Nieuw in Microsoft Sentinel
In dit artikel vindt u een overzicht van recente functies die zijn toegevoegd voor Microsoft Sentinel en nieuwe functies in gerelateerde services die een verbeterde gebruikerservaring bieden in Microsoft Sentinel.
De vermelde functies zijn in de afgelopen drie maanden uitgebracht. Zie onze Tech Community-blogs voor meer informatie over eerdere functies.
Ontvang een melding wanneer deze pagina wordt bijgewerkt door de volgende URL naar uw feedlezer te kopiëren en te plakken: https://aka.ms/sentinel/rss
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
September 2024
- Schematoewijzing toegevoegd aan de SIEM-migratie-ervaring
- Verrijkingswidgets van derden die in februari 2025 buiten gebruik worden gesteld
- Azure-reserveringen hebben nu vooraf aangeschafte abonnementen voor Microsoft Sentinel
- Import/export van automatiseringsregels nu algemeen beschikbaar (GA)
- Google Cloud Platform-gegevensconnectors zijn nu algemeen beschikbaar (GA)
- Microsoft Sentinel is nu algemeen beschikbaar (GA) in Azure Israel Central
Schematoewijzing toegevoegd aan de SIEM-migratie-ervaring
Sinds de SIEM-migratie-ervaring algemeen beschikbaar werd in mei 2024, zijn er stabiele verbeteringen aangebracht om uw beveiligingsbewaking vanuit Splunk te migreren. Met de volgende nieuwe functies kunnen klanten meer contextuele informatie geven over hun Splunk-omgeving en het gebruik van de Microsoft Sentinel SIEM-migratieomzettingsengine:
- Schematoewijzing
- Ondersteuning voor Splunk-macro's in vertaling
- Ondersteuning voor Splunk Lookups in vertaling
Zie de SIEM-migratie-ervaring voor meer informatie over deze updates.
Zie de volgende artikelen voor meer informatie over de SIEM-migratie:
Verrijkingswidgets van derden die in februari 2025 buiten gebruik worden gesteld
Met ingang van onmiddellijk kunt u de functie niet meer inschakelen om verrijkingswidgets te maken die gegevens ophalen uit externe gegevensbronnen van derden. Deze widgets worden weergegeven op microsoft Sentinel-entiteitspagina's en op andere locaties waar entiteitsgegevens worden weergegeven. Deze wijziging vindt plaats omdat u de Azure-sleutelkluis die is vereist voor toegang tot deze externe gegevensbronnen niet meer kunt maken.
Als u al verrijkingswidgets van derden gebruikt, dat wil zeggen, als deze sleutelkluis al bestaat, kunt u nog steeds widgets configureren en gebruiken die u niet eerder gebruikte, maar dit wordt niet aanbevolen.
Vanaf februari 2025 worden bestaande verrijkingswidgets die gegevens ophalen uit bronnen van derden, niet meer weergegeven, op entiteitspagina's of ergens anders.
Als uw organisatie verrijkingswidgets van derden gebruikt, raden we u aan deze vooraf uit te schakelen door de sleutelkluis te verwijderen die u voor dit doel hebt gemaakt vanuit de resourcegroep. De naam van de sleutelkluis begint met widgets.
Verrijkingswidgets op basis van externe gegevensbronnen worden niet beïnvloed door deze wijziging en blijven werken zoals voorheen. 'Externe gegevensbronnen' bevatten alle gegevens die al zijn opgenomen in Microsoft Sentinel uit externe bronnen, met andere woorden, alles in tabellen in uw Log Analytics-werkruimte en Microsoft Defender-bedreigingsinformatie.
Abonnementen vooraf aanschaffen nu beschikbaar voor Microsoft Sentinel
Abonnementen vóór aankoop zijn een type Azure-reservering. Wanneer u een abonnement vóór aankoop koopt, krijgt u doorvoereenheden (CA's) met kortingslagen voor een specifiek product. Microsoft Sentinel-doorvoereenheden (SKU's) zijn van toepassing op in aanmerking komende kosten in uw werkruimte. Wanneer u voorspelbare kosten hebt, bespaart u geld door het juiste vooraf gekochte abonnement te kiezen.
Zie Kosten optimaliseren met een vooraf aankoopplan voor meer informatie.
Import/export van automatiseringsregels nu algemeen beschikbaar (GA)
De mogelijkheid om automatiseringsregels te exporteren naar ARM-sjablonen (Azure Resource Manager) in JSON-indeling en om ze te importeren uit ARM-sjablonen, is nu algemeen beschikbaar na een korte preview-periode.
Meer informatie over het exporteren en importeren van automatiseringsregels.
Google Cloud Platform-gegevensconnectors zijn nu algemeen beschikbaar (GA)
De GCP-gegevensconnectors (Google Cloud Platform) van Microsoft Sentinel, op basis van ons Codeless Connector Platform (CCP) zijn nu algemeen beschikbaar. Met deze connectors kunt u logboeken uit uw GCP-omgeving opnemen met behulp van de GCP Pub/Sub-functie:
De connector google cloudplatform (GCP) pub/sub auditlogboeken verzamelt audittrails voor toegang tot GCP-resources. Analisten kunnen deze logboeken bewaken om toegangspogingen voor resources bij te houden en potentiële bedreigingen in de GCP-omgeving te detecteren.
De Google Cloud Platform (GCP) Security Command Center-connector verzamelt bevindingen van Google Security Command Center, een robuust platform voor beveiliging en risicobeheer voor Google Cloud. Analisten kunnen deze bevindingen bekijken om inzicht te krijgen in het beveiligingspostuur van de organisatie, waaronder assetinventaris en detectie, detectie van beveiligingsproblemen en bedreigingen, en risicobeperking en herstel.
Zie Logboekgegevens van Google Cloud Platform opnemen in Microsoft Sentinel voor meer informatie over deze connectors.
Microsoft Sentinel is nu algemeen beschikbaar (GA) in Azure Israel Central
Microsoft Sentinel is nu beschikbaar in de Azure-regio Israël - centraal , met dezelfde functieset als alle andere commerciële Azure-regio's.
Zie de functieondersteuning van Microsoft Sentinel voor commerciële Azure-clouds en geografische beschikbaarheid en gegevenslocatie in Microsoft Sentinel voor meer informatie.
Augustus 2024
- Buitengebruikstelling van Log Analytics-agent
- Automatiseringsregels exporteren en importeren (preview)
- Microsoft Sentinel-ondersteuning in Multitenant-beheer van Microsoft Defender (preview)
- Premium Microsoft Defender-bedreigingsinformatie-gegevensconnector (preview)
- Unified AMA-connectors voor syslog-opname
- Betere zichtbaarheid voor Windows-beveiligingsevenementen
- Nieuw bewaarplan voor hulplogboeken (preview)
- Samenvattingsregels maken voor grote gegevenssets (preview)
Buitengebruikstelling van Log Analytics-agent
Vanaf 31 augustus 2024 wordt de Log Analytics Agent (MMA/OMS) buiten gebruik gesteld.
Logboekverzameling van veel apparaten en apparaten wordt nu ondersteund door de Common Event Format (CEF) via AMA, Syslog via AMA of aangepaste logboeken via AMA-gegevensconnector in Microsoft Sentinel. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie hebt gebruikt, raden we u aan om te migreren naar de Azure Monitor-agent (AMA).
Zie voor meer informatie:
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Migreren naar Azure Monitor-agent vanuit Log Analytics-agent
- AMA-migratie voor Microsoft Sentinel
- Blogs:
Automatiseringsregels exporteren en importeren (preview)
Beheer uw Automatiseringsregels voor Microsoft Sentinel als code. U kunt nu uw automatiseringsregels exporteren naar ARM-sjabloonbestanden (Azure Resource Manager) en regels importeren uit deze bestanden, als onderdeel van uw programma om uw Microsoft Sentinel-implementaties als code te beheren en te beheren. Met de exportactie maakt u een JSON-bestand op de downloadlocatie van uw browser, die u vervolgens kunt hernoemen, verplaatsen en anderszins kunt verwerken zoals elk ander bestand.
Het geëxporteerde JSON-bestand is werkruimte-onafhankelijk, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.
Het bestand bevat alle parameters die zijn gedefinieerd in de automatiseringsregel. Regels van elk triggertype kunnen worden geëxporteerd naar een JSON-bestand.
Meer informatie over het exporteren en importeren van automatiseringsregels.
Microsoft Sentinel-ondersteuning in Multitenant-beheer van Microsoft Defender (preview)
Als u Microsoft Sentinel hebt ge onboardd naar het platform voor geïntegreerde beveiligingsbewerkingen van Microsoft, zijn Microsoft Sentinel-gegevens nu beschikbaar met Defender XDR-gegevens in multitenantbeheer van Microsoft Defender. Er wordt momenteel slechts één Microsoft Sentinel-werkruimte per tenant ondersteund in het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft. Microsoft Defender multitenant-beheer toont dus SIEM-gegevens (Security Information and Event Management) uit één Microsoft Sentinel-werkruimte per tenant. Zie Microsoft Defender-beheer met meerdere tenants en Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Premium Microsoft Defender-bedreigingsinformatie-gegevensconnector (preview)
Uw Premium-licentie voor Microsoft Defender-bedreigingsinformatie (MDTI) ontgrendelt nu de mogelijkheid om alle Premium-indicatoren rechtstreeks in uw werkruimte op te nemen. De premium MDTI-gegevensconnector voegt meer toe aan uw opsporings- en onderzoeksmogelijkheden in Microsoft Sentinel.
Zie Bedreigingsinformatie begrijpen voor meer informatie.
Unified AMA-connectors voor syslog-opname
Met de aanstaande buitengebruikstelling van de Log Analytics-agent heeft Microsoft Sentinel de verzameling en opname van syslog-, CEF- en aangepaste logboekberichten samengevoegd in drie gegevensconnectors voor meerdere doeleinden op basis van de Azure Monitor-agent (AMA):
- Syslog via AMA voor elk apparaat waarvan de logboeken worden opgenomen in de Syslog-tabel in Log Analytics.
- Common Event Format (CEF) via AMA, voor elk apparaat waarvan de logboeken worden opgenomen in de CommonSecurityLog-tabel in Log Analytics.
- Nieuw! Aangepaste logboeken via AMA (preview), voor elk van 15 apparaattypen of een niet-vermeld apparaat, waarvan de logboeken worden opgenomen in aangepaste tabellen met namen die eindigen op _CL in Log Analytics.
Deze connectors vervangen bijna alle bestaande connectors voor afzonderlijke typen apparaten en apparaten die tot nu toe bestaan, die zijn gebaseerd op de verouderde Log Analytics-agent (ook wel bekend als MMA of OMS) of de huidige Azure Monitor-agent. De oplossingen die worden geleverd in de inhoudshub voor al deze apparaten en apparaten bevatten nu de drie connectors die geschikt zijn voor de oplossing.* De vervangen connectors worden nu gemarkeerd als 'Afgeschaft' in de galerie met gegevensconnectors.
De gegevensopnamegrafieken die eerder op de connectorpagina van elk apparaat zijn gevonden, zijn nu te vinden in apparaatspecifieke werkmappen die zijn verpakt met de oplossing van elk apparaat.
* Wanneer u de oplossing installeert voor een van deze toepassingen, apparaten of apparaten, om ervoor te zorgen dat de bijbehorende gegevensconnector is geïnstalleerd, moet u Installeren met afhankelijkheden op de oplossingspagina selecteren en vervolgens de gegevensconnector op de volgende pagina markeren.
Zie de volgende artikelen voor de bijgewerkte procedures voor het installeren van deze oplossingen:
- CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel
- Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel
- Aangepaste logboeken via AMA-gegevensconnector - Gegevensopname configureren naar Microsoft Sentinel vanuit specifieke toepassingen
Betere zichtbaarheid voor Windows-beveiligingsevenementen
We hebben het schema van de SecurityEvent-tabel uitgebreid die als host fungeert voor Windows-beveiliging gebeurtenissen en nieuwe kolommen hebben toegevoegd om compatibiliteit met de Azure Monitor-agent (AMA) voor Windows (versie 1.28.2) te garanderen. Deze verbeteringen zijn ontworpen om de zichtbaarheid en transparantie van verzamelde Windows-gebeurtenissen te vergroten. Als u geen gegevens in deze velden wilt ontvangen, kunt u een opnametijdtransformatie (bijvoorbeeld project-afwezig) toepassen om ze te verwijderen.
Nieuw bewaarplan voor hulplogboeken (preview)
Met het nieuwe retentieplan voor hulplogboeken voor Log Analytics-tabellen kunt u grote hoeveelheden logboeken met grote volumes opnemen met aanvullende waarde voor beveiliging tegen een veel lagere kosten. Hulplogboeken zijn 30 dagen beschikbaar met interactieve retentie, waarin u eenvoudige query's met één tabel kunt uitvoeren, zoals het samenvatten en aggregeren van de gegevens. Na die periode van 30 dagen worden aanvullende logboekgegevens op de lange termijn bewaard, die u kunt definiëren voor maximaal 12 jaar, tegen zeer lage kosten. Met dit plan kunt u ook zoektaken uitvoeren op de gegevens in langetermijnretentie, waarbij alleen de records worden geëxtraheerd die u naar een nieuwe tabel wilt extraheren die u kunt behandelen als een gewone Log Analytics-tabel, met volledige querymogelijkheden.
Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over hulplogboeken en vergelijken met analytics-logboeken.
Zie tabelplannen in het overzichtsartikel over Azure Monitor-logboeken in de Documentatie van Azure Monitor voor meer gedetailleerde informatie over de verschillende logboekbeheerplannen.
Samenvattingsregels maken in Microsoft Sentinel voor grote gegevenssets (preview)
Microsoft Sentinel biedt nu de mogelijkheid om dynamische samenvattingen te maken met behulp van Overzichtsregels van Azure Monitor, waarmee grote sets gegevens op de achtergrond worden samengevoegd voor een soepelere beveiligingsbewerking in alle logboeklagen.
- Resultaten van toegangsoverzichtsregels via Kusto-querytaal (KQL) voor detectie-, onderzoek-, opsporings- en rapportageactiviteiten.
- Voer KQL-query's (High Performance Kusto-querytaal) uit op samengevatte gegevens.
- Gebruik samenvattingsregelresultaten voor langere perioden in onderzoeken, opsporing en nalevingsactiviteiten.
Zie Microsoft Sentinel-gegevens aggregeren met samenvattingsregels voor meer informatie.
Juli 2024
- SOC-optimalisaties zijn nu algemeen beschikbaar
- BTP-connector (SAP Business Technology Platform) is nu algemeen beschikbaar
- Microsoft Unified Security Platform is nu algemeen beschikbaar
SOC-optimalisaties zijn nu algemeen beschikbaar
De SOC-optimalisatie-ervaring in zowel azure- als Defender-portals is nu algemeen beschikbaar voor alle Microsoft Sentinel-klanten, waaronder aanbevelingen voor zowel gegevenswaarde als aanbevelingen op basis van bedreigingen.
Gebruik aanbevelingen voor gegevenswaarden om uw gegevensgebruik van opgenomen factureerbare logboeken te verbeteren, inzicht te krijgen in onderbenedene logboeken en de juiste detecties voor deze logboeken te detecteren of de juiste aanpassingen aan uw logboeklaag of -opname.
Gebruik aanbevelingen op basis van bedreigingen om hiaten in dekking tegen specifieke aanvallen te identificeren op basis van Microsoft-onderzoek en deze te beperken door de aanbevolen logboeken op te nemen en aanbevolen detecties toe te voegen.
De recommendations
API is nog in preview.
Zie voor meer informatie:
SAP Business Technology Platform-connector (BTP) is nu algemeen beschikbaar (GA)
De Microsoft Sentinel-oplossing voor SAP BTP is nu algemeen beschikbaar (GA). Deze oplossing biedt inzicht in uw SAP BTP-omgeving en helpt u bij het detecteren en reageren op bedreigingen en verdachte activiteiten.
Zie voor meer informatie:
- Microsoft Sentinel Solution for SAP Business Technology Platform (BTP)
- De Microsoft Sentinel-oplossing voor SAP BTP implementeren
- Microsoft Sentinel-oplossing voor SAP BTP: naslaginformatie over beveiligingsinhoud
Microsoft Unified Security Platform is nu algemeen beschikbaar
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Het geïntegreerde Platform voor beveiligingsbewerkingen van Microsoft combineert de volledige mogelijkheden van Microsoft Sentinel, Microsoft Defender XDR en Microsoft Copilot in Microsoft Defender. Voor meer informatie raadpleegt u de volgende bronnen:
- Blogbericht: Algemene beschikbaarheid van het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft
- Microsoft Sentinel in de Microsoft Defender-portal
- Microsoft Sentinel verbinden met Microsoft Defender XDR
- Microsoft Copilot in Microsoft Defender
Juni 2024
- Platform voor codeloze connectors is nu algemeen beschikbaar
- Geavanceerde zoekfunctie voor bedreigingsindicatoren beschikbaar
Platform voor codeloze connectors is nu algemeen beschikbaar
Het Codeless Connector Platform (CCP) is nu algemeen beschikbaar (GA). Bekijk het blogbericht over de aankondiging.
Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie over de CTP-verbeteringen en -mogelijkheden.
Geavanceerde zoekfunctie voor bedreigingsindicatoren beschikbaar
De zoek- en filtermogelijkheden voor bedreigingsinformatie zijn verbeterd en de ervaring heeft nu pariteit in de Microsoft Sentinel- en Microsoft Defender-portals. Search ondersteunt maximaal 10 voorwaarden met elk maximaal 3 subclauses.
Zie de bijgewerkte schermopname in Uw bedreigingsindicatoren weergeven en beheren voor meer informatie.