A Microsoft Sentinel újdonságai

Ez a cikk a Microsoft Sentinelhez újonnan hozzáadott funkciókat, valamint a kapcsolódó szolgáltatások új funkcióit sorolja fel, amelyek továbbfejlesztett felhasználói élményt nyújtanak a Microsoft Sentinelben.

A felsorolt funkciók az elmúlt három hónapban jelentek meg. A korábbi szolgáltatásokról a Tech Community blogjaiban talál további információt.

Értesítést kaphat a lap frissítésekor a következő URL-cím másolásával és beillesztésével a hírcsatorna-olvasóba: https://aka.ms/sentinel/rss

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

2024. április

• Egyesített biztonsági üzemeltetési platform a Microsoft Defender portálon (előzetes verzió)
• A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben
• Két anomáliadetektálás megszűnt
• A Microsoft Sentinel mostantól elérhető Olaszország északi régiójában

Egyesített biztonsági üzemeltetési platform a Microsoft Defender portálon (előzetes verzió)

A Microsoft Defender portál egyesített biztonsági üzemeltetési platformja már elérhető. Ez a kiadás a Microsoft Sentinel, a Microsoft Defender XDR és a Microsoft Copilot teljes képességeit egyesíti a Microsoft Defenderben. További információkat találhat az alábbi forrásokban:

• Blogbejegyzés: Egyesített biztonsági üzemeltetési platform a Microsoft Sentinel és a Microsoft Defender XDR használatával
• Microsoft Sentinel a Microsoft Defender portálon
• A Microsoft Sentinel Csatlakozás a Microsoft Defender XDR-be
• Microsoft Security Copilot a Microsoft Defender XDR-ben

A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben

A Microsoft Sentinel mostantól általánosan elérhető az Azure China 21Vianetben. Előfordulhat, hogy az egyes funkciók továbbra is nyilvános előzetes verzióban jelennek meg, ahogy az Azure kereskedelmi/egyéb felhők Microsoft Sentinel-funkciótámogatásában is szerepel.

További információ: Földrajzi rendelkezésre állás és adattárolás a Microsoft Sentinelben.

Két anomáliadetektálás megszűnt

A következő anomáliadetektálások 2024. március 26-ától megszűnnek az alacsony minőségű eredmények miatt:

• Domain Reputation Palo Alto anomália
• Többrégiós bejelentkezések egyetlen nap alatt a Palo Alto GlobalProtecten keresztül

Az anomáliadetektálások teljes listáját az anomáliák referenciaoldalán találja.

A Microsoft Sentinel mostantól elérhető Olaszország északi régiójában

A Microsoft Sentinel mostantól elérhető olaszországi észak-Azure-régióban, ugyanazzal a funkciókészlettel, mint az Összes többi Azure Kereskedelmi régió, amelyet a Microsoft Sentinel szolgáltatástámogatása tartalmaz az Azure kereskedelmi és egyéb felhők esetében.

További információ: Földrajzi rendelkezésre állás és adattárolás a Microsoft Sentinelben.

2024. március

• Általánosan elérhető a SIEM migrálási felülete (GA)
• Általánosan elérhető az Amazon Web Services S3-összekötő (GA)
• Kód nélküli Csatlakozás or builder (előzetes verzió)
• Általánosan elérhetőek az Azure Monitor-ügynökön alapuló Syslog- és CEF-összekötők (GA)

Általánosan elérhető a SIEM migrálási felülete (GA)

A hónap elején bejelentettük a SIEM migrálási előzetesét. A hónap végén már ga! A Microsoft Sentinel új migrálási felülete segít az ügyfeleknek és partnereknek automatizálni a nem Microsoft-termékekben üzemeltetett biztonsági monitorozási használati esetek Microsoft Sentinelbe való migrálásának folyamatát.

• Az eszköz első verziója támogatja a Splunkból való migrálást

További információ: Migrálás a Microsoft Sentinelbe a SIEM migrálási felületével

Csatlakozzon biztonsági közösségünkhöz a SIEM migrálási élményét bemutató webináriumért 2024. május 2-án.

Általánosan elérhető az Amazon Web Services S3-összekötő (GA)

A Microsoft Sentinel kiadta az AWS S3 adatösszekötőt az általános rendelkezésre állás (GA) számára. Ezzel az összekötővel több AWS-szolgáltatás naplóit is betöltheti a Microsoft Sentinelbe egy S3-gyűjtő és az AWS egyszerű üzenetsor-kezelési szolgáltatása használatával.

Ezzel a kiadással egyidejűleg ez az összekötő konfigurációja kissé megváltozott az Azure Commercial Cloud-ügyfelek számára. Az AWS-hez való felhasználói hitelesítés most már openID Csatlakozás (OIDC) webes identitásszolgáltatóval történik, nem pedig a Microsoft Sentinel alkalmazásazonosítón keresztül az ügyfél munkaterület-azonosítójával kombinálva. A meglévő ügyfelek egyelőre továbbra is használhatják a jelenlegi konfigurációjukat, és a módosítások szükségességéről már jóval korábban értesítést kapnak.

Az AWS S3-összekötővel kapcsolatos további információkért lásd: Csatlakozás Microsoft Sentinel az Amazon Web Services szolgáltatásba az AWS szolgáltatás naplóadatainak betöltéséhez

Kód nélküli összekötőkészítő (előzetes verzió)

Most már van egy munkafüzetünk, amely segít navigálni a kód nélküli összekötőplatformok (CCP) adatösszekötőinek ARM-sablonjának üzembe helyezésében részt vevő összetett JSON-ban. A kód nélküli összekötőkészítő felhasználóbarát felületével egyszerűsítheti a fejlesztést.

További részletekért tekintse meg blogbejegyzésünket, a Kód nélküli Csatlakozás orok létrehozása a Kód nélküli Csatlakozás or Builderrel (előzetes verzió) című cikket.

A központi szerződő félről további információt a Microsoft Sentinel kód nélküli összekötőjének létrehozása (nyilvános előzetes verzió) című témakörben talál.

Általánosan elérhetőek az Azure Monitor-ügynökön alapuló Syslog- és CEF-összekötők (GA)

A Microsoft Sentinel két további adatösszekötőt is kiadott az Azure Monitor Agent (AMA) alapján az általános rendelkezésre állás érdekében. Ezeket az összekötőket most már használhatja adatgyűjtési szabályok (DCR-ek) üzembe helyezéséhez az Azure Monitor Ügynök által telepített gépeken a Syslog-üzenetek gyűjtéséhez, beleértve a Common Event Format (CEF) formátumú üzeneteket is.

A Syslog- és CEF-összekötőkkel kapcsolatos további információkért lásd : Ingest Syslog és CEF logs with the Azure Monitor Agent.

2024. február

• Elérhető a Microsoft Power Platformhoz készült Microsoft Sentinel-megoldás előzetes verziója
• Új Google Pub/Al-alapú összekötő a Security Command Center eredményeinek betöltéséhez (előzetes verzió)
• Általánosan elérhető incidensfeladatok (GA)
• Az AWS- és GCP-adatösszekötők mostantól támogatják az Azure Government-felhőket
• Általánosan elérhetőek a Windows DNS-események az AMA-összekötőn keresztül (GA)

Elérhető a Microsoft Power Platformhoz készült Microsoft Sentinel-megoldás előzetes verziója

A Power Platformhoz készült Microsoft Sentinel-megoldás (előzetes verzió) lehetővé teszi a gyanús vagy rosszindulatú tevékenységek figyelését és észlelését a Power Platform-környezetben. A megoldás különböző Power Platform-összetevőkből és leltáradatokból gyűjti a tevékenységnaplókat. Elemzi ezeket a tevékenységnaplókat, hogy észlelje a fenyegetéseket és a gyanús tevékenységeket, például a következő tevékenységeket:

• Power Apps-végrehajtás jogosulatlan földrajzi helyekről
• Gyanús adatmegsemmisítés a Power Appsben
• A Power Apps tömeges törlése
• Adathalászati támadások a Power Appsen keresztül
• A Power Automate folyamattevékenysége távozó alkalmazottakkal
• Microsoft Power Platform-összekötők hozzáadva a környezethez
• A Microsoft Power Platform adatveszteség-megelőzési szabályzatainak frissítése vagy eltávolítása

Keresse meg ezt a megoldást a Microsoft Sentinel tartalomközpontban.

További információkért lásd:

• Microsoft Sentinel-megoldás a Microsoft Power Platformhoz – áttekintés
• Microsoft Sentinel-megoldás a Microsoft Power Platformhoz: biztonsági tartalomra vonatkozó referencia
• A Microsoft Power PlatformHoz készült Microsoft Sentinel-megoldás üzembe helyezése

Új Google Pub/Al-alapú összekötő a Security Command Center eredményeinek betöltéséhez (előzetes verzió)

Most már a Google Security Command Centerből is betöltheti a naplókat az új Google Cloud Platform (GCP) Pub/Sub-based összekötő használatával (most előzetes verzióban).

A Google Cloud Platform (GCP) Security Command Center egy robusztus biztonsági és kockázatkezelési platform a Google Cloud számára. Olyan funkciókat biztosít, mint az eszközök leltározása és felderítése, a biztonsági rések és fenyegetések észlelése, valamint a kockázatcsökkentés és a szervizelés. Ezek a képességek segítenek betekintést nyerni a szervezet biztonsági helyzetébe és az adattámadások felületébe, és hatékonyabbá teheti az eredményekhez és az eszközökhöz kapcsolódó feladatok kezelését.

A Microsoft Sentinel integrációja lehetővé teszi a teljes többfelhős környezet láthatóságát és vezérlését egy "egyetlen üvegablakból".

• Megtudhatja, hogyan állíthatja be az új összekötőt és betöltési eseményeket a Google Security Command Centerből.

Általánosan elérhető incidensfeladatok (GA)

A Microsoft Sentinelben általánosan elérhetőek az incidensvizsgálati és a válaszadási eljárások egységesítését segítő incidensfeladatok, amelyek segítségével hatékonyabban kezelheti az incidensek munkafolyamatait.

• További információ az incidensfeladatokról a Microsoft Sentinel dokumentációjában:

  • Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben
  • Incidensfeladatok használata a Microsoft Sentinelben
  • Incidensfeladatok változásainak naplózása és nyomon követése a Microsoft Sentinelben

• Benji Kovacevic blogbejegyzése bemutatja, hogyan használhat incidensfeladatokat figyelőlistákkal, automatizálási szabályokkal és forgatókönyvekkel kombinálva egy feladatkezelési megoldást két részből:

  • Az incidensfeladatok tárháza.
  • Egy mechanizmus, amely automatikusan csatolja a feladatokat az újonnan létrehozott incidensekhez az incidens címe szerint, és hozzárendeli őket a megfelelő személyzethez.

Az AWS- és GCP-adatösszekötők mostantól támogatják az Azure Government-felhőket

Az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) Microsoft Sentinel adatösszekötői mostantól támogatják az adatok Azure Government-felhőkben lévő munkaterületekre való betöltését támogató konfigurációkat.

Az Azure Government-ügyfelek ezen összekötőinek konfigurációi kissé eltérnek a nyilvános felhőkonfigurációtól. Részletekért tekintse meg a vonatkozó dokumentációt:

• A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS-szolgáltatásnaplók adatainak betöltéséhez
• A Google Cloud Platform naplóadatainak betöltése a Microsoft Sentinelbe

Általánosan elérhetőek a Windows DNS-események az AMA-összekötőn keresztül (GA)

A Windows DNS-események mostantól betölthetők a Microsoft Sentinelbe az Azure Monitor-ügynök és az általánosan elérhető adatösszekötő használatával. Ez az összekötő lehetővé teszi adatgyűjtési szabályok (DCR-ek) és hatékony, összetett szűrők definiálását, hogy csak a szükséges DNS-rekordokat és mezőket használja be.

• További információért lásd: Windows DNS-szerverekről származó adatok streamelése és szűrése AMA-összekötőkkel.

2024. január

Sap-rendszerek hamis pozitív értékeinek csökkentése elemzési szabályokkal

Sap-rendszerek hamis pozitív értékeinek csökkentése elemzési szabályokkal

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldással együtt használjon elemzési szabályokat az SAP-rendszerekből® aktivált hamis pozitív értékek számának csökkentéséhez. Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a következő fejlesztéseket tartalmazza:

• Az SAPUsersGetVIP függvény mostantól támogatja a felhasználók kizárását az SAP által megadott szerepkörük vagy profiljuk alapján.

• A SAP_User_Config figyelőlista mostantól támogatja helyettesítő karakterek használatát az SAPUser mezőben, hogy kizárja az összes felhasználót egy adott szintaxissal.

További információ: Microsoft Sentinel megoldás SAP-alkalmazásokra® vonatkozó adatokra vonatkozó referencia és hamis pozitív értékek kezelése a Microsoft Sentinelben.

Következő lépések

Fedélzeti Azure Sentinel

A riasztások láthatóságának lekérése