通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 新增功能

  • 项目

本文列出了 Microsoft Sentinel 中添加的最新功能,以及相关服务中提供增强 Microsoft Sentinel 用户体验的新功能。

列出的是最近三个月内发布的功能。 若要了解所提供的更早的功能,请参阅技术社区博客

在通过将以下 URL 复制粘贴到源阅读器中更新此页面时获得通知:https://aka.ms/sentinel/rss

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

2024 年 8 月

高级 Microsoft Defender 威胁智能数据连接器(预览版)

Microsoft Defender 威胁智能 (MDTI) 高级许可证现在可以解锁将所有高级指标直接引入工作区的功能。 高级 MDTI 数据连接器为 Microsoft Sentinel 中的搜寻和调查功能做出了补充。

有关详细信息,请参阅了解威胁智能

用于 syslog 引入的基于 AMA 的统一连接器

随着 Log Analytics 代理即将停用,Microsoft Sentinel 已根据 Azure Monitor 代理 (AMA) 将 syslog、CEF 和自定义格式日志消息的收集和引入合并到三个多用途数据连接器中:

  • Syslog via AMA,适用于任何将日志纳入 Log Analytics 中的 Syslog 表的设备。
  • Common Event Format (CEF) via AMA,适用于任何将日志纳入 Log Analytics 中的 CommonSecurityLog 表的设备。
  • 新功能! Custom Logs via AMA(预览版),适用于 15 种设备类型中的任何一种,或任何未列出的设备,其日志将被引入 Log Analytics 中名称以 _CL 结尾的自定义表中。

这些连接器取代了迄今为止存在的几乎所有针对单个设备和设备类型的现有连接器,这些连接器基于旧版 Log Analytics 代理(也称为 MMA 或 OMS)或当前 Azure Monitor 代理。 现在,在内容中心为所有这些设备和装置提供的解决方案中,已加入适合解决方案的上述三种连接器中的任意一种。* 现在,在数据连接器库中,已替换的连接器被标记为“已弃用”。

现在可以在打包每个设备解决方案的设备特定工作簿中找到以前在每个设备的连接器页中找到的数据引入图。

* 在为任何这些应用程序、设备或装置安装解决方案时,为了确保安装了随附的数据连接器,必须在解决方案页面上选择“安装依赖项”,然后在以下页面上标记数据连接器。

有关安装这些解决方案的更新过程,请参阅以下文章:

更好地了解 Windows 安全事件

我们完善了托管 Windows 安全事件的 SecurityEvent 表的架构,并添加了新列以确保与适用于 Windows 的 Azure Monitor 代理 (AMA)(版本 1.28.2)兼容。 这些增强功能旨在提高收集的 Windows 事件的可见性和透明度。 如果你不想接收这些字段中的数据,则可以应用引入时间转换(例如“project-away”)来删除它们。

新的辅助日志保留计划(预览版)

借助 Log Analytics 表新的辅助日志保留计划,能够以较低的成本引入大量具有安全补充价值的高容量日志。 辅助日志提供为期 30 天的交互式保留期,在此期间,可以对它们运行简单的单表查询,例如汇总和聚合数据。 在 30 天的保留期之后,辅助日志数据将进行长期保留,可以将其定义为最长 12 年,且费用超低。 借助此计划,还可以对长期保留的数据运行搜索作业,仅提取想要的记录到新表中,该表可以像常规 Log Analytics 表一样处理,并具有完整的查询功能。

若要详细了解辅助日志并将其与 Analytics 日志进行比较,请参阅 Microsoft Sentinel 中的日志保留计划

有关不同日志管理计划的更多详细信息,请参阅 Azure Monitor 文档中 Azure Monitor 日志概述一文中的表计划

在 Microsoft Sentinel 中为大型数据集创建摘要规则(预览版)

Microsoft Sentinel 现在提供使用 Azure Monitor 摘要规则创建动态摘要的功能,这些规则在后台聚合大量数据,以便在所有日志层中实现更顺畅的安全操作体验。

  • 通过 Kusto 查询语言 (KQL) 访问检测、调查、搜寻和报告活动中的摘要规则结果。
  • 对汇总数据运行高性能 Kusto 查询语言 (KQL) 查询。
  • 在调查、搜寻和合规性活动中更长时间地使用摘要规则结果。

有关详细信息,请参阅使用摘要规则聚合 Microsoft Sentinel 数据

2024 年 7 月

SOC 优化现已正式发布

Azure 和 Defender 门户中的 SOC 优化体验现已面向所有 Microsoft Sentinel 客户开放,包括基于数据价值和基于威胁的建议。

  • 使用数据价值建议改善你对引入的可计费日志的数据使用情况,了解未充分利用的日志,探索适合这些日志的合理检测,获悉对日志层级或引入的正确调整。

  • 使用基于威胁的建议帮助根据 Microsoft 研究识别针对特定攻击的覆盖范围差距,并通过引入建议的日志和添加建议的检测来缓解这些攻击。

recommendations API 仍处于预览状态。

有关详细信息,请参阅:

SAP 业务技术平台 (BTP) 连接器现已正式发布 (GA)

适用于 SAP BTP 的 Microsoft Sentinel 解决方案现已正式发布 (GA)。 此解决方案提供对 SAP BTP 环境的可见性,并帮助你检测和响应威胁和可疑活动。

有关详细信息,请参阅:

Microsoft 统一安全平台现已正式发布

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 Microsoft 统一安全运营平台在 Microsoft Defender 中汇集了 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的全部功能。 有关更多信息,请参见以下资源:

2024 年 6 月

无代码连接器平台现已正式发布

无代码连接器平台 (CCP) 现已正式发布 (GA)。 请查看公告博客文章

有关 CCP 增强和功能的详细信息,请参阅为 Microsoft Sentinel 创建无代码连接器

可用的高级威胁指示器搜索功能

威胁情报搜索和筛选功能已得到增强,而且体验现在可以跨 Microsoft Sentinel 和 Microsoft Defender 门户实现奇偶校验。 搜索最多支持 10 个条件,每个条件最多包含 3 个子子句。

有关详细信息,请参阅查看和管理威胁指示器中更新的屏幕截图。

2024 年 5 月

Playbook 中的事件和实体触发器现已正式发布 (GA)

使用事件和实体触发器的功能现已提供正式版。

Microsoft Sentinel 事件和实体选项的屏幕截图,无预览通知。

有关详细信息,请参阅创建 playbook

使用 SOC 优化(预览版)来优化安全运营

Microsoft Sentinel 现在提供 SOC 优化,这些优化是高保真且可操作的建议,可以帮助你确定在不影响 SOC 需求或覆盖范围的情况下可以降低成本的领域,或者可以添加缺少的安全控制和数据的领域。

使用 SOC 优化建议来帮助你填补针对特定威胁的覆盖范围差距,并降低对无法提供安全价值的数据的引入率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需让 SOC 团队花费时间进行手动分析和研究。

如果你的工作区已加入到统一安全运营平台,则 Microsoft Defender 门户中也会提供 SOC 优化。

有关详细信息,请参阅:

2024 年 4 月

Microsoft Defender 门户中的统一安全运营平台(预览版)

Microsoft Defender 门户中的统一安全运营平台现已推出。 此版本在 Microsoft Defender 中汇集了 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的全部功能。 有关更多信息,请参见以下资源:

Microsoft Sentinel 现已在 Azure 中国世纪互联中正式发布 (GA)

Microsoft Sentinel 现已在 Azure 中国世纪互联中正式发布 (GA)。 个别功能可能仍处于公共预览状态,如对 Azure 商业/其他云的 Microsoft Sentinel 功能支持中所列。

有关详细信息,另请参阅 Microsoft Sentinel 中的地理可用性和数据驻留

两个异常情况检测终止

由于结果质量低,截至 2024 年 3 月 26 日,以下异常情况检测已终止:

  • 域信誉 Palo Alto 异常情况
  • 一天内通过 Palo Alto GlobalProtect 在多个区域登录

有关异常情况检测的完整列表,请参阅“异常参考页”。

Microsoft Sentinel 现已在“意大利北部”区域提供

Microsoft Sentinel 现已在“意大利北部”Azure 区域中提供,与 Microsoft Sentinel 对 Azure 商业/其他云的功能支持中列出的所有其他 Azure 商业区域具有相同的功能集。

有关详细信息,另请参阅 Microsoft Sentinel 中的地理可用性和数据驻留

2024 年 3 月

SIEM 迁移体验现已正式发布 (GA)

本月初,我们已宣布推出 SIEM 迁移预览版。 至此本月底,我们已推出正式版! 新的 Microsoft Sentinel 迁移体验可帮助客户和合作伙伴自动执行将非 Microsoft 产品中托管的安全监视用例迁移到 Microsoft Sentinel 的过程。

  • 此工具的第一个版本支持从 Splunk 进行迁移

有关详细信息,请参阅使用 SIEM 迁移体验迁移到 Microsoft Sentinel

欢迎加入我们的安全社区,参加 2024 年 5 月 2 日举办的网络研讨会,其中会展示 SIEM 迁移体验。

Amazon Web Services S3 连接器现已正式推出 (GA)

Microsoft Sentinel 已正式发布 AWS S3 数据连接器 (GA)。 可以使用此连接器通过 S3 存储桶和 AWS 的简单消息队列服务将日志从多个 AWS 服务引入到 Microsoft Sentinel。

在此版本发布的同时,此连接器的配置针对 Azure 商业云客户进行了细微更改。 现在,用户向 AWS 进行的身份验证使用 OpenID Connect (OIDC) Web 标识提供者来完成,而不是通过 Microsoft Sentinel 应用程序 ID 结合客户工作区 ID 来完成。 现有客户可以暂时继续使用其当前配置,并会在需要进行任何更改之前收到通知。

若要详细了解 AWS S3 连接器,请参阅将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS 服务日志数据

无代码连接器生成器(预览版)

现在,我们有了一个工作手册来帮助应对部署无代码连接器平台 (CCP) 数据连接器的 ARM 模板时所涉及的复杂 JSON。 使用无代码连接器生成器的友好界面来简化开发

有关更多详细信息,请参阅我们的博客文章:使用无代码连接器生成器(预览版)创建无代码连接器

有关 CCP 的详细信息,请参阅为 Microsoft Sentinel 创建无代码连接器(公共预览版)

基于 Azure Monitor 代理的 Syslog 和 CEF 数据连接器现已正式发布 (GA)

Microsoft Sentinel 现已正式发布基于 Azure Monitor 代理 (AMA) 的另外两个数据连接器。 现在可以使用这些连接器将数据收集规则 (DCR) 部署到安装了 Azure Monitor 代理的计算机,以收集 Syslog 消息,包括通用事件格式 (CEF) 的消息。

若要详细了解 Syslog 和 CEF 连接器,请参阅使用 Azure Monitor 代理引入 Syslog 和 CEF 日志

2024 年 2 月

Microsoft Power Platform 预览版的 Microsoft Sentinel 解决方案

适用于 Power Platform(预览版)的 Microsoft Sentinel 解决方案可用于监视和检测 Power Platform 环境中的可疑或恶意活动。 该解决方案从不同的 Power Platform 组件收集活动日志和清单数据。 它会分析这些活动日志以检测威胁和可疑活动,如以下活动:

  • 从未经授权的地理位置执行 Power Apps
  • Power Apps 的可疑数据销毁
  • 批量删除 Power Apps
  • 通过 Power Apps 实现网络钓鱼攻击
  • 离职员工的 Power Automate 流活动
  • 添加到环境的 Microsoft Power Platform 连接器
  • 更新或删除 Microsoft Power Platform 数据丢失防护策略

在 Microsoft Sentinel 内容中心查找此解决方案。

有关详细信息,请参阅:

新的基于 Google Pub/Sub 的连接器,用于引入安全命令中心发现(预览版)

现在,可以使用新的 Google Cloud Platform (GCP) 基于 Pub/Sub 的连接器(现为预览版)从 Google 安全命令中心引入日志。

Google Cloud Platform (GCP) 安全命令中心是 Google Cloud 的强大安全性和风险管理平台。 它提供资产清单和发现、漏洞和威胁检测以及风险缓解和修正等功能。 这些功能可帮助你深入了解和控制组织的安全状况和数据攻击面,并增强高效处理与发现和资产相关的任务的能力。

与 Microsoft Sentinel 的集成使你能够从“单一窗格”查看和控制整个多云环境。

事件任务现已正式发布 (GA)

事件任务有助于标准化事件调查和响应做法,以便更有效地管理事件工作流,它现已在 Microsoft Sentinel 中正式发布 (GA)。

AWS 和 GCP 数据连接器现在支持 Azure 政府云

适用于 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的 Microsoft Sentinel 数据连接器现在包括支持将数据引入 Azure 政府云中的工作区的配置。

Azure 政府客户的这些连接器的配置与公有云配置略有不同。 有关详细信息,请参阅相关文档:

通过 AMA 连接器的 Windows DNS 事件现已正式发布(GA)

Windows DNS 事件现在可以通过 Azure Monitor Agent 和现已正式发布的数据连接器引入到 Microsoft Sentinel。 此连接器让你可以定义数据收集规则 (DCR) 和强大复杂的筛选器,以便仅引入你所需的特定 DNS 记录和字段。

2024 年 1 月

使用分析规则减少 SAP 系统的误报

使用分析规则减少 SAP 系统的误报

将分析规则与适用于 SAP 应用程序的 Microsoft Sentinel 解决方案结合使用,以降低从 SAP 系统触发的误报数。 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案现在包含以下增强功能:

  • SAPUsersGetVIP 函数现在支持根据用户 SAP 给定的角色或配置文件来排除用户。

  • SAP_User_Config 监视列表现在支持在 SAPUser 字段中使用通配符来排除具有特定语法的所有用户。

有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案数据参考处理 Microsoft Sentinel 中的误报

后续步骤

加入 Azure Sentinel

了解警报