel para SAP BTP
- Microsoft Sentinel Solution para SAP BTP: referencia de contenido de seguridad
La plataforma de seguridad unificada de Microsoft ahora está disponible con carácter general
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. La plataforma de operaciones de seguridad unificada de Microsoft reúne todas las funcionalidades de Microsoft Sentinel, Microsoft Defender XDR y Microsoft Copilot en Microsoft Defender. Para obtener más información, consulte los siguientes recursos:
- Entrada de blog: Disponibilidad general de la plataforma de operaciones de seguridad unificada de Microsoft
- Microsoft Sentinel en el portal de Microsoft Defender
- Conectar Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Copilot en Microsoft Defender
Junio de 2024
- Codeless Connector Platform ya está disponible con carácter general
- Funcionalidad de búsqueda de indicador de amenazas avanzada disponible
Codeless Connector Platform ya está disponible con carácter general
Codeless Connector Platform (CCP) ya está disponible con carácter general (GA). Eche un vistazo a la publicación del blog del anuncio.
Para obtener más información sobre las mejoras y las posibilidades del generador de conectores sin código (CCP), consulte Creación de un conector sin código para Microsoft Sentinel.
Funcionalidad de búsqueda de indicador de amenazas avanzada disponible
Se han mejorado las funcionalidades de búsqueda y filtrado de inteligencia sobre amenazas y la experiencia ahora tiene paridad en los portales de Microsoft Sentinel y Microsoft Defender. La búsqueda admite un máximo de 10 condiciones con cada uno que contenga hasta 3 subclases.
Para obtener más información, vea la captura de pantalla actualizada en Ver y administrar los indicadores de amenazas.