Udostępnij za pośrednictwem

Co nowego w usłudze Microsoft Sentinel

  • Artykuł

W tym artykule wymieniono najnowsze funkcje dodane do usługi Microsoft Sentinel oraz nowe funkcje w powiązanych usługach, które zapewniają ulepszone środowisko użytkownika w usłudze Microsoft Sentinel.

Wymienione funkcje zostały wydane w ciągu ostatnich trzech miesięcy. Aby uzyskać informacje o wcześniejszych funkcjach dostarczanych, zobacz nasze blogi społeczności technicznej.

Otrzymuj powiadomienie o zaktualizowaniu tej strony przez skopiowanie i wklejenie następującego adresu URL do czytnika kanału informacyjnego: https://aka.ms/sentinel/rss

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Wrzesień 2024 r.

Mapowanie schematu dodane do środowiska migracji rozwiązania SIEM

Ponieważ środowisko migracji rozwiązania SIEM stało się ogólnie dostępne w maju 2024 r., wprowadzono stałe ulepszenia ułatwiające migrowanie monitorowania zabezpieczeń z rozwiązania Splunk. Następujące nowe funkcje umożliwiają klientom udostępnienie bardziej kontekstowych szczegółów dotyczących środowiska splunk i użycia do aparatu tłumaczenia migracji SIEM usługi Microsoft Sentinel:

  • Mapowanie schematu
  • Obsługa makr splunk w tłumaczeniu
  • Obsługa wyszukiwania splunk w tłumaczeniu

Aby dowiedzieć się więcej o tych aktualizacjach, zobacz Środowisko migracji rozwiązania SIEM.

Aby uzyskać więcej informacji na temat środowiska migracji rozwiązania SIEM, zobacz następujące artykuły:

Widżety wzbogacania innych firm, które mają zostać wycofane w lutym 2025 r.

Od razu nie można włączyć tej funkcji, aby tworzyć widżety wzbogacania pobierające dane z zewnętrznych źródeł danych innych firm. Te widżety są wyświetlane na stronach jednostek usługi Microsoft Sentinel i w innych lokalizacjach, w których są prezentowane informacje o jednostce. Ta zmiana występuje, ponieważ nie można już utworzyć magazynu kluczy platformy Azure wymaganego do uzyskania dostępu do tych zewnętrznych źródeł danych.

Jeśli używasz już żadnych widżetów wzbogacania innych firm, oznacza to, że jeśli ten magazyn kluczy już istnieje, nadal możesz skonfigurować widżety, których nie używano wcześniej, ale nie zalecamy tego robić.

Od lutego 2025 r. wszystkie istniejące widżety wzbogacania, które pobierają dane ze źródeł innych firm, przestaną być wyświetlane na stronach jednostek lub w dowolnym innym miejscu.

Jeśli organizacja korzysta z widżetów wzbogacania innych firm, zalecamy wcześniejsze wyłączenie ich przez usunięcie magazynu kluczy utworzonego w tym celu z grupy zasobów. Nazwa magazynu kluczy zaczyna się od "widgets".

Widżety wzbogacania oparte na źródłach danych innych firm nie mają wpływu na tę zmianę i będą nadal działać tak jak wcześniej. "Źródła danych innych firm" obejmują wszystkie dane, które zostały już pozyskane do usługi Microsoft Sentinel ze źródeł zewnętrznych — innymi słowy, wszystkie elementy w tabelach w obszarze roboczym usługi Log Analytics i microsoft Defender Threat Intelligence.

Plany zakupu wstępnego są teraz dostępne dla usługi Microsoft Sentinel

Plany przed zakupem to rodzaj rezerwacji platformy Azure. Gdy kupujesz plan przed zakupem, otrzymujesz jednostki zatwierdzeń (CU) w warstwach z rabatem dla określonego produktu. Jednostki zatwierdzeń (SCU) usługi Microsoft Sentinel mają zastosowanie do kwalifikujących się kosztów w obszarze roboczym. Jeśli masz przewidywalne koszty, wybór odpowiedniego planu przed zakupem pozwala zaoszczędzić pieniądze!

Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów za pomocą planu przed zakupem.

Importowanie/eksportowanie reguł automatyzacji jest teraz ogólnie dostępne (GA)

Możliwość eksportowania reguł automatyzacji do szablonów usługi Azure Resource Manager (ARM) w formacie JSON i importowania ich z szablonów usługi ARM jest teraz ogólnie dostępna po krótkim okresie obowiązywania wersji zapoznawczej.

Dowiedz się więcej na temat eksportowania i importowania reguł automatyzacji.

Łączniki danych platformy Google Cloud Platform są teraz ogólnie dostępne (GA)

Łączniki danych platformy Google Cloud Platform (GCP) usługi Microsoft Sentinel oparte na naszej platformie łączników bez kodu są teraz ogólnie dostępne. Te łączniki umożliwiają pozyskiwanie dzienników ze środowiska GCP przy użyciu funkcji GCP Pub/Sub:

  • Łącznik Dzienniki inspekcji pub/podrzędnej platformy Google Cloud Platform (GCP) zbiera ślady inspekcji dostępu do zasobów GCP. Analitycy mogą monitorować te dzienniki, aby śledzić próby dostępu do zasobów i wykrywać potencjalne zagrożenia w środowisku GCP.

  • Łącznik Google Cloud Platform (GCP) Security Command Center zbiera wyniki z usługi Google Security Command Center, niezawodnej platformy do zarządzania zabezpieczeniami i ryzykiem w usłudze Google Cloud. Analitycy mogą wyświetlać te wyniki, aby uzyskać wgląd w stan zabezpieczeń organizacji, w tym spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożenia oraz środki zaradcze i korygowanie ryzyka.

Aby uzyskać więcej informacji na temat tych łączników, zobacz Ingest Google Cloud Platform log data into Microsoft Sentinel (Pozyskiwanie danych dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel).

Usługa Microsoft Sentinel jest teraz ogólnie dostępna w usłudze Azure Israel Central

Usługa Microsoft Sentinel jest teraz dostępna w regionie Israel Central Azure z tym samym zestawem funkcji co wszystkie inne regiony komercyjne platformy Azure.

Aby uzyskać więcej informacji, zobacz obsługa funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur oraz dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.

Sierpień 2024 r.

Wycofanie agenta usługi Log Analytics

Od 31 sierpnia 2024 r. agent usługi Log Analytics (MMA/OMS) zostanie wycofany.

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy przeprowadzenie migracji do agenta usługi Azure Monitor (AMA).

Aby uzyskać więcej informacji, zobacz:

Eksportowanie i importowanie reguł automatyzacji (wersja zapoznawcza)

Zarządzaj regułami automatyzacji usługi Microsoft Sentinel jako kodem! Teraz możesz wyeksportować reguły automatyzacji do plików szablonów usługi Azure Resource Manager (ARM) i zaimportować reguły z tych plików w ramach programu, aby zarządzać wdrożeniami usługi Microsoft Sentinel i kontrolować je jako kod. Akcja eksportu spowoduje utworzenie pliku JSON w lokalizacji pobierania przeglądarki, którą można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik.

Wyeksportowany plik JSON jest niezależny od obszaru roboczego, więc można go zaimportować do innych obszarów roboczych, a nawet innych dzierżaw. Jako kod można go również kontrolować, aktualizować i wdrażać w zarządzanej strukturze ciągłej integracji/ciągłego wdrażania.

Plik zawiera wszystkie parametry zdefiniowane w regule automatyzacji. Reguły dowolnego typu wyzwalacza można wyeksportować do pliku JSON.

Dowiedz się więcej na temat eksportowania i importowania reguł automatyzacji.

Obsługa usługi Microsoft Sentinel w wielodostępnym zarządzaniu w usłudze Microsoft Defender (wersja zapoznawcza)

Jeśli dołączysz usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń firmy Microsoft, dane usługi Microsoft Sentinel są teraz dostępne z danymi usługi Defender XDR w funkcji zarządzania wielodostępnego w usłudze Microsoft Defender. W ujednoliconej platformie operacji zabezpieczeń firmy Microsoft jest obecnie obsługiwany tylko jeden obszar roboczy usługi Microsoft Sentinel na dzierżawę. Dlatego zarządzanie wielodostępne w usłudze Microsoft Defender pokazuje dane zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) z jednego obszaru roboczego usługi Microsoft Sentinel na dzierżawę. Aby uzyskać więcej informacji, zobacz Zarządzanie wielodostępne usługi Microsoft Defender i Usługa Microsoft Sentinel w portalu usługi Microsoft Defender.

Łącznik danych usługi Microsoft Defender Threat Intelligence w warstwie Premium (wersja zapoznawcza)

Twoja licencja Premium dla usługi Microsoft Defender Threat Intelligence (MDTI) umożliwia teraz pozyskiwanie wszystkich wskaźników Premium bezpośrednio w obszarze roboczym. Łącznik danych MDTI w warstwie Premium dodaje więcej do możliwości wyszukiwania zagrożeń i badań w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Omówienie analizy zagrożeń.

Ujednolicone łączniki oparte na usłudze AMA na potrzeby pozyskiwania dziennika systemowego

Po zbliżającym się wycofaniu agenta usługi Log Analytics usługa Microsoft Sentinel skonsolidowała kolekcję i pozyskiwanie komunikatów dziennika syslog, CEF i niestandardowych formatów w trzech łącznikach danych wielofunkcyjnych opartych na agencie usługi Azure Monitor (AMA):

  • Dziennik systemowy za pośrednictwem usługi AMA dla dowolnego urządzenia, którego dzienniki są pozyskiwane do tabeli Syslog w usłudze Log Analytics.
  • Common Event Format (CEF) za pośrednictwem usługi AMA dla dowolnego urządzenia, którego dzienniki są pozyskiwane do tabeli CommonSecurityLog w usłudze Log Analytics.
  • Nowość! Dzienniki niestandardowe za pośrednictwem usługi AMA (wersja zapoznawcza), dla dowolnego z 15 typów urządzeń lub dowolnego urządzenia, którego dzienniki są pozyskiwane do tabel niestandardowych z nazwami kończącymi się _CL w usłudze Log Analytics.

Te łączniki zastępują prawie wszystkie istniejące łączniki dla poszczególnych typów urządzeń i urządzeń, które istniały do tej pory, które były oparte na starszym agencie usługi Log Analytics (znanym również jako MMA lub OMS) lub na bieżącym agencie usługi Azure Monitor. Rozwiązania udostępniane w centrum zawartości dla wszystkich tych urządzeń i urządzeń obejmują teraz, które z tych trzech łączników są odpowiednie dla rozwiązania.* Zastąpione łączniki są teraz oznaczone jako "Przestarzałe" w galerii łączników danych.

Wykresy pozyskiwania danych, które zostały wcześniej znalezione na stronie łącznika każdego urządzenia, można teraz znaleźć w skoroszytach specyficznych dla urządzenia spakowanych przy użyciu rozwiązania każdego urządzenia.

* Podczas instalowania rozwiązania dla dowolnej z tych aplikacji, urządzeń lub urządzeń, aby upewnić się, że towarzyszący łącznik danych jest zainstalowany, należy wybrać pozycję Zainstaluj z zależnościami na stronie rozwiązania, a następnie oznacz łącznik danych na poniższej stronie.

Aby zapoznać się ze zaktualizowanymi procedurami instalowania tych rozwiązań, zobacz następujące artykuły:

Lepsza widoczność zdarzeń zabezpieczeń systemu Windows

Ulepszyliśmy schemat tabeli SecurityEvent hostujący zdarzenia Zabezpieczenia Windows i dodaliśmy nowe kolumny w celu zapewnienia zgodności z agentem usługi Azure Monitor (AMA) dla systemu Windows (wersja 1.28.2). Te ulepszenia zostały zaprojektowane w celu zwiększenia widoczności i przejrzystości zebranych zdarzeń systemu Windows. Jeśli nie interesuje Cię odbieranie danych w tych polach, możesz zastosować transformację czasu pozyskiwania ("na przykład projekt-away"), aby je usunąć.

Nowy plan przechowywania dzienników pomocniczych (wersja zapoznawcza)

Nowy plan przechowywania dzienników pomocniczych dla tabel usługi Log Analytics umożliwia pozyskiwanie dużych ilości dzienników o dużej ilości z dodatkową wartością zabezpieczeń po znacznie niższych kosztach. Dzienniki pomocnicze są dostępne z interakcyjnym przechowywaniem przez 30 dni, w których można uruchamiać proste zapytania z pojedynczą tabelą, takie jak podsumowywanie i agregowanie danych. Po upływie tego 30-dniowego okresu dane dziennika pomocniczego przechodzą do długoterminowego przechowywania, które można zdefiniować przez maksymalnie 12 lat, przy bardzo niskich kosztach. Ten plan umożliwia również uruchamianie zadań wyszukiwania na danych w długoterminowym przechowywaniu, wyodrębniając tylko rekordy, które chcesz utworzyć nową tabelę, którą można traktować jak zwykłą tabelę usługi Log Analytics z pełnymi możliwościami zapytań.

Aby dowiedzieć się więcej na temat dzienników pomocniczych i porównać je z dziennikami analizy, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.

Aby uzyskać bardziej szczegółowe informacje na temat różnych planów zarządzania dziennikami, zobacz Artykuł Omówienie planów tabel w artykule Omówienie dzienników usługi Azure Monitor w dokumentacji usługi Azure Monitor.

Tworzenie reguł podsumowania w usłudze Microsoft Sentinel dla dużych zestawów danych (wersja zapoznawcza)

Usługa Microsoft Sentinel umożliwia teraz tworzenie dynamicznych podsumowań przy użyciu reguł podsumowania usługi Azure Monitor, które agregują duże zestawy danych w tle w celu zapewnienia sprawniejszego środowiska operacji zabezpieczeń we wszystkich warstwach dzienników.

  • Uzyskiwanie dostępu do wyników reguły podsumowania za pośrednictwem język zapytań Kusto (KQL) między działaniami wykrywania, badania, wyszukiwania zagrożeń i raportowania.
  • Uruchamianie zapytań język zapytań Kusto o wysokiej wydajności (KQL) na podsumowanych danych.
  • Użyj wyników reguły podsumowania dla dłuższych okresów w badaniach, wyszukiwaniu zagrożeń i działaniach zgodności.

Aby uzyskać więcej informacji, zobacz Agregowanie danych usługi Microsoft Sentinel przy użyciu reguł podsumowania.

Lipiec 2024 r.

Optymalizacje SOC są teraz ogólnie dostępne

Środowisko optymalizacji SOC w portalach platformy Azure i usługi Defender jest teraz ogólnie dostępne dla wszystkich klientów usługi Microsoft Sentinel, w tym zarówno wartości danych, jak i rekomendacji opartych na zagrożeniach.

  • Użyj zaleceń dotyczących wartości danych, aby poprawić użycie danych pozyskanych dzienników podlegających rozliczaniu, uzyskać wgląd w niedostateczne dzienniki i wykryć odpowiednie wykrycia dla tych dzienników lub odpowiednie korekty warstwy dzienników lub pozyskiwania.

  • Skorzystaj z zaleceń opartych na zagrożeniach, aby ułatwić identyfikowanie luk w zakresie określonych ataków na podstawie badań firmy Microsoft i eliminowanie ich przez pozyskiwanie zalecanych dzienników i dodawanie zalecanych wykryć.

Interfejs recommendations API jest nadal w wersji zapoznawczej.

Aby uzyskać więcej informacji, zobacz:

Łącznik SAP Business Technology Platform (BTP) jest teraz ogólnie dostępny (GA)

Rozwiązanie Microsoft Sentinel dla oprogramowania SAP BTP jest teraz ogólnie dostępne . To rozwiązanie zapewnia wgląd w środowisko SAP BTP i pomaga wykrywać zagrożenia i podejrzane działania oraz reagować na nie.

Aby uzyskać więcej informacji, zobacz:

Ujednolicona platforma zabezpieczeń firmy Microsoft jest teraz ogólnie dostępna

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Ujednolicona platforma operacji zabezpieczeń firmy Microsoft łączy pełne możliwości usług Microsoft Sentinel, Microsoft Defender XDR i Microsoft Copilot w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz następujące zasoby:

Czerwiec 2024 r.

Platforma łącznika bez kodu jest teraz ogólnie dostępna

Platforma łącznika bez kodu (KPCH) jest teraz ogólnie dostępna. Zapoznaj się z wpisem w blogu z ogłoszeniem.

Aby uzyskać więcej informacji na temat ulepszeń i możliwości protokołu KPCH, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.

Dostępna zaawansowana funkcja wyszukiwania wskaźników zagrożeń

Możliwości wyszukiwania i filtrowania analizy zagrożeń zostały ulepszone, a środowisko ma teraz parzystość w portalach usługi Microsoft Sentinel i Microsoft Defender. Funkcja Search obsługuje maksymalnie 10 warunków, z których każdy zawiera maksymalnie 3 podklasy.

Aby uzyskać więcej informacji, zobacz zaktualizowany zrzut ekranu w temacie Wyświetlanie wskaźników zagrożeń i zarządzanie nimi.

Następne kroki

Na pokładzie usługi Azure Sentinel

Uzyskiwanie wglądu w alerty