Udostępnij za pośrednictwem

Co nowego w usłudze Microsoft Sentinel

  • Artykuł

W tym artykule wymieniono najnowsze funkcje dodane do usługi Microsoft Sentinel oraz nowe funkcje w powiązanych usługach, które zapewniają ulepszone środowisko użytkownika w usłudze Microsoft Sentinel.

Wymienione funkcje zostały wydane w ciągu ostatnich trzech miesięcy. Aby uzyskać informacje o wcześniejszych funkcjach dostarczanych, zobacz nasze blogi społeczności technicznej.

Otrzymuj powiadomienie o zaktualizowaniu tej strony przez skopiowanie i wklejenie następującego adresu URL do czytnika kanału informacyjnego: https://aka.ms/sentinel/rss

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Lipiec 2024 r.

Optymalizacje SOC są teraz ogólnie dostępne

Środowisko optymalizacji SOC w portalach platformy Azure i usługi Defender jest teraz ogólnie dostępne dla wszystkich klientów usługi Microsoft Sentinel, w tym zarówno wartości danych, jak i rekomendacji opartych na zagrożeniach.

  • Użyj zaleceń dotyczących wartości danych, aby poprawić użycie danych pozyskanych dzienników podlegających rozliczaniu, uzyskać wgląd w niedostateczne dzienniki i wykryć odpowiednie wykrycia dla tych dzienników lub odpowiednie korekty warstwy dzienników lub pozyskiwania.

  • Skorzystaj z zaleceń opartych na zagrożeniach, aby ułatwić identyfikowanie luk w zakresie określonych ataków na podstawie badań firmy Microsoft i eliminowanie ich przez pozyskiwanie zalecanych dzienników i dodawanie zalecanych wykryć.

Interfejs recommendations API jest nadal w wersji zapoznawczej.

Aby uzyskać więcej informacji, zobacz:

Łącznik SAP Business Technology Platform (BTP) jest teraz ogólnie dostępny (GA)

Rozwiązanie Microsoft Sentinel dla oprogramowania SAP BTP jest teraz ogólnie dostępne . To rozwiązanie zapewnia wgląd w środowisko SAP BTP i pomaga wykrywać zagrożenia i podejrzane działania oraz reagować na nie.

Aby uzyskać więcej informacji, zobacz:

Ujednolicona platforma zabezpieczeń firmy Microsoft jest teraz ogólnie dostępna

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Ujednolicona platforma operacji zabezpieczeń firmy Microsoft łączy pełne możliwości usług Microsoft Sentinel, Microsoft Defender XDR i Microsoft Copilot w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz następujące zasoby:

Czerwiec 2024 r.

Platforma łącznika bez kodu jest teraz ogólnie dostępna

Platforma łącznika bez kodu (KPCH) jest teraz ogólnie dostępna. Zapoznaj się z wpisem w blogu z ogłoszeniem.

Aby uzyskać więcej informacji na temat ulepszeń i możliwości protokołu KPCH, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.

Dostępna zaawansowana funkcja wyszukiwania wskaźników zagrożeń

Możliwości wyszukiwania i filtrowania analizy zagrożeń zostały ulepszone, a środowisko ma teraz parzystość w portalach usługi Microsoft Sentinel i Microsoft Defender. Funkcja Search obsługuje maksymalnie 10 warunków, z których każdy zawiera maksymalnie 3 podklasy.

Aby uzyskać więcej informacji, zobacz zaktualizowany zrzut ekranu w temacie Wyświetlanie wskaźników zagrożeń i zarządzanie nimi.

Maj 2024 r.

Wyzwalacze zdarzeń i jednostek w podręcznikach są teraz ogólnie dostępne (GA)

Możliwość używania wyzwalaczy zdarzeń i jednostek to podręczniki są teraz obsługiwane jako ogólnie dostępne.

Zrzut ekranu przedstawiający opcje zdarzenia i jednostki usługi Microsoft Sentinel bez powiadomienia o wersji zapoznawczej.

Aby uzyskać więcej informacji, zobacz Tworzenie podręcznika.

Optymalizowanie operacji zabezpieczeń za pomocą optymalizacji SOC (wersja zapoznawcza)

Usługa Microsoft Sentinel udostępnia teraz optymalizacje SOC, które są zaleceniami o wysokiej wierności i możliwości działania, które ułatwiają identyfikowanie obszarów, w których można obniżyć koszty, bez wpływu na potrzeby SOC lub pokrycie, lub gdzie można dodać mechanizmy kontroli zabezpieczeń i dane, w których stwierdzono, że ich brakuje.

Użyj zaleceń dotyczących optymalizacji SOC, aby pomóc w zamknięciu luk w zakresie pokrycia określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC pomagają zoptymalizować obszar roboczy Microsoft Sentinel bez konieczności poświęcania czasu przez zespoły SOC na ręczną analizę i badania.

Jeśli obszar roboczy jest dołączany do ujednoliconej platformy operacji zabezpieczeń, optymalizacje SOC są również dostępne w portalu usługi Microsoft Defender.

Aby uzyskać więcej informacji, zobacz:

Kwiecień 2024 r.

Ujednolicona platforma operacji zabezpieczeń w portalu Usługi Microsoft Defender (wersja zapoznawcza)

Ujednolicona platforma operacji zabezpieczeń w portalu Usługi Microsoft Defender jest teraz dostępna. Ta wersja łączy pełne możliwości usług Microsoft Sentinel, Microsoft Defender XDR i Microsoft Copilot w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz następujące zasoby:

Usługa Microsoft Sentinel jest teraz ogólnie dostępna (ogólna dostępność) na platformie Azure —Chiny 21Vianet

Usługa Microsoft Sentinel jest teraz ogólnie dostępna (ogólna dostępność) na platformie Azure (Chiny 21Vianet). Poszczególne funkcje mogą nadal znajdować się w publicznej wersji zapoznawczej, zgodnie z opisem w temacie Obsługa funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur.

Aby uzyskać więcej informacji, zobacz również Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.

Nie można wykryć dwóch anomalii

Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:

  • Reputacja domeny Palo Alto anomalia
  • Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect

Aby uzyskać pełną listę wykrywania anomalii, zobacz stronę referencyjną anomalii.

Usługa Microsoft Sentinel jest teraz dostępna w regionie Północnym We Włoszech

Usługa Microsoft Sentinel jest teraz dostępna w regionie świadczenia usługi Azure Północna Włochy z tym samym zestawem funkcji co wszystkie inne regiony komercyjne platformy Azure wymienione na liście w ramach obsługi funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur.

Aby uzyskać więcej informacji, zobacz również Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.

Marzec 2024 r.

Środowisko migracji rozwiązania SIEM jest teraz ogólnie dostępne (GA)

Na początku miesiąca ogłosiliśmy wersję zapoznawczą migracji rozwiązania SIEM. Teraz na koniec miesiąca, to już ga! Nowe środowisko migracji usługi Microsoft Sentinel pomaga klientom i partnerom zautomatyzować proces migrowania przypadków użycia monitorowania zabezpieczeń hostowanych w produktach innych niż microsoft do usługi Microsoft Sentinel.

  • Ta pierwsza wersja narzędzia obsługuje migracje z narzędzia Splunk

Aby uzyskać więcej informacji, zobacz Migrowanie do usługi Microsoft Sentinel przy użyciu środowiska migracji rozwiązania SIEM

Dołącz do naszej społeczności ds. zabezpieczeń na seminarium internetowym pokazującym środowisko migracji rozwiązania SIEM 2 maja 2024 r.

Łącznik usługi Amazon Web Services S3 jest teraz ogólnie dostępny (GA)

Usługa Microsoft Sentinel udostępniła łącznik danych platformy AWS S3 do ogólnej dostępności. Za pomocą tego łącznika można pozyskiwać dzienniki z kilku usług AWS do usługi Microsoft Sentinel przy użyciu zasobnika S3 i prostej usługi kolejkowania komunikatów platformy AWS.

Współbieżnie z tą wersją konfiguracja tego łącznika nieco się zmieniła dla klientów usługi Azure Commercial Cloud. Uwierzytelnianie użytkowników na platformie AWS odbywa się teraz przy użyciu dostawcy tożsamości sieci Web OpenID Connect (OIDC), a nie za pośrednictwem identyfikatora aplikacji usługi Microsoft Sentinel w połączeniu z identyfikatorem obszaru roboczego klienta. Istniejący klienci mogą nadal korzystać z bieżącej konfiguracji przez cały czas i będą otrzymywać powiadomienia z wyprzedzeniem o konieczności wprowadzenia jakichkolwiek zmian.

Aby dowiedzieć się więcej o łączniku platformy AWS S3, zobacz Łączenie usługi Microsoft Sentinel z usługami Amazon Web Services w celu pozyskiwania danych dziennika usługi AWS

Konstruktor łączników bez kodu (wersja zapoznawcza)

Mamy teraz skoroszyt, który ułatwia nawigowanie po złożonym kodzie JSON zaangażowanym w wdrażanie szablonu usługi ARM dla łączników danych platformy łącznika bez kodu (KPCH). Użyj przyjaznego interfejsu konstruktora łączników bez kodu, aby uprościć programowanie.

Aby uzyskać więcej informacji, zobacz nasz wpis w blogu Create Codeless Connectors with the Codeless Connector Builder (Preview) (Tworzenie łączników bez kodu za pomocą konstruktora łącznika bez kodu (wersja zapoznawcza).

Aby uzyskać więcej informacji na temat protokołu KPCH, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel (publiczna wersja zapoznawcza).

Łączniki danych dla dziennika systemowego i formatu CEF oparte na agencie usługi Azure Monitor są teraz ogólnie dostępne (GA)

Usługa Microsoft Sentinel udostępniła jeszcze dwa łączniki danych na podstawie agenta usługi Azure Monitor (AMA) do ogólnej dostępności. Teraz można użyć tych łączników do wdrożenia reguł zbierania danych (DCR) na maszynach zainstalowanych przez agenta usługi Azure Monitor w celu zbierania komunikatów dziennika systemowego, w tym tych w formacie Common Event Format (CEF).

Aby dowiedzieć się więcej na temat łączników dziennika systemowego i formatu CEF, zobacz Ingest Syslog and CEF logs with the Azure Monitor Agent (Pozyskiwanie dzienników syslogu i dzienników CEF przy użyciu agenta usługi Azure Monitor).

Luty 2024 r.

Dostępne rozwiązanie Microsoft Sentinel dla platformy Microsoft Power Platform w wersji zapoznawczej

Rozwiązanie Microsoft Sentinel dla platformy Power Platform (wersja zapoznawcza) umożliwia monitorowanie i wykrywanie podejrzanych lub złośliwych działań w środowisku platformy Power Platform. Rozwiązanie zbiera dzienniki aktywności z różnych składników platformy Power Platform i danych spisu. Analizuje te dzienniki aktywności w celu wykrywania zagrożeń i podejrzanych działań, takich jak następujące działania:

  • Wykonywanie usługi Power Apps z nieautoryzowanych lokalizacji geograficznych
  • Podejrzane zniszczenie danych przez usługę Power Apps
  • Masowe usuwanie usługi Power Apps
  • Ataki wyłudzane informacje możliwe za pośrednictwem usługi Power Apps
  • Działanie przepływów usługi Power Automate przez odejścia pracowników
  • Łączniki platformy Microsoft Power Platform dodane do środowiska
  • Aktualizowanie lub usuwanie zasad ochrony przed utratą danych platformy Microsoft Power Platform

Znajdź to rozwiązanie w centrum zawartości usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz:

Nowy łącznik Google Pub/Sub-based na potrzeby pozyskiwania wyników usługi Security Command Center (wersja zapoznawcza)

Teraz można pozyskiwać dzienniki z Centrum poleceń zabezpieczeń Google przy użyciu nowego łącznika Google Cloud Platform (GCP) pub/sub-based (teraz w wersji ZAPOZNAWCZEJ).

Usługa Google Cloud Platform (GCP) Security Command Center to niezawodna platforma do zarządzania zabezpieczeniami i ryzykiem dla usługi Google Cloud. Udostępnia funkcje, takie jak spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożeniach oraz środki zaradcze i korygowanie ryzyka. Te możliwości ułatwiają uzyskanie wglądu w stan zabezpieczeń i ataki na dane w organizacji oraz kontrolę nad nimi oraz zwiększenie możliwości wydajnego obsługi zadań związanych z ustaleniami i elementami zawartości.

Integracja z usługą Microsoft Sentinel umożliwia widoczność i kontrolę nad całym środowiskiem wielochmurowym z "jednego okienka szkła".

  • Dowiedz się, jak skonfigurować nowy łącznik i pozyskiwać zdarzenia z Centrum poleceń zabezpieczeń Google.

Zadania zdarzeń są teraz ogólnie dostępne (GA)

Zadania zdarzeń, które ułatwiają standaryzację rozwiązań dotyczących badania i reagowania na zdarzenia, dzięki czemu można efektywniej zarządzać przepływem pracy zdarzeń, są teraz ogólnie dostępne w usłudze Microsoft Sentinel.

Łączniki danych platform AWS i GCP obsługują teraz chmury platformy Azure Government

Łączniki danych usługi Microsoft Sentinel dla usług Amazon Web Services (AWS) i Google Cloud Platform (GCP) obejmują teraz obsługę konfiguracji pozyskiwania danych do obszarów roboczych w chmurach platformy Azure Government.

Konfiguracje tych łączników dla klientów platformy Azure Government różnią się nieco od konfiguracji chmury publicznej. Szczegółowe informacje można znaleźć w odpowiedniej dokumentacji:

Zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA są teraz ogólnie dostępne (GA)

Zdarzenia DNS systemu Windows można teraz pozyskiwać do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor z teraz ogólnie dostępnym łącznikiem danych. Ten łącznik umożliwia definiowanie reguł zbierania danych (DCR) i zaawansowanych, złożonych filtrów, dzięki czemu pozyskiwane są tylko potrzebne rekordy i pola DNS.

Styczeń 2024

Zmniejszanie wyników fałszywie dodatnich dla systemów SAP za pomocą reguł analizy

Zmniejszanie wyników fałszywie dodatnich dla systemów SAP za pomocą reguł analizy

Użyj reguł analizy wraz z rozwiązaniem Microsoft Sentinel dla aplikacji SAP, aby zmniejszyć liczbę wyników fałszywie dodatnich wyzwolonych z systemów SAP. Rozwiązanie Microsoft Sentinel dla aplikacji SAP obejmuje teraz następujące ulepszenia:

  • Funkcja SAPUsersGetVIP obsługuje teraz wykluczanie użytkowników zgodnie z określonymi rolami lub profilem sap.

  • Lista do obejrzenia SAP_User_Config obsługuje teraz używanie symboli wieloznacznych w polu SAPUser w celu wykluczenia wszystkich użytkowników z określoną składnią.

Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution for SAP applications data reference (Dokumentacja danych aplikacji SAP) i Handle false positives in Microsoft Sentinel (Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel).

Następne kroki

Na pokładzie usługi Azure Sentinel

Uzyskiwanie wglądu w alerty