A Microsoft Sentinel újdonságai
Ez a cikk a Microsoft Sentinelhez újonnan hozzáadott funkciókat, valamint a kapcsolódó szolgáltatások új funkcióit sorolja fel, amelyek továbbfejlesztett felhasználói élményt nyújtanak a Microsoft Sentinelben.
A felsorolt funkciók az elmúlt három hónapban jelentek meg. A korábbi szolgáltatásokról a Tech Community blogjaiban talál további információt.
Értesítést kaphat a lap frissítésekor a következő URL-cím másolásával és beillesztésével a hírcsatorna-olvasóba: https://aka.ms/sentinel/rss
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
2024. április
- Egyesített biztonsági üzemeltetési platform a Microsoft Defender portálon (előzetes verzió)
- A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben
- Két anomáliadetektálás megszűnt
- A Microsoft Sentinel mostantól elérhető Olaszország északi régiójában
Egyesített biztonsági üzemeltetési platform a Microsoft Defender portálon (előzetes verzió)
A Microsoft Defender portál egyesített biztonsági üzemeltetési platformja már elérhető. Ez a kiadás a Microsoft Sentinel, a Microsoft Defender XDR és a Microsoft Copilot teljes képességeit egyesíti a Microsoft Defenderben. További információkat találhat az alábbi forrásokban:
- Blogbejegyzés: Egyesített biztonsági üzemeltetési platform a Microsoft Sentinel és a Microsoft Defender XDR használatával
- Microsoft Sentinel a Microsoft Defender portálon
- A Microsoft Sentinel Csatlakozás a Microsoft Defender XDR-be
- Microsoft Security Copilot a Microsoft Defender XDR-ben
A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben
A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben. Előfordulhat, hogy az egyes funkciók továbbra is nyilvános előzetes verzióban jelennek meg, ahogy az Azure kereskedelmi/egyéb felhők Microsoft Sentinel-funkciótámogatásában is szerepel.
További információ: Földrajzi rendelkezésre állás és adattárolás a Microsoft Sentinelben.
Két anomáliadetektálás megszűnt
A következő anomáliadetektálások 2024. március 26-ától megszűnnek az alacsony minőségű eredmények miatt:
- Domain Reputation Palo Alto anomália
- Többrégiós bejelentkezések egyetlen nap alatt a Palo Alto GlobalProtecten keresztül
Az anomáliadetektálások teljes listáját az anomáliák referenciaoldalán találja.
A Microsoft Sentinel mostantól elérhető Olaszország északi régiójában
A Microsoft Sentinel mostantól elérhető olaszországi észak-Azure-régióban, ugyanazzal a funkciókészlettel, mint az Összes többi Azure Kereskedelmi régió, amelyet a Microsoft Sentinel szolgáltatástámogatása tartalmaz az Azure kereskedelmi és egyéb felhők esetében.
További információ: Földrajzi rendelkezésre állás és adattárolás a Microsoft Sentinelben.
2024. március
- Általánosan elérhető a SIEM migrálási felülete (GA)
- Általánosan elérhető az Amazon Web Services S3-összekötő (GA)
- Kód nélküli Csatlakozás or builder (előzetes verzió)
- Általánosan elérhetőek az Azure Monitor-ügynökön alapuló Syslog- és CEF-összekötők (GA)
Általánosan elérhető a SIEM migrálási felülete (GA)
A hónap elején bejelentettük a SIEM migrálási előzetesét. A hónap végén már ga! A Microsoft Sentinel új migrálási felülete segít az ügyfeleknek és partnereknek automatizálni a nem Microsoft-termékekben üzemeltetett biztonsági monitorozási használati esetek Microsoft Sentinelbe való migrálásának folyamatát.
- Az eszköz első verziója támogatja a Splunkból való migrálást
További információ: Migrálás a Microsoft Sentinelbe a SIEM migrálási felületével
Csatlakozzon biztonsági közösségünkhöz a SIEM migrálási élményét bemutató webináriumért 2024. május 2-án.
Általánosan elérhető az Amazon Web Services S3-összekötő (GA)
A Microsoft Sentinel kiadta az AWS S3 adatösszekötőt az általános rendelkezésre állás (GA) számára. Ezzel az összekötővel több AWS-szolgáltatás naplóit is betöltheti a Microsoft Sentinelbe egy S3-gyűjtő és az AWS egyszerű üzenetsor-kezelési szolgáltatása használatával.
Ezzel a kiadással egyidejűleg ez az összekötő konfigurációja kissé megváltozott az Azure Commercial Cloud-ügyfelek számára. Az AWS-hez való felhasználói hitelesítés most már openID Csatlakozás (OIDC) webes identitásszolgáltatóval történik, nem pedig a Microsoft Sentinel alkalmazásazonosítón keresztül az ügyfél munkaterület-azonosítójával kombinálva. A meglévő ügyfelek egyelőre továbbra is használhatják a jelenlegi konfigurációjukat, és a módosítások szükségességéről már jóval korábban értesítést kapnak.
Az AWS S3-összekötővel kapcsolatos további információkért lásd: Csatlakozás Microsoft Sentinel az Amazon Web Services szolgáltatásba az AWS szolgáltatás naplóadatainak betöltéséhez
Kód nélküli összekötőkészítő (előzetes verzió)
Most már van egy munkafüzetünk, amely segít navigálni a kód nélküli összekötőplatformok (CCP) adatösszekötőinek ARM-sablonjának üzembe helyezésében részt vevő összetett JSON-ban. A kód nélküli összekötőkészítő felhasználóbarát felületével egyszerűsítheti a fejlesztést.
További részletekért tekintse meg blogbejegyzésünket, a Kód nélküli Csatlakozás orok létrehozása a Kód nélküli Csatlakozás or Builderrel (előzetes verzió) című cikket.
A központi szerződő félről további információt a Microsoft Sentinel kód nélküli összekötőjének létrehozása (nyilvános előzetes verzió) című témakörben talál.
Általánosan elérhetőek az Azure Monitor-ügynökön alapuló Syslog- és CEF-összekötők (GA)
A Microsoft Sentinel két további adatösszekötőt is kiadott az Azure Monitor Agent (AMA) alapján az általános rendelkezésre állás érdekében. Ezeket az összekötőket most már használhatja adatgyűjtési szabályok (DCR-ek) üzembe helyezéséhez az Azure Monitor Ügynök által telepített gépeken a Syslog-üzenetek gyűjtéséhez, beleértve a Common Event Format (CEF) formátumú üzeneteket is.
A Syslog- és CEF-összekötőkkel kapcsolatos további információkért lásd : Ingest Syslog és CEF logs with the Azure Monitor Agent.
2024. február
- Elérhető a Microsoft Power Platformhoz készült Microsoft Sentinel-megoldás előzetes verziója
- Új Google Pub/Al-alapú összekötő a Security Command Center eredményeinek betöltéséhez (előzetes verzió)
- Általánosan elérhető incidensfeladatok (GA)
- Az AWS- és GCP-adatösszekötők mostantól támogatják az Azure Government-felhőket
- Általánosan elérhetőek a Windows DNS-események az AMA-összekötőn keresztül (GA)
Elérhető a Microsoft Power Platformhoz készült Microsoft Sentinel-megoldás előzetes verziója
A Power Platformhoz készült Microsoft Sentinel-megoldás (előzetes verzió) lehetővé teszi a gyanús vagy rosszindulatú tevékenységek figyelését és észlelését a Power Platform-környezetben. A megoldás különböző Power Platform-összetevőkből és leltáradatokból gyűjti a tevékenységnaplókat. Elemzi ezeket a tevékenységnaplókat, hogy észlelje a fenyegetéseket és a gyanús tevékenységeket, például a következő tevékenységeket:
- Power Apps-végrehajtás jogosulatlan földrajzi helyekről
- Gyanús adatmegsemmisítés a Power Appsben
- A Power Apps tömeges törlése
- Adathalászati támadások a Power Appsen keresztül
- A Power Automate folyamattevékenysége távozó alkalmazottakkal
- Microsoft Power Platform-összekötők hozzáadva a környezethez
- A Microsoft Power Platform adatveszteség-megelőzési szabályzatainak frissítése vagy eltávolítása
Keresse meg ezt a megoldást a Microsoft Sentinel tartalomközpontban.
További információkért lásd:
- Microsoft Sentinel-megoldás a Microsoft Power Platformhoz – áttekintés
- Microsoft Sentinel-megoldás a Microsoft Power Platformhoz: biztonsági tartalomra vonatkozó referencia
- A Microsoft Power PlatformHoz készült Microsoft Sentinel-megoldás üzembe helyezése
Új Google Pub/Al-alapú összekötő a Security Command Center eredményeinek betöltéséhez (előzetes verzió)
Most már a Google Security Command Centerből is betöltheti a naplókat az új Google Cloud Platform (GCP) Pub/Sub-based összekötő használatával (most előzetes verzióban).
A Google Cloud Platform (GCP) Security Command Center egy robusztus biztonsági és kockázatkezelési platform a Google Cloud számára. Olyan funkciókat biztosít, mint az eszközök leltározása és felderítése, a biztonsági rések és fenyegetések észlelése, valamint a kockázatcsökkentés és a szervizelés. Ezek a képességek segítenek betekintést nyerni a szervezet biztonsági helyzetébe és az adattámadások felületébe, és hatékonyabbá teheti az eredményekhez és az eszközökhöz kapcsolódó feladatok kezelését.
A Microsoft Sentinel integrációja lehetővé teszi a teljes többfelhős környezet láthatóságát és vezérlését egy "egyetlen üvegablakból".
- Megtudhatja, hogyan állíthatja be az új összekötőt és betöltési eseményeket a Google Security Command Centerből.
Általánosan elérhető incidensfeladatok (GA)
A Microsoft Sentinelben általánosan elérhetőek az incidensvizsgálati és a válaszadási eljárások egységesítését segítő incidensfeladatok, amelyek segítségével hatékonyabban kezelheti az incidensek munkafolyamatait.
További információ az incidensfeladatokról a Microsoft Sentinel dokumentációjában:
Benji Kovacevic blogbejegyzése bemutatja, hogyan használhat incidensfeladatokat figyelőlistákkal, automatizálási szabályokkal és forgatókönyvekkel kombinálva egy feladatkezelési megoldást két részből:
- Az incidensfeladatok tárháza.
- Egy mechanizmus, amely automatikusan csatolja a feladatokat az újonnan létrehozott incidensekhez az incidens címe szerint, és hozzárendeli őket a megfelelő személyzethez.
Az AWS- és GCP-adatösszekötők mostantól támogatják az Azure Government-felhőket
Az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) Microsoft Sentinel adatösszekötői mostantól támogatják az adatok Azure Government-felhőkben lévő munkaterületekre való betöltését támogató konfigurációkat.
Az Azure Government-ügyfelek ezen összekötőinek konfigurációi kissé eltérnek a nyilvános felhőkonfigurációtól. Részletekért tekintse meg a vonatkozó dokumentációt:
- A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS-szolgáltatásnaplók adatainak betöltéséhez
- A Google Cloud Platform naplóadatainak betöltése a Microsoft Sentinelbe
Általánosan elérhetőek a Windows DNS-események az AMA-összekötőn keresztül (GA)
A Windows DNS-események mostantól betölthetők a Microsoft Sentinelbe az Azure Monitor-ügynök és az általánosan elérhető adatösszekötő használatával. Ez az összekötő lehetővé teszi adatgyűjtési szabályok (DCR-ek) és hatékony, összetett szűrők definiálását, hogy csak a szükséges DNS-rekordokat és mezőket használja be.
- További információért lásd: Windows DNS-szerverekről származó adatok streamelése és szűrése AMA-összekötőkkel.
2024. január
Sap-rendszerek hamis pozitív értékeinek csökkentése elemzési szabályokkal
Sap-rendszerek hamis pozitív értékeinek csökkentése elemzési szabályokkal
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldással együtt használjon elemzési szabályokat az SAP-rendszerekből® aktivált hamis pozitív értékek számának csökkentéséhez. Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a következő fejlesztéseket tartalmazza:
Az SAPUsersGetVIP függvény mostantól támogatja a felhasználók kizárását az SAP által megadott szerepkörük vagy profiljuk alapján.
A SAP_User_Config figyelőlista mostantól támogatja helyettesítő karakterek használatát az SAPUser mezőben, hogy kizárja az összes felhasználót egy adott szintaxissal.
További információ: Microsoft Sentinel megoldás SAP-alkalmazásokra® vonatkozó adatokra vonatkozó referencia és hamis pozitív értékek kezelése a Microsoft Sentinelben.