Nyheter i Microsoft Sentinel
I den här artikeln visas de senaste funktionerna som lagts till för Microsoft Sentinel och nya funktioner i relaterade tjänster som ger en förbättrad användarupplevelse i Microsoft Sentinel.
De listade funktionerna har släppts under de senaste tre månaderna. Mer information om tidigare funktioner finns i våra Tech Community-bloggar.
Få ett meddelande när den här sidan uppdateras genom att kopiera och klistra in följande URL i feedläsaren: https://aka.ms/sentinel/rss
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
April 2024
- Enhetlig säkerhetsåtgärdsplattform i Microsoft Defender-portalen (förhandsversion)
- Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure China 21Vianet
- Två avvikelseidentifieringar upphörde
- Microsoft Sentinel är nu tillgängligt i regionen Italien, norra
Enhetlig säkerhetsåtgärdsplattform i Microsoft Defender-portalen (förhandsversion)
Den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen är nu tillgänglig. Den här versionen samlar alla funktioner i Microsoft Sentinel, Microsoft Defender XDR och Microsoft Copilot i Microsoft Defender. Mer information finns i följande resurser:
- Bloggmeddelande: Enhetlig säkerhetsåtgärdsplattform med Microsoft Sentinel och Microsoft Defender XDR
- Microsoft Sentinel i Microsoft Defender-portalen
- Anslut Microsoft Sentinel till Microsoft Defender XDR
- Microsoft Security Copilot i Microsoft Defender XDR
Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure China 21Vianet
Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure China 21Vianet. Enskilda funktioner kan fortfarande vara i offentlig förhandsversion, enligt microsoft Sentinel-funktionsstöd för kommersiella/andra Azure-moln.
Mer information finns även i Geografisk tillgänglighet och datahemvist i Microsoft Sentinel.
Två avvikelseidentifieringar upphörde
Följande avvikelseidentifieringar upphör från och med den 26 mars 2024 på grund av låg resultatkvalitet:
- Domänrykte Palo Alto-avvikelse
- Inloggningar i flera regioner på en enda dag via Palo Alto GlobalProtect
Den fullständiga listan över avvikelseidentifieringar finns på referenssidan för avvikelser.
Microsoft Sentinel är nu tillgängligt i regionen Italien, norra
Microsoft Sentinel är nu tillgängligt i Regionen Norra Azure i Italien med samma funktionsuppsättning som alla andra kommersiella Azure-regioner som anges i Microsoft Sentinel-funktionsstöd för kommersiella/andra Azure-moln.
Mer information finns även i Geografisk tillgänglighet och datahemvist i Microsoft Sentinel.
Mars 2024
- SIEM-migreringsupplevelsen är nu allmänt tillgänglig (GA)
- Amazon Web Services S3-anslutningsprogrammet är nu allmänt tillgängligt (GA)
- Kodlös Anslut eller builder (förhandsversion)
- Dataanslutningar för Syslog och CEF baserat på Azure Monitor Agent är nu allmänt tillgängliga (GA)
SIEM-migreringsupplevelsen är nu allmänt tillgänglig (GA)
I början av månaden tillkännagav vi förhandsversionen av SIEM-migreringen. Nu i slutet av månaden, det är redan GA! Den nya Microsoft Sentinel-migreringsupplevelsen hjälper kunder och partner att automatisera processen med att migrera sina användningsfall för säkerhetsövervakning som finns i produkter som inte kommer från Microsoft till Microsoft Sentinel.
- Den första versionen av verktyget stöder migreringar från Splunk
Mer information finns i Migrera till Microsoft Sentinel med SIEM-migreringsmiljön
Gå med i vår säkerhetscommunity för ett webbseminarier som visar SIEM-migreringsupplevelsen den 2 maj 2024.
Amazon Web Services S3-anslutningsprogrammet är nu allmänt tillgängligt (GA)
Microsoft Sentinel har släppt AWS S3-dataanslutningsappen till allmän tillgänglighet (GA). Du kan använda den här anslutningsappen för att mata in loggar från flera AWS-tjänster till Microsoft Sentinel med hjälp av en S3-bucket och AWS enkla meddelandekötjänst.
Samtidigt med den här versionen har den här anslutningsappens konfiguration ändrats något för Azure Commercial Cloud-kunder. Användarautentisering till AWS görs nu med hjälp av en OpenID-Anslut -webbidentitetsprovider (OIDC), i stället för via Microsoft Sentinel-program-ID:t i kombination med kundens arbetsyte-ID. Befintliga kunder kan fortsätta att använda sin aktuella konfiguration tills vidare och meddelas i god tid om behovet av att göra ändringar.
Mer information om AWS S3-anslutningsappen finns i Anslut Microsoft Sentinel till Amazon Web Services för att mata in AWS-tjänstloggdata
Kodlös anslutningsverktyget (förhandsversion)
Nu har vi en arbetsbok som hjälper dig att navigera i den komplexa JSON som ingår i distributionen av en ARM-mall för dataanslutningsappar för kodlös anslutningsplattform (CCP). Använd det användarvänliga gränssnittet för den kodlösa anslutningsverktyget för att förenkla din utveckling.
Mer information finns i vårt blogginlägg: Skapa kodlösa Anslut orer med codeless Anslut or Builder (förhandsversion).
Mer information om den centrala motparten finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel (offentlig förhandsversion).
Dataanslutningar för Syslog och CEF baserat på Azure Monitor Agent är nu allmänt tillgängliga (GA)
Microsoft Sentinel har släppt ytterligare två dataanslutningar baserat på Azure Monitor Agent (AMA) till allmän tillgänglighet. Du kan nu använda dessa anslutningsappar för att distribuera datainsamlingsregler (DCR) till Azure Monitor Agent-installerade datorer för att samla in Syslog-meddelanden, inklusive de i Common Event Format (CEF).
Mer information om Syslog- och CEF-anslutningsappar finns i Mata in Syslog- och CEF-loggar med Azure Monitor-agenten.
Februari 2024
- Microsoft Sentinel-lösning för förhandsversionen av Microsoft Power Platform är tillgänglig
- Ny Google Pub/Underbaserad anslutningsapp för inmatning av resultat från Security Command Center (förhandsversion)
- Incidentuppgifter är nu allmänt tillgängliga (GA)
- AWS- och GCP-dataanslutningar stöder nu Azure Government-moln
- Windows DNS-händelser via AMA-anslutningsprogrammet är nu allmänt tillgängliga (GA)
Microsoft Sentinel-lösning för förhandsversionen av Microsoft Power Platform är tillgänglig
Med Microsoft Sentinel-lösningen för Power Platform (förhandsversion) kan du övervaka och identifiera misstänkta eller skadliga aktiviteter i din Power Platform-miljö. Lösningen samlar in aktivitetsloggar från olika Power Platform-komponenter och inventeringsdata. Den analyserar dessa aktivitetsloggar för att identifiera hot och misstänkta aktiviteter som följande aktiviteter:
- Power Apps-körning från obehöriga geografiska områden
- Misstänkt dataförstörelse av Power Apps
- Massborttagning av Power Apps
- Nätfiskeattacker som möjliggörs via Power Apps
- Power Automate-flödesaktivitet av avgående anställda
- Microsoft Power Platform-anslutningsappar har lagts till i miljön
- Uppdatera eller ta bort principer för dataförlustskydd i Microsoft Power Platform
Hitta den här lösningen i Microsoft Sentinel-innehållshubben.
Mer information finns i:
- Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform
- Microsoft Sentinel-lösning för Microsoft Power Platform: referens för säkerhetsinnehåll
- Distribuera Microsoft Sentinel-lösningen för Microsoft Power Platform
Ny Google Pub/Underbaserad anslutningsapp för inmatning av resultat från Security Command Center (förhandsversion)
Nu kan du mata in loggar från Google Security Command Center med hjälp av den nya pub-/underbaserade anslutningsappen för Google Cloud Platform (GCP) (nu i förhandsversion).
Google Cloud Platform (GCP) Security Command Center är en robust säkerhets- och riskhanteringsplattform för Google Cloud. Den innehåller funktioner som tillgångsinventering och identifiering, identifiering av sårbarheter och hot samt riskreducering och reparation. De här funktionerna hjälper dig att få insikter om och kontroll över organisationens säkerhetsstatus och dataattackyta och förbättra din förmåga att effektivt hantera uppgifter som rör resultat och tillgångar.
Med integreringen med Microsoft Sentinel kan du ha insyn och kontroll över hela din multimolnmiljö från en "enda fönsterruta".
- Lär dig hur du konfigurerar den nya anslutningsappen och matar in händelser från Google Security Command Center.
Incidentuppgifter är nu allmänt tillgängliga (GA)
Incidentuppgifter, som hjälper dig att standardisera dina metoder för incidentundersökning och svar så att du kan hantera incidentarbetsflödet på ett effektivare sätt, är nu allmänt tillgängliga (GA) i Microsoft Sentinel.
Läs mer om incidentuppgifter i Microsoft Sentinel-dokumentationen:
Se det här blogginlägget från Benji Kovacevic som visar hur du kan använda incidentuppgifter i kombination med bevakningslistor, automatiseringsregler och spelböcker för att skapa en lösning för uppgiftshantering med två delar:
- En lagringsplats för incidentuppgifter.
- En mekanism som automatiskt kopplar uppgifter till nyligen skapade incidenter, enligt incidenttiteln, och tilldelar dem till rätt personal.
AWS- och GCP-dataanslutningar stöder nu Azure Government-moln
Microsoft Sentinel-dataanslutningar för Amazon Web Services (AWS) och Google Cloud Platform (GCP) innehåller nu stödkonfigurationer för att mata in data i arbetsytor i Azure Government-moln.
Konfigurationerna för dessa anslutningsappar för Azure Government-kunder skiljer sig något från konfigurationen för det offentliga molnet. Mer information finns i relevant dokumentation:
- Anslut Microsoft Sentinel för Amazon Web Services mata in loggdata för AWS-tjänsten
- Mata in Google Cloud Platform-loggdata i Microsoft Sentinel
Windows DNS-händelser via AMA-anslutningsprogrammet är nu allmänt tillgängliga (GA)
Windows DNS-händelser kan nu matas in till Microsoft Sentinel med hjälp av Azure Monitor-agenten med den nu allmänt tillgängliga dataanslutningen. Med den här anslutningsappen kan du definiera regler för datainsamling (DCR) och kraftfulla, komplexa filter så att du endast matar in de specifika DNS-poster och fält som du behöver.
- Mer information finns i Strömma och filtrera data från Windows DNS-servrar med AMA-anslutningsappen.
Januari 2024
Minska falska positiva identifieringar för SAP-system med analysregler
Minska falska positiva identifieringar för SAP-system med analysregler
Använd analysregler tillsammans med Microsoft Sentinel-lösningen för SAP-program® för att minska antalet falska positiva identifieringar som utlöses från dina SAP-system®. Microsoft Sentinel-lösningen för SAP-program® innehåller nu följande förbättringar:
Funktionen SAPUsersGetVIP stöder nu exkludering av användare enligt deras SAP-givna roller eller profil.
Den SAP_User_Config bevakningslistan stöder nu användning av jokertecken i FÄLTET SAPUser för att exkludera alla användare med en specifik syntax.
Mer information finns i Datareferens för Microsoft Sentinel-lösning för SAP-program® och Hantera falska positiva identifieringar i Microsoft Sentinel.