你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 功能对 Azure 商业/其他云的支持
本文介绍 Microsoft Sentinel 在不同 Azure 环境中的功能可用性。 以下安全服务的功能列为 GA(正式版)、公共预览版或不可用。
虽然 Microsoft Sentinel 在 Microsoft Defender 门户中也可用,但本文仅介绍了 Azure 环境。 Microsoft 统一安全操作平台中的Microsoft Sentinel 目前仅在 Azure 商业云中受支持。
注意
这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。
分析
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 分析规则运行状况 | 公开预览版 | ✅ | ❌ | ❌ |
| MITRE ATT&CK 仪表板 | 公共预览版 | ✅ | ✅ | ✅ |
| NRT 规则 | GA | ✅ | ✅ | ✅ |
| 建议 | 公共预览版 | ✅ | ✅ | ❌ |
| 计划内和 Microsoft 规则 | GA | ✅ | ✅ | ✅ |
内容和内容管理
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 内容中心和解决方案 | GA | ✅ | ✅ | ✅ |
| 存储库 | 公共预览版 | ✅ | ❌ | ❌ |
| 工作簿 | GA | ✅ | ✅ | ✅ |
数据收集
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| Amazon Web Services | GA | ✅ | ✅ | ❌ |
| Amazon Web Services S3 | GA | ✅ | ✅ | ❌ |
| Microsoft Entra ID | GA | ✅ | ✅ | ✅1 |
| Microsoft Entra ID 保护 | GA | ✅ | ✅ | ❌ |
| Azure 活动 | GA | ✅ | ✅ | ✅ |
| Azure DDoS 防护 | GA | ✅ | ✅ | ❌ |
| Azure 防火墙 | GA | ✅ | ✅ | ✅ |
| Azure 信息保护(预览版) | 已放弃 | ❌ | ❌ | ❌ |
| Azure Key Vault | 公共预览版 | ✅ | ✅ | ✅ |
| Azure Kubernetes 服务 (AKS) | 公共预览版 | ✅ | ✅ | ✅ |
| Azure SQL 数据库 | GA | ✅ | ✅ | ✅ |
| Azure Web 应用程序防火墙 (WAF) | GA | ✅ | ✅ | ✅ |
| Cisco ASA | GA | ✅ | ✅ | ✅ |
| 无代码连接器平台 | 公共预览版 | ✅ | ❌ | ❌ |
| 通用事件格式 (CEF) | GA | ✅ | ✅ | ✅ |
| 通过 AMA 的通用事件格式 (CEF) | GA | ✅ | ✅ | ✅ |
| DNS | 公共预览版 | ✅ | ❌ | ✅ |
| GCP Pub/Sub 审核日志 | 公开预览版 | ✅ | ✅ | ❌ |
| Microsoft Defender XDR | GA | ✅ | ✅ | ❌ |
| Microsoft Purview 内部风险管理(预览版) | 公共预览版 | ✅ | ✅ | ❌ |
| Microsoft Defender for Cloud | GA | ✅ | ✅ | ✅ |
| Microsoft Defender for IoT | GA | ✅ | ✅ | ❌ |
| Microsoft Power BI(预览版) | 公共预览版 | ✅ | ✅ | ❌ |
| Microsoft Project(预览版) | 公共预览版 | ✅ | ✅ | ❌ |
| Microsoft Purview(预览版) | 公共预览版 | ✅ | ❌ | ❌ |
| Microsoft Purview 信息保护 | 公共预览版 | ✅ | ❌ | ❌ |
| Office 365 | GA | ✅ | ✅ | ✅ |
| 摘要规则 | 公共预览版 | ✅ | ❌ | ❌ |
| Syslog | GA | ✅ | ✅ | ✅ |
| Syslog(通过 AMA) | GA | ✅ | ✅ | ✅ |
| 通过 AMA 的 Windows DNS 事件 | GA | ✅ | ✅ | ✅ |
| Windows 防火墙 | GA | ✅ | ✅ | ✅ |
| Windows 转发事件 | GA | ✅ | ✅ | ✅ |
| 通过 AMA 收集的 Windows 安全事件 | GA | ✅ | ✅ | ✅ |
搜寻
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 书签 | GA | ✅ | ✅ | ✅ |
| 搜寻 | 公共预览版 | ✅ | ❌ | ❌ |
| Livestream | GA | ✅ | ✅ | ✅ |
| 查询 | GA | ✅ | ✅ | ✅ |
| 还原历史数据 | GA | ✅ | ✅ | ✅ |
| 搜索大型数据集 | GA | ✅ | ✅ | ✅ |
事故
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 将实体添加到威胁情报 | 公共预览版 | ✅ | ✅ | ✅ |
| 高级和/或条件 | GA | ✅ | ✅ | ✅ |
| 自动化规则 | GA | ✅ | ✅ | ✅ |
| 自动化规则运行状况 | 公共预览版 | ✅ | ✅ | ❌ |
| 手动创建事件 | GA | ✅ | ✅ | ✅ |
| 跨租户/跨工作区事件视图 | GA | ✅ | ✅ | ✅ |
| 事件高级搜索 | GA | ✅ | ✅ | ✅ |
| 事件任务 | GA | ✅ | ✅ | ✅ |
| Microsoft 365 Defender 事件集成 | GA | ✅ | ✅ | ❌ |
| Microsoft Teams 集成 | 公共预览版 | ✅ | ✅ | ❌ |
| Playbook 模板库 | 公共预览版 | ✅ | ✅ | ❌ |
| 对实体运行 playbook | GA | ✅ | ✅ | ✅ |
| 对事件运行 playbook | GA | ✅ | ✅ | ✅ |
| SOC 事件审核指标 | GA | ✅ | ✅ | ✅ |
机器学习
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 异常 RDP 登录检测 - 内置 ML 检测 | 公共预览版 | ✅ | ✅ | ❌ |
| 异常 SSH 登录检测 - 内置 ML 检测 | 公共预览版 | ✅ | ✅ | ❌ |
| Fusion - 高级多阶段攻击检测 1 | GA | ✅ | ✅ | ✅ |
1 部分 GA:禁用漏洞扫描的特定发现的功能处于公共预览状态。
管理 Microsoft Sentinel
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 工作区管理器 | 公共预览版 | ✅ | ✅ | ❌ |
| SIEM 迁移体验 | GA | ✅ | ❌ | ❌ |
标准化
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 高级安全信息模型 (ASIM) | 公共预览版 | ✅ | ✅ | ✅ |
笔记本
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 笔记本 | GA | ✅ | ✅ | ✅ |
| Notebook 与 Azure Synapse 的集成 | 公共预览版 | ✅ | ✅ | ✅ |
SOC 优化
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| SOC 优化 | 支持用于生产 | ✅ | ❌ | ❌ |
SAP
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 针对 SAP 的威胁防护1 | GA | ✅ | ✅ | ✅ |
威胁情报支持
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 地理位置和 WhoIs 数据扩充 | 公共预览版 | ✅ | ❌ | ❌ |
| 从平面文件导入 TI | 公共预览版 | ✅ | ✅ | ✅ |
| 威胁情报平台数据连接器 | 公共预览版 | ✅ | ❌ | ❌ |
| 威胁情报研究页 | GA | ✅ | ✅ | ✅ |
| 威胁情报 - TAXII 数据连接器 | GA | ✅ | ✅ | ✅ |
| Microsoft Defender 威胁智能连接器 | 公共预览版 | ✅ | ❌ | ❌ |
| Microsoft Defender 威胁智能匹配分析 | 公共预览版 | ✅ | ❌ | ❌ |
| 威胁情报工作簿 | GA | ✅ | ✅ | ✅ |
| URL 引爆 | 公共预览版 | ✅ | ❌ | ❌ |
| 威胁情报上传指示器 API | 公共预览版 | ✅ | ❌ | ❌ |
UEBA
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| Active Directory 通过 MDI 同步 | 公共预览版 | ✅ | ✅ | ❌ |
| Azure 资源实体页 | 公共预览版 | ✅ | ✅ | ❌ |
| 实体见解 | GA | ✅ | ✅ | ✅ |
| 实体页 | GA | ✅ | ✅ | ✅ |
| 标识信息表数据引入 | GA | ✅ | ✅ | ✅ |
| IoT 设备实体页 | 公共预览版 | ✅ | ✅ | ❌ |
| 对等/爆炸半径扩充 | 公共预览版 | ✅ | ❌ | ❌ |
| SOC-ML 异常 | GA | ✅ | ✅ | ❌ |
| UEBA 异常情况 | GA | ✅ | ✅ | ❌ |
| UEBA 扩充\见解 | GA | ✅ | ✅ | ✅ |
播放列表
| 功能 | 功能阶段 | Azure 商业版 | Azure Government | Azure 中国世纪互联 |
|---|---|---|---|---|
| 来自 Azure 存储的大型播放列表 | 公共预览版 | ✅ | ❌ | ❌ |
| 播放列表 | GA | ✅ | ✅ | ✅ |
| 播放列表模板 | 公共预览版 | ✅ | ❌ | ❌ |
后续步骤
在本文中,你了解了 Microsoft Sentinel 中的可用功能。