Novità di Microsoft Sentinel
Questo articolo elenca le funzionalità recenti aggiunte per Microsoft Sentinel e le nuove funzionalità nei servizi correlati che offrono un'esperienza utente avanzata in Microsoft Sentinel.
Le funzionalità elencate sono state rilasciate negli ultimi tre mesi. Per informazioni sulle funzionalità precedenti fornite, vedere i blog della community tecnica.
per ricevere una notifica quando questa pagina viene aggiornata, copiare e incollare l'URL seguente nel lettore di feed: https://aka.ms/sentinel/rss
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Giugno 2024
- Codeless Connector Platform ora disponibile a livello generale
- Funzionalità di ricerca degli indicatori di minaccia avanzata disponibile
Codeless Connector Platform ora disponibile a livello generale
La piattaforma CCP (Codeless Connector Platform) è ora disponibile a livello generale. Vedere il post di blog dell'annuncio.
Per altre informazioni sui miglioramenti e sulle funzionalità CCP, vedere Creare un connettore senza codice per Microsoft Sentinel.
Funzionalità di ricerca degli indicatori di minaccia avanzata disponibile
Le funzionalità di ricerca e filtro delle minacce sono state migliorate e l'esperienza ha ora parità tra i portali di Microsoft Sentinel e Microsoft Defender. La ricerca supporta un massimo di 10 condizioni, ognuna contenente fino a 3 sottoclausole.
Per altre informazioni, vedere lo screenshot aggiornato in Visualizzare e gestire gli indicatori di minaccia.
Maggio 2024
- I trigger di eventi imprevisti ed entità nei playbook sono ora disponibili a livello generale
- Ottimizzare le operazioni di sicurezza con le ottimizzazioni SOC
I trigger di eventi imprevisti ed entità nei playbook sono ora disponibili a livello generale
La possibilità di usare trigger di eventi imprevisti ed entità è ora supportata con disponibilità generale.
Per altre informazioni, vedere Creare un playbook.
Ottimizzare le operazioni di sicurezza con le ottimizzazioni SOC (anteprima)
Microsoft Sentinel offre ora ottimizzazioni SOC, ovvero raccomandazioni ad alta fedeltà e fruibilità che consentono di identificare le aree in cui è possibile ridurre i costi, senza influire sulle esigenze SOC o sulla copertura, oppure dove è possibile aggiungere controlli e dati di sicurezza laddove necessario.
Usare i consigli per l'ottimizzazione SOC per ridurre i gap di copertura contro minacce specifiche e limitare i tassi di inserimento dati che non forniscono valore per la sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro di Microsoft Sentinel, senza dedicare tempo ai team SOC per l'analisi manuale e la ricerca.
Se l'area di lavoro viene sottoposta a onboarding nella piattaforma unificata per le operazioni di sicurezza, le ottimizzazioni SOC sono disponibili anche nel portale di Microsoft Defender.
Per altre informazioni, vedi:
Aprile 2024
- Piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender (anteprima)
- Microsoft Sentinel è ora disponibile a livello generale in Azure China (21Vianet)
- Due rilevamenti anomalie deprecati
- Microsoft Sentinel è ora disponibile in Italia settentrionale
Piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender (anteprima)
La piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender è ora disponibile. Questa versione riunisce le funzionalità complete di Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot in Microsoft Defender. Per ulteriori informazioni, vedi le seguenti risorse:
- Annuncio blog: Piattaforma unificata per le operazioni di sicurezza con Microsoft Sentinel e Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
- Connettere Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Security Copilot in Microsoft Defender XDR
Microsoft Sentinel è ora disponibile a livello generale in Azure China (21Vianet)
Microsoft Sentinel è ora disponibile a livello generale in Azure China (21Vianet). Le singole funzionalità potrebbero essere ancora in anteprima pubblica, come elencato in Supporto delle funzionalità di Microsoft Sentinel per cloud commerciali o altri cloud di Azure.
Per altre informazioni, vedere anche Disponibilità geografica e residenza dei dati in Microsoft Sentinel.
Due rilevamenti anomalie deprecati
I rilevamenti anomalie seguenti vengono sospesi a partire dal 26 marzo 2024, a causa di una bassa qualità dei risultati:
- Anomalia Domain Reputation Palo Alto
- Accessi in più aree in un singolo giorno tramite Palo Alto GlobalProtect
Per l'elenco completo dei rilevamenti di anomalie, vedere la pagina di riferimento delle anomalie.
Microsoft Sentinel è ora disponibile in Italia settentrionale
Microsoft Sentinel è ora disponibile nell'area Italia settentrionale di Azure con lo stesso set di funzionalità di tutte le altre aree commerciali di Azure elencate in Supporto delle funzionalità di Microsoft Sentinel per i cloud commerciali o altri cloud di Azure.
Per altre informazioni, vedere anche Disponibilità geografica e residenza dei dati in Microsoft Sentinel.
Marzo 2024
- L'esperienza di migrazione SIEM è ora disponibile a livello generale
- Connettore Amazon Web Services S3 ora disponibile a livello generale
- Generatore di connettori codeless (anteprima)
- Connettori dati per Syslog e CEF basati sull'agente di Monitoraggio di Azure ora disponibili a livello generale
L'esperienza di migrazione SIEM è ora disponibile a livello generale
All'inizio del mese è stata annunciata l'anteprima della migrazione SIEM. Siamo alla fine del mese ed è già disponibile a livello generale. La nuova esperienza di migrazione di Microsoft Sentinel consente ai clienti e ai partner di automatizzare il processo di migrazione dei casi d'uso di monitoraggio della sicurezza ospitati in prodotti non Microsoft in Microsoft Sentinel.
- Questa prima versione dello strumento supporta le migrazioni da Splunk
Per altre informazioni, vedere Eseguire la migrazione a Microsoft Sentinel con l'esperienza di migrazione SIEM
Partecipare alla community della sicurezza per guardare un webinar che illustra l'esperienza di migrazione SIEM il 2 maggio 2024.
Connettore Amazon Web Services S3 ora disponibile a livello generale
Microsoft Sentinel ha rilasciato il connettore dati AWS S3 con disponibilità generale. È possibile usare questo connettore per inserire i log da diversi servizi AWS a Microsoft Sentinel usando un bucket S3 e il semplice servizio di accodamento messaggi di AWS.
Contemporaneamente a questa versione, la configurazione di questo connettore è stata leggermente modificata per i clienti del cloud commerciale di Azure. L'autenticazione utente per AWS viene ora eseguita usando un provider di identità Web OpenID Connect (OIDC), anziché tramite l'ID applicazione di Microsoft Sentinel in combinazione con l'ID dell'area di lavoro del cliente. Per il momento, i clienti esistenti possono continuare a usare la configurazione corrente e riceveranno una notifica in anticipo in merito alla necessità di apportare modifiche.
Per altre informazioni sul connettore AWS S3, vedere Connettere Microsoft Sentinel ad Amazon Web Services per inserire i dati di log del servizio AWS
Generatore di connettori codeless (anteprima)
È ora disponibile una cartella di lavoro per esplorare il codice JSON complesso coinvolto nella distribuzione di un modello di Resource Manager per i connettori dati CCP (Codeless Connector Platform). Usare l'interfaccia descrittiva del generatore di connettori senza codice per semplificare lo sviluppo.
Per altre informazioni, vedere il post di blog Creare connettori senza codice con Generatore connettori senza codice (anteprima).
Per altre informazioni sul CCP, vedere Creare un connettore senza codice per Microsoft Sentinel (anteprima pubblica).
Connettori dati per Syslog e CEF basati sull'agente di Monitoraggio di Azure ora disponibili a livello generale
Microsoft Sentinel ha rilasciato altri due connettori dati basati sull'agente di Monitoraggio di Azure (AMA) a disponibilità generale. È ora possibile usare questi connettori per distribuire regole di raccolta dati nei computer installati dall'agente di Monitoraggio di Azure per raccogliere messaggi Syslog, inclusi quelli in Common Event Format (CEF).
Per altre informazioni sui connettori Syslog e CEF, vedere Inserire i log Syslog e CEF nell'agente di Monitoraggio di Azure.
Febbraio 2024
- Disponibile l'anteprima della soluzione Microsoft Sentinel per Microsoft Power Platform
- Nuovo connettore basato su Google Pub/Sub per l'inserimento dei risultati del Centro comandi di sicurezza (anteprima)
- Attività degli eventi imprevisti ora disponibili a livello generale
- I connettori dati AWS e GCP ora supportano i cloud di Azure per enti pubblici
- Eventi DNS di Windows tramite il connettore AMA ora disponibili a livello generale
Soluzione Microsoft Sentinel per l'anteprima di Microsoft Power Platform disponibile
La soluzione Microsoft Sentinel per Power Platform (anteprima) consente di monitorare e rilevare attività sospette o dannose nell'ambiente Power Platform. La soluzione raccoglie i log attività da diversi componenti di Power Platform e dati di inventario. Analizza i log attività per rilevare minacce e attività sospette come le seguenti:
- Esecuzione di Power Apps da aree geografiche non autorizzate
- Distruzione dei dati sospetti da Power Apps
- Eliminazione di massa di Power Apps
- Attacchi di phishing resi possibili tramite Power Apps
- Attività dei flussi di Power Automate da parte di dipendenti in uscita
- Connettori di Microsoft Power Platform aggiunti all'ambiente
- Aggiornare o rimuovere i criteri di prevenzione della perdita dei dati di Microsoft Power Platform
Trovare questa soluzione nell'hub del contenuto di Microsoft Sentinel.
Per altre informazioni, vedi:
- Soluzione Microsoft Sentinel per Microsoft Power Platform
- Soluzione Microsoft Sentinel per Microsoft Power Platform: informazioni di riferimento sui contenuti di sicurezza
- Distribuire la soluzione Microsoft Sentinel per Microsoft Power Platform
Nuovo connettore basato su Google Pub/Sub per l'inserimento dei risultati del Centro comandi di sicurezza (anteprima)
È ora possibile inserire i log da Google Security Command Center usando il nuovo connettore GCP (Google Cloud Platform) basato su Pub/Sub (ora in ANTEPRIMA).
Google Cloud Platform (GCP) Security Command Center è una solida piattaforma di gestione dei rischi e sicurezza per Google Cloud. Offre funzionalità come l'inventario degli asset e l'individuazione, il rilevamento di vulnerabilità e minacce e la mitigazione e la correzione dei rischi. Queste funzionalità consentono di ottenere informazioni dettagliate sul comportamento di sicurezza e sulla superficie di attacco dei dati dell'organizzazione e di migliorare la capacità di gestire in modo efficiente le attività correlate a risultati e asset.
L'integrazione con Microsoft Sentinel consente di avere visibilità e controllo sull'intero ambiente multicloud da un singolo pannello.
- Informazioni su come configurare il nuovo connettore e inserire eventi da Google Security Command Center.
Attività degli eventi imprevisti ora disponibili a livello generale
Le attività degli eventi imprevisti, che consentono di standardizzare le procedure di indagine e risposta a questi eventi in modo da poter gestire in modo più efficace il flusso di lavoro degli eventi imprevisti, sono ora disponibili a livello generale in Microsoft Sentinel.
Altre informazioni sulle attività degli eventi imprevisti sono disponibili nella documentazione di Microsoft Sentinel:
Vedere questo post di blog di Benji Kovacevic che illustra come usare le attività degli eventi imprevisti in combinazione con watchlist, regole di automazione e playbook per creare una soluzione di gestione delle attività con due parti:
- Repository di attività degli eventi imprevisti.
- Meccanismo che collega automaticamente le attività agli eventi imprevisti appena creati in base al titolo dell'evento imprevisto e le assegna al personale appropriato.
I connettori dati AWS e GCP ora supportano i cloud di Azure per enti pubblici
I connettori dati di Microsoft Sentinel per Amazon Web Services (AWS) e Google Cloud Platform (GCP) includono ora configurazioni di supporto per inserire i dati nelle aree di lavoro nei cloud di Azure per enti pubblici.
Le configurazioni per questi connettori per i clienti di Azure per enti pubblici differiscono leggermente dalla configurazione del cloud pubblico. Per informazioni dettagliate, vedere la documentazione pertinente:
- Connettere Microsoft Sentinel ad Amazon Web Services per inserire dati di log del servizio AWS
- Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel
Eventi DNS di Windows tramite il connettore AMA ora disponibile a livello generale
Gli eventi DNS di Windows possono ora essere inseriti in Microsoft Sentinel usando l'agente di Monitoraggio di Azure con il connettore dati ora disponibile a livello generale. Questo connettore consente di definire regole di raccolta dati e filtri complessi avanzati, in modo da inserire solo i record e i campi DNS specifici necessari.
- Per altre informazioni, vedere Trasmettere e filtrare i dati dai server DNS Windows con il connettore AMA.
Gennaio 2024
Ridurre i falsi positivi per i sistemi SAP con regole di analisi
Ridurre i falsi positivi per i sistemi SAP con regole di analisi
Usare le regole di analisi insieme alla soluzione Microsoft Sentinel per le applicazioni SAP® per ridurre il numero di falsi positivi attivati dai sistemi SAP®. La soluzione Microsoft Sentinel per le applicazioni SAP® include ora i miglioramenti seguenti:
La funzione SAPUsersGetVIP supporta ora l'esclusione degli utenti in base ai ruoli o al profilo specificati da SAP.
L'elenco di controllo SAP_User_Config supporta ora l'uso di caratteri jolly nel campo SAPUser per escludere tutti gli utenti con una sintassi specifica.
Per altre informazioni, vedere Riferimento dati della soluzione Microsoft Sentinel per applicazioni SAP® e Gestire i falsi positivi in Microsoft Sentinel.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per