Novità di Microsoft Sentinel
Questo articolo elenca le funzionalità recenti aggiunte per Microsoft Sentinel e le nuove funzionalità nei servizi correlati che offrono un'esperienza utente avanzata in Microsoft Sentinel.
Le funzionalità elencate sono state rilasciate negli ultimi tre mesi. Per informazioni sulle funzionalità precedenti, vedere i blog della Community tecnica.
per ricevere una notifica quando questa pagina viene aggiornata, copiare e incollare l'URL seguente nel lettore di feed: https://aka.ms/sentinel/rss
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Giugno 2024
Funzionalità di ricerca dell'indicatore di minaccia avanzata disponibile
Le funzionalità di ricerca e filtro delle minacce sono state migliorate e l'esperienza ha ora parità tra i portali di Microsoft Sentinel e Microsoft Defender. La ricerca supporta un massimo di 10 condizioni con ognuna contenente fino a 3 sottoclause.
Per altre informazioni, vedere lo screenshot aggiornato in Visualizzare e gestire gli indicatori di minaccia.
Maggio 2024
- I trigger di eventi imprevisti ed entità nei playbook sono ora disponibili a livello generale
- Ottimizzare le operazioni di sicurezza con le ottimizzazioni SOC
I trigger di eventi imprevisti ed entità nei playbook sono ora disponibili a livello generale
La possibilità di usare trigger di eventi imprevisti ed entità è ora supportata come disponibilità generale.
Per altre informazioni, vedere Creare un playbook.
Ottimizzare le operazioni di sicurezza con le ottimizzazioni SOC (anteprima)
Microsoft Sentinel offre ora ottimizzazioni SOC, che sono raccomandazioni ad alta fedeltà e pratica che consentono di identificare le aree in cui è possibile ridurre i costi, senza influire sulle esigenze soC o sulla copertura o dove è possibile aggiungere controlli di sicurezza e dati in cui risulta mancante.
Usare le raccomandazioni per l'ottimizzazione SOC per ridurre le lacune di copertura contro minacce specifiche e ridurre le frequenze di inserimento rispetto ai dati che non forniscono valore di sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro di Microsoft Sentinel, senza dedicare tempo ai team SOC per l'analisi manuale e la ricerca.
Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, le ottimizzazioni SOC sono disponibili anche nel portale di Microsoft Defender.
Per altre informazioni, vedi:
Aprile 2024
- Piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender (anteprima)
- Microsoft Sentinel ora disponibile a livello generale in Azure Cina 21Vianet
- Due rilevamenti anomalie non più disponibili
- Microsoft Sentinel ora disponibile nell'area Italia settentrionale
Piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender (anteprima)
La piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender è ora disponibile. Questa versione riunisce le funzionalità complete di Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot in Microsoft Defender. Per ulteriori informazioni, vedi le seguenti risorse:
- Annuncio del blog: Piattaforma unificata per le operazioni di sicurezza con Microsoft Sentinel e Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
- Connettere Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Security Copilot in Microsoft Defender XDR
Microsoft Sentinel ora disponibile a livello generale in Azure Cina 21Vianet
Microsoft Sentinel è ora disponibile a livello generale in Azure Cina 21Vianet. Le singole funzionalità potrebbero essere ancora in anteprima pubblica, come indicato nel supporto delle funzionalità di Microsoft Sentinel per i cloud commerciali o di altri cloud di Azure.
Per altre informazioni, vedere anche Disponibilità geografica e residenza dei dati in Microsoft Sentinel.
Due rilevamenti anomalie non più disponibili
I rilevamenti anomalie seguenti vengono sospesi a partire dal 26 marzo 2024, a causa di una bassa qualità dei risultati:
- Reputazione di dominio Palo Alto anomalie
- Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect
Per l'elenco completo dei rilevamenti di anomalie, vedere la pagina di riferimento delle anomalie.
Microsoft Sentinel è ora disponibile nell'area Italia settentrionale
Microsoft Sentinel è ora disponibile nell'area italia di Azure settentrionale con lo stesso set di funzionalità di tutte le altre aree commerciali di Azure elencate nel supporto delle funzionalità di Microsoft Sentinel per cloud commerciali/altri cloud di Azure.
Per altre informazioni, vedere anche Disponibilità geografica e residenza dei dati in Microsoft Sentinel.
Marzo 2024
- Esperienza di migrazione SIEM ora disponibile a livello generale
- Connettore Amazon Web Services S3 ora disponibile a livello generale
- Generatore di connettori senza codice (anteprima)
- Connettori dati per Syslog e CEF basati sull'agente di Monitoraggio di Azure ora disponibile a livello generale
Esperienza di migrazione SIEM ora disponibile a livello generale
All'inizio del mese è stata annunciata l'anteprima della migrazione SIEM. Ora alla fine del mese, è già disponibile a livello generale! La nuova esperienza di migrazione di Microsoft Sentinel consente ai clienti e ai partner di automatizzare il processo di migrazione dei casi d'uso di monitoraggio della sicurezza ospitati in prodotti non Microsoft in Microsoft Sentinel.
- Questa prima versione dello strumento supporta le migrazioni da Splunk
Per altre informazioni, vedere Eseguire la migrazione a Microsoft Sentinel con l'esperienza di migrazione SIEM
Partecipa alla community della sicurezza per un webinar che illustra l'esperienza di migrazione SIEM il 2 maggio 2024.
Connettore Amazon Web Services S3 ora disponibile a livello generale
Microsoft Sentinel ha rilasciato il connettore dati AWS S3 a disponibilità generale (GA). È possibile usare questo connettore per inserire i log da diversi servizi AWS a Microsoft Sentinel usando un bucket S3 e il semplice servizio di accodamento messaggi di AWS.
Contemporaneamente a questa versione, la configurazione di questo connettore è stata leggermente modificata per i clienti del cloud commerciale di Azure. L'autenticazione utente per AWS viene ora eseguita usando un provider di identità Web OpenID Connect (OIDC), anziché tramite l'ID applicazione di Microsoft Sentinel in combinazione con l'ID dell'area di lavoro del cliente. I clienti esistenti possono continuare a usare la configurazione corrente per il momento e riceveranno una notifica ben anticipata della necessità di apportare modifiche.
Per altre informazioni sul connettore AWS S3, vedere Connettere Microsoft Sentinel ad Amazon Web Services per inserire i dati di log del servizio AWS
Generatore di connettori senza codice (anteprima)
È ora disponibile una cartella di lavoro per esplorare il codice JSON complesso coinvolto nella distribuzione di un modello arm per i connettori dati CCP (Codeless Connector Platform). Usare l'interfaccia descrittiva del generatore di connettori senza codice per semplificare lo sviluppo.
Per altri dettagli, vedere il post di blog Creare connettori senza codice con Il generatore di connettori senza codice (anteprima).
Per altre informazioni su CCP, vedere Creare un connettore senza codice per Microsoft Sentinel (anteprima pubblica).
Connettori dati per Syslog e CEF basati sull'agente di Monitoraggio di Azure ora disponibile a livello generale
Microsoft Sentinel ha rilasciato altri due connettori dati basati sull'agente di Monitoraggio di Azure (AMA) a disponibilità generale. È ora possibile usare questi connettori per distribuire regole di raccolta dati nei computer installati dall'agente di Monitoraggio di Azure per raccogliere messaggi Syslog, inclusi quelli in Common Event Format (CEF).
Per altre informazioni sui connettori Syslog e CEF, vedere Inserire i log Syslog e CEF con l'agente di Monitoraggio di Azure.
Febbraio 2024
- Soluzione Microsoft Sentinel per l'anteprima di Microsoft Power Platform disponibile
- Nuovo connettore basato su Google Pub/Sub per l'inserimento dei risultati del Centro comandi di sicurezza (anteprima)
- Attività degli eventi imprevisti ora disponibili a livello generale
- I connettori dati AWS e GCP ora supportano Azure per enti pubblici cloud
- Eventi DNS di Windows tramite il connettore AMA ora disponibile a livello generale
Soluzione Microsoft Sentinel per l'anteprima di Microsoft Power Platform disponibile
La soluzione Microsoft Sentinel per Power Platform (anteprima) consente di monitorare e rilevare attività sospette o dannose nell'ambiente Power Platform. La soluzione raccoglie i log attività da diversi componenti di Power Platform e dati di inventario. Analizza i log attività per rilevare minacce e attività sospette come le attività seguenti:
- Esecuzione di Power Apps da aree geografiche non autorizzate
- Distruzione sospetta dei dati da Parte di Power Apps
- Eliminazione di massa di Power Apps
- Attacchi di phishing resi possibili tramite Power Apps
- Attività dei flussi di Power Automate in uscita dai dipendenti
- Connettori di Microsoft Power Platform aggiunti all'ambiente
- Aggiornare o rimuovere i criteri di prevenzione della perdita dei dati di Microsoft Power Platform
Trovare questa soluzione nell'hub del contenuto di Microsoft Sentinel.
Per altre informazioni, vedi:
- Panoramica della soluzione Microsoft Sentinel per Microsoft Power Platform
- Soluzione Microsoft Sentinel per Microsoft Power Platform: informazioni di riferimento sui contenuti di sicurezza
- Distribuire la soluzione Microsoft Sentinel per Microsoft Power Platform
Nuovo connettore basato su Google Pub/Sub per l'inserimento dei risultati del Centro comandi di sicurezza (anteprima)
È ora possibile inserire i log da Google Security Command Center usando il nuovo connettore GCP (Google Cloud Platform) Pub/Sub-based (ora in ANTEPRIMA).
Google Cloud Platform (GCP) Security Command Center è una solida piattaforma di gestione dei rischi e sicurezza per Google Cloud. Offre funzionalità come l'inventario degli asset e l'individuazione, il rilevamento di vulnerabilità e minacce e la mitigazione e la correzione dei rischi. Queste funzionalità consentono di ottenere informazioni dettagliate sul comportamento di sicurezza e sulla superficie di attacco dei dati dell'organizzazione e migliorare la capacità di gestire in modo efficiente le attività correlate a risultati e asset.
L'integrazione con Microsoft Sentinel consente di avere visibilità e controllo sull'intero ambiente multicloud da un singolo riquadro di vetro.
- Informazioni su come configurare il nuovo connettore e inserire eventi da Google Security Command Center.
Attività degli eventi imprevisti ora disponibili a livello generale
Le attività degli eventi imprevisti, che consentono di standardizzare le procedure di indagine e risposta agli eventi imprevisti, in modo da poter gestire in modo più efficace il flusso di lavoro degli eventi imprevisti, sono ora disponibili a livello generale in Microsoft Sentinel.
Altre informazioni sulle attività degli eventi imprevisti sono disponibili nella documentazione di Microsoft Sentinel:
Vedere questo post di blog di Benji Kovacevic che illustra come usare le attività degli eventi imprevisti in combinazione con watchlist, regole di automazione e playbook per creare una soluzione di gestione delle attività con due parti:
- Repository di attività degli eventi imprevisti.
- Meccanismo che collega automaticamente le attività agli eventi imprevisti appena creati, in base al titolo dell'evento imprevisto e le assegna al personale appropriato.
I connettori dati AWS e GCP ora supportano Azure per enti pubblici cloud
I connettori dati di Microsoft Sentinel per Amazon Web Services (AWS) e Google Cloud Platform (GCP) includono ora configurazioni di supporto per inserire i dati nelle aree di lavoro nei cloud Azure per enti pubblici.
Le configurazioni per questi connettori per Azure per enti pubblici clienti differiscono leggermente dalla configurazione del cloud pubblico. Per informazioni dettagliate, vedere la documentazione pertinente:
- Connettere Microsoft Sentinel ad Amazon Web Services per inserire dati di log del servizio AWS
- Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel
Eventi DNS di Windows tramite il connettore AMA ora disponibile a livello generale
Gli eventi DNS di Windows possono ora essere inseriti in Microsoft Sentinel usando l'agente di Monitoraggio di Azure con il connettore dati ora disponibile a livello generale. Questo connettore consente di definire regole di raccolta dati e filtri complessi avanzati, in modo da inserire solo i record e i campi DNS specifici necessari.
- Per altre informazioni, vedere Trasmettere e filtrare i dati dai server DNS Windows con il connettore AMA.
Gennaio 2024
Ridurre i falsi positivi per i sistemi SAP con regole di analisi
Ridurre i falsi positivi per i sistemi SAP con regole di analisi
Usare le regole di analisi insieme alla soluzione Microsoft Sentinel per le applicazioni SAP® per ridurre il numero di falsi positivi attivati dai sistemi SAP®. La soluzione Microsoft Sentinel per le applicazioni SAP® include ora i miglioramenti seguenti:
La funzione SAPUsersGetVIP supporta ora l'esclusione degli utenti in base ai ruoli o al profilo specificati da SAP.
L'elenco di controllo SAP_User_Config supporta ora l'uso di caratteri jolly nel campo SAPUser per escludere tutti gli utenti con una sintassi specifica.
Per altre informazioni, vedere La soluzione Microsoft Sentinel per informazioni di riferimento sui dati delle applicazioni SAP® e Gestire i falsi positivi in Microsoft Sentinel.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per