你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍跨不同Azure环境的Microsoft Sentinel中可用的功能。 功能列为正式版 (正式版) 、公共预览版或显示为不可用。
注意
这些列表和表不包括Azure 政府机密或Azure 政府顶级机密云中的功能或捆绑包可用性。 有关空隙云的特定可用性的详细信息,请联系你的帐户团队。
重要
根据世纪互联发布的公告,所有Microsoft Sentinel功能将于 2026 年 8 月 18 日在世纪互联区域运营的Azure正式停用。 由于即将停用,客户无法再将新订阅加入服务。
我们建议客户与由世纪互联运营的Microsoft Azure的帐户代表合作,评估此次停用对其自身运营的影响。
Defender 门户中的体验
Microsoft Defender门户中还提供了Microsoft Sentinel。 在 Defender 门户中,所有正式发布的功能都可在商业云、GCC 云、GCC High 云和 DoD 云中使用。 仍处于预览状态的功能仅在商业云中可用。
有关详细信息,请参阅美国政府客户的Microsoft Defender XDR。
分析
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 分析规则运行状况 | 公共预览版 | 是 | 否 | 否 |
| MITRE ATT&CK 仪表板 | 公共预览版 | 是 | 是 | 是 |
| NRT 规则 | GA | 是 | 是 | 是 |
| 建议 | 公共预览版 | 是 | 是 | 否 |
| 计划和Microsoft规则 | GA | 是 | 是 | 是 |
内容和内容管理
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 内容中心和解决方案 | GA | 是 | 是 | 是 |
| 存储 库 | 公共预览版 | 是 | 否 | 否 |
| Workbooks | GA | 是 | 是 | 是 |
数据收集
搜寻
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| Bookmarks | GA | 是 | 是 | 是 |
| 狩猎 | 公共预览版 | 是 | 否 | 否 |
| Livestream | GA | 是 | 是 | 是 |
| Queries | GA | 是 | 是 | 是 |
| 还原历史数据 | GA | 是 | 是 | 是 |
| 搜索大型数据集 | GA | 是 | 是 | 是 |
事件
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 将实体添加到威胁情报 | 公共预览版 | 是 | 是 | 是 |
| 高级和/或条件 | GA | 是 | 是 | 是 |
| 自动化规则 | GA | 是 | 是 | 是 |
| 自动化规则运行状况 | 公共预览版 | 是 | 是 | 否 |
| 手动创建事件 | GA | 是 | 是 | 是 |
| 跨租户/跨工作区事件视图 | GA | 是 | 是 | 是 |
| 事件高级搜索 | GA | 是 | 是 | 是 |
| 事件任务 | GA | 是 | 是 | 是 |
| Microsoft Defender XDR事件集成 | GA | 是 | 是 | 否 |
| Microsoft Teams 集成 | 公共预览版 | 是 | 是 | 否 |
| Playbook 模板库 | 公共预览版 | 是 | 是 | 否 |
| 对实体运行 playbook | GA | 是 | 是 | 是 |
| 针对事件运行 playbook | GA | 是 | 是 | 是 |
| SOC 事件审核指标 | GA | 是 | 是 | 是 |
机器学习
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 异常 RDP 登录检测 - 内置 ML 检测 | 公共预览版 | 是 | 是 | 否 |
| 异常 SSH 登录检测 - 内置 ML 检测 | 公共预览版 | 是 | 是 | 否 |
| Fusion - 高级多阶段攻击检测 1 | GA | 是 | 是 | 是 |
1 部分正式版:禁用漏洞扫描中的特定发现功能目前为公共预览版。
管理Microsoft Sentinel
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 工作区管理器 | 公共预览版 | 是 | 是 | 否 |
| SIEM 迁移体验 | GA | 是 | 否 | 否 |
规范化
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 高级安全信息模型 (ASIM) | 公共预览版 | 是 | 是 | 是 |
笔记本
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 笔记本 | GA | 是 | 是 | 是 |
| 笔记本与 Azure Synapse 集成 | 公共预览版 | 是 | 是 | 是 |
SOC 优化
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| SOC 优化 | 支持生产使用 | 是 | 否 | 否 |
SAP
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| SAP 威胁防护 | GA | 是 | 是 | 是 |
| 无代理数据连接器 | 受限预览版 | 是 | 否 | 否 |
威胁情报支持
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| GeoLocation 和 WhoIs 数据扩充 | 公共预览版 | 是 | 否 | 否 |
| 从平面文件导入 TI | 公共预览版 | 是 | 是 | 是 |
| 威胁情报平台数据连接器 | 公共预览版 | 是 | 否 | 否 |
| “威胁情报研究”页 | GA | 是 | 是 | 是 |
| 威胁情报 - TAXII 数据连接器 | GA | 是 | 是 | 是 |
| 威胁情报连接器Microsoft Defender | 公共预览版 | 是 | 否 | 否 |
| Microsoft Defender威胁情报匹配分析 | 公共预览版 | 是 | 否 | 否 |
| 威胁情报工作簿 | GA | 是 | 是 | 是 |
| URL 设置 | 公共预览版 | 是 | 否 | 否 |
| 威胁情报上传指示器 API | 公共预览版 | 是 | 否 | 否 |
UEBA
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| 通过 MDI 进行 Active Directory 同步 | 公共预览版 | 是 | 是 | 否 |
| Azure资源实体页 | 公共预览版 | 是 | 是 | 否 |
| 实体见解 | GA | 是 | 是 | 是 |
| 实体页 | GA | 是 | 是 | 是 |
| 标识信息表数据引入 | GA | 是 | 是 | 是 |
| IoT 设备实体页 | 公共预览版 | 是 | 是 | 否 |
| 对等/爆炸半径扩充 | 公共预览版 | 是 | 否 | 否 |
| SOC-ML 异常 | GA | 是 | 是 | 否 |
| UEBA 异常 | GA | 是 | 是 | 否 |
| UEBA 扩充\insights | GA | 是 | 是 | 是 |
监视列表
| 功能 | 功能阶段 | Azure商业 | Azure 政府 | Azure由世纪互联运营 |
|---|---|---|---|---|
| Azure存储中的大型监视列表 | 公共预览版 | 是 | 否 | 否 |
| 监视列表 | GA | 是 | 是 | 是 |
| 监视列表模板 | 公共预览版 | 是 | 否 | 否 |
后续步骤
本文介绍了 Microsoft Sentinel 中的可用功能。