Dela via

Nyheter i Microsoft Sentinel

  • Artikel

I den här artikeln visas de senaste funktionerna som lagts till för Microsoft Sentinel och nya funktioner i relaterade tjänster som ger en förbättrad användarupplevelse i Microsoft Sentinel.

De listade funktionerna har släppts under de senaste tre månaderna. Mer information om tidigare funktioner finns i våra Tech Community-bloggar.

Få ett meddelande när den här sidan uppdateras genom att kopiera och klistra in följande URL i feedläsaren: https://aka.ms/sentinel/rss

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

September 2024

Schemamappning har lagts till i SIEM-migreringsmiljön

Sedan SIEM-migreringen blev allmänt tillgänglig i maj 2024 har stadiga förbättringar gjorts för att migrera din säkerhetsövervakning från Splunk. Med följande nya funktioner kan kunderna ge mer sammanhangsberoende information om sin Splunk-miljö och användning till Översättningsmotorn för Microsoft Sentinel SIEM-migrering:

  • Schemamappning
  • Stöd för Splunk-makron i översättning
  • Stöd för Splunk-sökningar i översättning

Mer information om dessa uppdateringar finns i SIEM-migrering.

Mer information om SIEM-migrering finns i följande artiklar:

Widgetar från tredje part som ska dras tillbaka i februari 2025

Med omedelbar verkan kan du inte längre aktivera funktionen för att skapa berikningswidgetar som hämtar data från externa datakällor från tredje part. Dessa widgetar visas på Microsoft Sentinel-entitetssidor och på andra platser där entitetsinformation visas. Den här ändringen sker eftersom du inte längre kan skapa det Azure-nyckelvalv som krävs för att få åtkomst till dessa externa datakällor.

Om du redan använder widgetar från tredje part, dvs. om det här nyckelvalvet redan finns, kan du fortfarande konfigurera och använda widgetar som du inte använde tidigare, men vi rekommenderar inte att du gör det.

Från och med februari 2025 kommer alla befintliga berikningswidgetar som hämtar data från tredjepartskällor att sluta visas, på entitetssidor eller någon annanstans.

Om din organisation använder widgetar från tredje part rekommenderar vi att du inaktiverar dem i förväg genom att ta bort nyckelvalvet som du skapade för detta ändamål från resursgruppen. Nyckelvalvets namn börjar med "widgetar".

Berikningswidgetar baserade på datakällor från första part påverkas inte av den här ändringen och fortsätter att fungera som tidigare. "Datakällor från första part" innehåller alla data som redan har matats in i Microsoft Sentinel från externa källor– med andra ord allt i tabeller i Log Analytics-arbetsytan – och Microsoft Defender Hotinformation.

Förköpsplaner är nu tillgängliga för Microsoft Sentinel

Förköpsplaner är en typ av Azure-reservation. När du köper en förköpsplan får du incheckningsenheter (CUS) på rabatterade nivåer för en specifik produkt. Microsoft Sentinel-incheckningsenheter (SCUs) gäller för berättigade kostnader på din arbetsyta. När du har förutsägbara kostnader sparar du pengar genom att välja rätt förköpsplan!

Mer information finns i Optimera kostnader med en förköpsplan.

Import/export av automatiseringsregler är nu allmänt tillgängliga (GA)

Möjligheten att exportera automatiseringsregler till Azure Resource Manager-mallar (ARM) i JSON-format och importera dem från ARM-mallar är nu allmänt tillgänglig efter en kort förhandsversionsperiod.

Läs mer om att exportera och importera automatiseringsregler.

Google Cloud Platform-dataanslutningar är nu allmänt tillgängliga (GA)

Microsoft Sentinels dataanslutningar för Google Cloud Platform (GCP), baserade på vår codeless connector platform (CCP) är nu allmänt tillgängliga. Med dessa anslutningsappar kan du mata in loggar från GCP-miljön med hjälp av GCP Pub/Sub-funktionen:

  • Anslutningsprogrammet för Pub/Undergranskningsloggar för Google Cloud Platform (GCP) samlar in spårningsloggar för åtkomst till GCP-resurser. Analytiker kan övervaka dessa loggar för att spåra resursåtkomstförsök och identifiera potentiella hot i GCP-miljön.

  • Anslutningsappen för Google Cloud Platform (GCP) Security Command Center samlar in resultat från Google Security Command Center, en robust plattform för säkerhet och riskhantering för Google Cloud. Analytiker kan se dessa resultat för att få insikter om organisationens säkerhetsstatus, inklusive tillgångsinventering och identifiering, identifiering av sårbarheter och hot samt riskreducering och reparation.

Mer information om dessa anslutningsappar finns i Mata in Google Cloud Platform-loggdata i Microsoft Sentinel.

Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure Israel Central

Microsoft Sentinel är nu tillgängligt i Regionen Israel, centrala Azure, med samma funktion som alla andra kommersiella Azure-regioner.

Mer information finns i som Microsoft Sentinel-funktionsstöd för kommersiella/andra Azure-moln och Geografisk tillgänglighet och datahemvist i Microsoft Sentinel.

Augusti 2024

Log Analytics-agenten dras tillbaka

Från och med den 31 augusti 2024 har Log Analytics-agenten (MMA/OMS) dragits tillbaka.

Logginsamling från många enheter och enheter stöds nu av Common Event Format (CEF) via AMA, Syslog via AMA eller anpassade loggar via AMA-dataanslutningen i Microsoft Sentinel. Om du har använt Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du migrerar till Azure Monitor Agent (AMA).

Mer information finns i:

Export- och importautomatiseringsregler (förhandsversion)

Hantera dina Microsoft Sentinel-automatiseringsregler som kod! Nu kan du exportera dina automatiseringsregler till ARM-mallfiler (Azure Resource Manager) och importera regler från dessa filer som en del av ditt program för att hantera och kontrollera dina Microsoft Sentinel-distributioner som kod. Exportåtgärden skapar en JSON-fil på webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som alla andra filer.

Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klienter. Som kod kan den också vara versionskontrollerad, uppdaterad och distribuerad i ett hanterat CI/CD-ramverk.

Filen innehåller alla parametrar som definierats i automatiseringsregeln. Regler av valfri utlösartyp kan exporteras till en JSON-fil.

Läs mer om att exportera och importera automatiseringsregler.

Microsoft Sentinel-stöd i hantering av flera klientorganisationer i Microsoft Defender (förhandsversion)

Om du har registrerat Microsoft Sentinel på Microsoft Unified Security Operations Platform är Microsoft Sentinel-data nu tillgängliga med Defender XDR-data i Microsoft Defender-hantering av flera klientorganisationer. Endast en Microsoft Sentinel-arbetsyta per klient stöds för närvarande i Microsofts plattform för enhetliga säkerhetsåtgärder. Därför visar Microsoft Defender multitenanthantering data om säkerhetsinformation och händelsehantering (SIEM) från en Microsoft Sentinel-arbetsyta per klientorganisation. Mer information finns i Microsoft Defender-hantering av flera klientorganisationer och Microsoft Sentinel i Microsoft Defender-portalen.

Premium Microsoft Defender Hotinformation dataanslutningsprogram (förhandsversion)

Din premiumlicens för Microsoft Defender Hotinformation (MDTI) låser nu upp möjligheten att mata in alla premiumindikatorer direkt på din arbetsyta. Premium MDTI-dataanslutningsappen lägger till mer i dina jakt- och forskningsfunktioner i Microsoft Sentinel.

Mer information finns i Förstå hotinformation.

Enhetliga AMA-baserade anslutningsappar för syslog-inmatning

Med log analytics-agentens förestående tillbakadragande har Microsoft Sentinel konsoliderat insamling och inmatning av syslog-, CEF- och anpassade loggmeddelanden i tre dataanslutningar för flera syften baserat på Azure Monitor Agent (AMA):

  • Syslog via AMA för alla enheter vars loggar matas in i Syslog-tabellen i Log Analytics.
  • Common Event Format (CEF) via AMA för alla enheter vars loggar matas in i CommonSecurityLog-tabellen i Log Analytics.
  • Nytt! Anpassade loggar via AMA (förhandsversion), för någon av 15 enhetstyper eller valfri olistad enhet, vars loggar matas in i anpassade tabeller med namn som slutar _CL i Log Analytics.

Dessa anslutningsappar ersätter nästan alla befintliga anslutningsappar för enskilda enhets- och installationstyper som har funnits hittills, som baserades på antingen den äldre Log Analytics-agenten (även kallad MMA eller OMS) eller den aktuella Azure Monitor-agenten. Lösningarna som tillhandahålls i innehållshubben för alla dessa enheter och installationer innehåller nu den av dessa tre anslutningsappar som är lämpliga för lösningen.* De ersatta anslutningsapparna har nu markerats som "Inaktuella" i galleriet för dataanslutningsappar.

De datainmatningsdiagram som tidigare hittades på varje enhets anslutningssida finns nu i enhetsspecifika arbetsböcker som paketeras med varje enhets lösning.

* När du installerar lösningen för något av dessa program, enheter eller enheter, för att säkerställa att den tillhörande dataanslutningen är installerad, måste du välja Installera med beroenden på lösningssidan och sedan markera dataanslutningsappen på följande sida.

De uppdaterade procedurerna för att installera dessa lösningar finns i följande artiklar:

Bättre synlighet för Windows-säkerhetshändelser

Vi har förbättrat schemat för tabellen SecurityEvent som är värd för Windows-säkerhet händelser och har lagt till nya kolumner för att säkerställa kompatibilitet med Azure Monitor Agent (AMA) för Windows (version 1.28.2). Dessa förbättringar är utformade för att öka synligheten och transparensen för insamlade Windows-händelser. Om du inte är intresserad av att ta emot data i dessa fält kan du använda en inmatningstidstransformering (till exempel "project-away" för att släppa dem.

Ny kvarhållningsplan för tilläggsloggar (förhandsversion)

Med den nya kvarhållningsplanen för tilläggsloggar för Log Analytics-tabeller kan du mata in stora mängder loggar med stora volymer med ytterligare värde för säkerhet till en mycket lägre kostnad. Hjälploggar är tillgängliga med interaktiv kvarhållning i 30 dagar, där du kan köra enkla frågor med en tabell på dem, till exempel för att sammanfatta och aggregera data. Efter den 30-dagarsperioden går extra loggdata till långsiktig kvarhållning, som du kan definiera i upp till 12 år, till en extremt låg kostnad. Med den här planen kan du också köra sökjobb på data i långsiktig kvarhållning och endast extrahera de poster som du vill ha till en ny tabell som du kan behandla som en vanlig Log Analytics-tabell med fullständiga frågefunktioner.

Mer information om tilläggsloggar och jämföra med analysloggar finns i Loggkvarhållningsplaner i Microsoft Sentinel.

Mer detaljerad information om de olika logghanteringsplanerna finns i Tabellplaner i översiktsartikeln för Azure Monitor-loggar i Azure Monitor-dokumentationen.

Skapa sammanfattningsregler i Microsoft Sentinel för stora datamängder (förhandsversion)

Microsoft Sentinel ger nu möjlighet att skapa dynamiska sammanfattningar med hjälp av Azure Monitor-sammanfattningsregler, som aggregerar stora uppsättningar data i bakgrunden för en smidigare säkerhetsåtgärd på alla loggnivåer.

  • Få åtkomst till sammanfattningsregelresultat via Kusto-frågespråk (KQL) för identifierings-, undersöknings-, jakt- och rapporteringsaktiviteter.
  • Kör KQL-frågor (high performance Kusto-frågespråk) på sammanfattade data.
  • Använd sammanfattningsregelresultat längre i undersökningar, jakt och efterlevnadsaktiviteter.

Mer information finns i Aggregera Microsoft Sentinel-data med sammanfattningsregler.

Juli 2024

SOC-optimeringar är nu allmänt tillgängliga

SOC-optimeringsupplevelsen i både Azure- och Defender-portalerna är nu allmänt tillgänglig för alla Microsoft Sentinel-kunder, inklusive både datavärde och hotbaserade rekommendationer.

  • Använd rekommendationer för datavärde för att förbättra dataanvändningen av inmatade fakturerbara loggar, få insyn i underanvända loggar och identifiera rätt identifieringar för dessa loggar eller rätt justeringar av loggnivån eller inmatningen.

  • Använd hotbaserade rekommendationer för att identifiera luckor i täckningen mot specifika attacker baserat på Microsofts forskning och minimera dem genom att mata in de rekommenderade loggarna och lägga till rekommenderade identifieringar.

API:et recommendations är fortfarande i förhandsversion.

Mer information finns i:

SAP Business Technology Platform (BTP)-anslutningsappen är nu allmänt tillgänglig (GA)

Microsoft Sentinel-lösningen för SAP BTP är nu allmänt tillgänglig (GA). Den här lösningen ger insyn i DIN SAP BTP-miljö och hjälper dig att identifiera och svara på hot och misstänkta aktiviteter.

Mer information finns i:

Microsoft Unified Security Platform är nu allmänt tillgänglig

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Microsoft unified security operations platform samlar alla funktioner i Microsoft Sentinel, Microsoft Defender XDR och Microsoft Copilot i Microsoft Defender. Mer information finns i följande resurser:

Juni 2024

Codeless Connector Platform är nu allmänt tillgänglig

Codeless Connector Platform (CCP) är nu allmänt tillgänglig (GA). Kolla in blogginlägget om tillkännagivandet.

Mer information om förbättringar och funktioner för ccp finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.

Avancerad sökfunktion för hotindikatorer är tillgänglig

Sök- och filtreringsfunktionerna för hotinformation har förbättrats och upplevelsen har nu paritet i Microsoft Sentinel- och Microsoft Defender-portalerna. Sökningen stöder högst 10 villkor där var och en innehåller upp till 3 underklienter.

Mer information finns i den uppdaterade skärmbilden i Visa och hantera dina hotindikatorer.

Nästa steg

Ombord på Azure Sentinel

Få insyn i aviseringar