你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 新增功能

  • 项目

本文列出了 Microsoft Sentinel 中添加的最新功能,以及相关服务中提供增强 Microsoft Sentinel 用户体验的新功能。

列出的是最近三个月内发布的功能。 若要了解所提供的更早的功能,请参阅技术社区博客

在通过将以下 URL 复制粘贴到源阅读器中更新此页面时获得通知:https://aka.ms/sentinel/rss

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

2024 年 4 月

Microsoft Defender 门户中的统一安全运营平台(预览版)

Microsoft Defender 门户中的统一安全运营平台现已推出。 此版本在 Microsoft Defender 中汇集了 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的全部功能。 有关更多信息,请参见以下资源:

Microsoft Sentinel 现已在 Azure 中国世纪互联中正式发布 (GA)

Microsoft Sentinel 现已在 Azure 中国世纪互联中正式发布 (GA)。 个别功能可能仍处于公共预览状态,如对 Azure 商业/其他云的 Microsoft Sentinel 功能支持中所列。

有关详细信息,另请参阅 Microsoft Sentinel 中的地理可用性和数据驻留

两个异常情况检测终止

由于结果质量低,截至 2024 年 3 月 26 日,以下异常情况检测已终止:

  • 域信誉 Palo Alto 异常情况
  • 一天内通过 Palo Alto GlobalProtect 在多个区域登录

有关异常情况检测的完整列表,请参阅“异常参考页”。

Microsoft Sentinel 现已在“意大利北部”区域提供

Microsoft Sentinel 现已在“意大利北部”Azure 区域中提供,与 Microsoft Sentinel 对 Azure 商业/其他云的功能支持中列出的所有其他 Azure 商业区域具有相同的功能集。

有关详细信息,另请参阅 Microsoft Sentinel 中的地理可用性和数据驻留

2024 年 3 月

SIEM 迁移体验现已正式发布 (GA)

本月初,我们已宣布推出 SIEM 迁移预览版。 至此本月底,我们已推出正式版! 新的 Microsoft Sentinel 迁移体验可帮助客户和合作伙伴自动执行将非 Microsoft 产品中托管的安全监视用例迁移到 Microsoft Sentinel 的过程。

  • 此工具的第一个版本支持从 Splunk 进行迁移

有关详细信息,请参阅使用 SIEM 迁移体验迁移到 Microsoft Sentinel

欢迎加入我们的安全社区,参加 2024 年 5 月 2 日举办的网络研讨会,其中会展示 SIEM 迁移体验。

Amazon Web Services S3 连接器现已正式推出 (GA)

Microsoft Sentinel 已正式发布 AWS S3 数据连接器 (GA)。 可以使用此连接器通过 S3 存储桶和 AWS 的简单消息队列服务将日志从多个 AWS 服务引入到 Microsoft Sentinel。

在此版本发布的同时,此连接器的配置针对 Azure 商业云客户进行了细微更改。 现在,用户向 AWS 进行的身份验证使用 OpenID Connect (OIDC) Web 标识提供者来完成,而不是通过 Microsoft Sentinel 应用程序 ID 结合客户工作区 ID 来完成。 现有客户可以暂时继续使用其当前配置,并会在需要进行任何更改之前收到通知。

若要详细了解 AWS S3 连接器,请参阅将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS 服务日志数据

无代码连接器生成器(预览版)

现在,我们有了一个工作手册来帮助应对部署无代码连接器平台 (CCP) 数据连接器的 ARM 模板时所涉及的复杂 JSON。 使用无代码连接器生成器的友好界面来简化开发

有关更多详细信息,请参阅我们的博客文章:使用无代码连接器生成器(预览版)创建无代码连接器

有关 CCP 的详细信息,请参阅为 Microsoft Sentinel 创建无代码连接器(公共预览版)

基于 Azure Monitor 代理的 Syslog 和 CEF 数据连接器现已正式发布 (GA)

Microsoft Sentinel 现已正式发布基于 Azure Monitor 代理 (AMA) 的另外两个数据连接器。 现在可以使用这些连接器将数据收集规则 (DCR) 部署到安装了 Azure Monitor 代理的计算机,以收集 Syslog 消息,包括通用事件格式 (CEF) 的消息。

若要详细了解 Syslog 和 CEF 连接器,请参阅使用 Azure Monitor 代理引入 Syslog 和 CEF 日志

2024 年 2 月

Microsoft Power Platform 预览版的 Microsoft Sentinel 解决方案

适用于 Power Platform(预览版)的 Microsoft Sentinel 解决方案可用于监视和检测 Power Platform 环境中的可疑或恶意活动。 该解决方案从不同的 Power Platform 组件收集活动日志和清单数据。 它会分析这些活动日志以检测威胁和可疑活动,如以下活动:

  • 从未经授权的地理位置执行 Power Apps
  • Power Apps 的可疑数据销毁
  • 批量删除 Power Apps
  • 通过 Power Apps 实现网络钓鱼攻击
  • 离职员工的 Power Automate 流活动
  • 添加到环境的 Microsoft Power Platform 连接器
  • 更新或删除 Microsoft Power Platform 数据丢失防护策略

在 Microsoft Sentinel 内容中心查找此解决方案。

有关详细信息,请参阅:

新的基于 Google Pub/Sub 的连接器,用于引入安全命令中心发现(预览版)

现在,可以使用新的 Google Cloud Platform (GCP) 基于 Pub/Sub 的连接器(现为预览版)从 Google 安全命令中心引入日志。

Google Cloud Platform (GCP) 安全命令中心是 Google Cloud 的强大安全性和风险管理平台。 它提供资产清单和发现、漏洞和威胁检测以及风险缓解和修正等功能。 这些功能可帮助你深入了解和控制组织的安全状况和数据攻击面,并增强高效处理与发现和资产相关的任务的能力。

与 Microsoft Sentinel 的集成使你能够从“单一窗格”查看和控制整个多云环境。

事件任务现已正式发布 (GA)

事件任务有助于标准化事件调查和响应做法,以便更有效地管理事件工作流,它现已在 Microsoft Sentinel 中正式发布 (GA)。

AWS 和 GCP 数据连接器现在支持 Azure 政府云

适用于 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的 Microsoft Sentinel 数据连接器现在包括支持将数据引入 Azure 政府云中的工作区的配置。

Azure 政府客户的这些连接器的配置与公有云配置略有不同。 有关详细信息,请参阅相关文档:

通过 AMA 连接器的 Windows DNS 事件现已正式发布(GA)

Windows DNS 事件现在可以通过 Azure Monitor Agent 和现已正式发布的数据连接器引入到 Microsoft Sentinel。 此连接器让你可以定义数据收集规则 (DCR) 和强大复杂的筛选器,以便仅引入你所需的特定 DNS 记录和字段。

2024 年 1 月

使用分析规则减少 SAP 系统的误报

使用分析规则减少 SAP 系统的误报

将分析规则与适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序结合使用,以降低从 SAP® 系统触发的误报数。 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序现在包含以下增强功能:

  • SAPUsersGetVIP 函数现在支持根据用户 SAP 给定的角色或配置文件来排除用户。

  • SAP_User_Config 监视列表现在支持在 SAPUser 字段中使用通配符来排除具有特定语法的所有用户。

有关详细信息,请参阅适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据参考处理 Microsoft Sentinel 中的误报

后续步骤

加入 Azure Sentinel

了解警报