你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 新增功能
本文列出了 Microsoft Sentinel 中添加的最新功能,以及相关服务中提供增强 Microsoft Sentinel 用户体验的新功能。 有关 Microsoft 统一安全运营 (SecOps) 平台中的新功能,请参阅统一 SecOps 平台文档。
列出的是最近三个月内发布的功能。 若要了解所提供的更早的功能,请参阅技术社区博客。
在通过将以下 URL 复制粘贴到源阅读器中更新此页面时获得通知:https://aka.ms/sentinel/rss
备注
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
- Microsoft Sentinel 工作簿现在可以直接在 Microsoft Defender 门户中查看
- 适用于 Microsoft 商业应用的统一 Microsoft Sentinel 解决方案
- Microsoft 统一安全运营平台的新文档库
- 适用于 Amazon Web Services WAF 日志的基于 S3 的新数据连接器(预览版)
Microsoft Sentinel 工作簿现在可以通过 Microsoft 统一安全运营 (SecOps) 平台直接在 Microsoft Defender 门户中查看。 现在,在 Defender 门户中,如果选择“Microsoft Sentinel”>“威胁管理”>“工作簿”,你将继续留在 Defender 门户中,而不会在 Azure 门户中为工作簿打开新选项卡。 仅当需要编辑工作簿时,才会继续转到 Azure 门户。
Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,可帮助你可视化和监视引入到 Microsoft Sentinel 的数据。 工作簿会将包含日志和查询分析的表和图表添加到已有的工具中。
有关详细信息,请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据和将 Microsoft Sentinel 连接到 Microsoft Defender XDR。
Microsoft Sentinel 现在为 Microsoft Power Platform、Microsoft Dynamics 365 Customer Engagement 和 Microsoft Dynamics 365 Finance and Operations 提供了统一的解决方案。 该解决方案包括适用于所有平台的数据连接器和安全内容。
更新的解决方案从 Microsoft Sentinel 内容中心移除了 Dynamics 365 CE 应用和 Dynamics 365 Finance and Operations 解决方案。 现有客户将看到这些解决方案已重命名为 Microsoft Business Applications 解决方案。
更新后的解决方案还移除了 Power Platform Inventory 数据连接器。 尽管 Power Platform Inventory 数据连接器在已部署该连接器的工作区中继续受支持,但它不适用于其他工作区中的新部署。
有关详细信息,请参阅:
Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement:
Microsoft Dynamics 365 Finance and Operations:
在 Microsoft Defender 门户中查找有关 Microsoft 统一 SecOps 平台的集中文档。 Microsoft 统一 SecOps 平台将 Microsoft Sentinel、Microsoft Defender XDR、Microsoft 安全风险管理和生成式 AI 的完整功能汇集到了 Defender 门户中。 了解 Microsoft 统一 SecOps 平台可用的特性和功能,然后开始规划部署。
使用 Microsoft Sentinel 基于 S3 的新连接器从 Amazon Web Services 的 Web 应用程序防火墙 (WAF) 引入日志。 此连接器首次实现了快速简便的自动化设置,以利用 AWS CloudFormation 模板创建资源。 将 AWS WAF 日志发送到 S3 桶,其中数据连接器会检索并引入这些日志。
有关更多详细信息和设置说明,请参阅将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS WAF 日志。
我们此前宣布 Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。
目前,在预览版中,即使没有 Microsoft Defender XDR 或 Microsoft 365 E5 许可证,Microsoft Sentinel 也可以在 Defender 门户中使用。 有关详细信息,请参阅:
自 2024 年 10 月 17 日起,Power Apps、Power Platform DLP 和 Power Platform Connectors 的审核日志数据会路由到 PowerPlatformAdminActivity
表,而不是 PowerAppsActivity
、PowerPlatformDlpActivity
和 PowerPlatformConnectorActivity
表。
Microsoft Power Platform 的 Microsoft Sentinel 解决方案中的安全内容已根据 Power Apps、Power Platform DLP 和 Power Platform Connectors 的新表格和架构进行了更新。 建议将工作区中的 Power Platform 解决方案更新到最新版本,并应用更新的分析规则模板,以便从更改中受益。 有关详细信息,请参阅安装或更新内容。
使用 Power Apps、Power Platform DLP 和 Power Platform Connectors 的弃用数据连接器的客户可以安全地断开连接,并从其 Microsoft Sentinel 工作区中删除这些连接器。 所有关联的数据流都是通过 Power Platform Admin Activity 连接器引入。
有关详细信息,请参阅消息中心。
- SIEM 迁移体验中添加了架构映射
- 将于 2025 年 2 月停用的第三方扩充小组件
- Azure 预留现在为 Microsoft Sentinel 提供了预购计划
- 自动化规则的导入/导出功能现已推出正式版 (GA)
- Google Cloud Platform 数据连接器现已推出正式版 (GA)
- Microsoft Sentinel 现已在 Azure 以色列中部正式发布 (GA)
自 2024 年 5 月 SIEM 迁移体验正式发布以来,已进行了稳步改进,以帮助从 Splunk 迁移安全监视。 通过以下新功能,客户可以向 Microsoft Sentinel SIEM 迁移转换引擎提供有关其 Splunk 环境和使用情况的更多上下文详细信息:
- 架构映射
- 在转换中支持 Splunk 宏
- 在转换中支持 Splunk 查找
若要详细了解这些更新,请参阅 SIEM 迁移体验。
有关 SIEM 迁移体验的详细信息,请参阅以下文章:
立即生效,你无法再启用该功能来创建从外部第三方数据源检索数据的扩充小组件。 这些小组件显示在 Microsoft Sentinel 实体页面以及显示了实体信息的其他位置。 发生此更改是因为你无法再创建访问这些外部数据源所需的 Azure 密钥保管库。
如果你已使用任何第三方扩充小组件,即,如果此密钥保管库已存在,你仍可以配置和使用以前未使用的小组件,但不建议这样做。
自 2025 年 2 月起,从第三方来源检索数据的任何现有扩充小组件将停止显示在实体页或其他任何位置。
如果你的组织使用第三方扩充小组件,我们建议提前禁用它们,方法是从其资源组中删除为此创建的密钥保管库。 密钥保管库的名称以“小组件”开头。
基于第一方数据源的扩充小组件不受此更改的影响,并且将继续像以前一样正常运行。 “第一方数据源”包括已从外部源引入到 Microsoft Sentinel 的任何数据(换句话说,就是 Log Analytics 工作区中的表中的任何内容),以及 Microsoft Defender 威胁智能。
预购计划是一种 Azure 预留类型。 购买预购计划时,将按折扣层级获得特定产品的承诺单位 (CU)。 Microsoft Sentinel 承诺单位 (SCU) 可用于抵扣工作区中符合条件的费用。 当你有可预测的成本时,选择合适的预购计划可以节省你的资金!
有关详细信息,请参阅使用预购计划优化成本。
经过短暂的预览期后,将自动化规则以 JSON 格式导出到 Azure 资源管理器 (ARM) 模板,以及从 ARM 模板导入自动化规则的功能现已推出正式版。
详细了解如何导出和导入自动化规则。
基于无代码连接器平台 (CCP) 的 Microsoft Sentinel Google Cloud Platform (GCP) 数据连接器现已推出正式版。 借助这些连接器,可以使用 GCP Pub/Sub 功能从 GCP 环境引入日志:
Google Cloud Platform (GCP) Pub/Sub Audit Logs 连接器收集对 GCP 资源的访问的审核线索。 分析师可以监视这些日志,以跟踪资源访问尝试,并检测 GCP 环境中的潜在威胁。
Google Cloud Platform (GCP) Security Command Center 连接器收集来自 Google 安全命令中心(Google Cloud 的强大安全性和风险管理平台)的结果。 分析师可以查看这些结果,以深入了解组织的安全状况,包括资产清单和发现、漏洞和威胁检测以及风险缓解和修正。
有关这些连接器的详细信息,请参阅将 Google Cloud Platform 日志数据引入 Microsoft Sentinel。
Microsoft Sentinel 现已在以色列中部 Azure 区域中可用,其功能集与所有其他 Azure 商业区域相同。
有关详细信息,请参阅 Azure 商业/其他云的 Microsoft Sentinel 功能支持以及 Microsoft Sentinel 中的地理可用性和数据驻留。
- Log Analytics 代理停用
- 导出和导入自动化规则(预览版)
- Microsoft Defender 多租户管理(预览版)中的 Microsoft Sentinel 支持
- 高级 Microsoft Defender 威胁智能数据连接器(预览版)
- 用于 syslog 引入的基于 AMA 的统一连接器
- 更好地了解 Windows 安全事件
- 新的辅助日志保留计划(预览版)
- 为大型数据集创建摘要规则(预览版)
截至 2024 年 8 月 31 日,Log Analytics 代理 (MMA/OMS) 将停用。
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如果在 Microsoft Sentinel 部署中使用 Log Analytics 代理,则建议你迁移到 Azure Monitor 代理 (AMA)。
有关详细信息,请参阅:
- 查找 Microsoft Sentinel 数据连接器
- 从 Log Analytics 代理迁移到 Azure Monitor 代理
- 适用于 Microsoft Sentinel 的 AMA 迁移
- 博客:
将 Microsoft Sentinel 自动化规则作为代码进行管理! 你现在可以将自动化规则导出到 Azure 资源管理器 (ARM) 模板文件并从这些文件导入规则,作为计划的一部分,以代码形式管理和控制 Microsoft Sentinel 部署。 导出操作将在浏览器的下载位置创建一个 JSON 文件,然后可以像处理任何其他文件一样对其进行重命名、移动和其他处理。
导出的 JSON 文件是独立于工作区的,因此可以导入到其他工作区,甚至其他租户。 作为代码,它也可以在托管 CI/CD 框架中进行版本控制、更新和部署。
该文件包括自动化规则中定义的所有参数。 任何触发器类型的规则都可以导出到 JSON 文件。
详细了解如何导出和导入自动化规则。
如果已将 Microsoft Sentinel 载入到 Microsoft 统一安全运营平台,则 Microsoft Sentinel 数据现在可以与 Microsoft Defender 多租户管理中的 Defender XDR 数据一起使用。 Microsoft 统一安全运营平台目前仅支持每个租户一个 Microsoft Sentinel 工作区。 因此,Microsoft Defender 多租户管理只显示每个租户中一个 Microsoft Sentinel 工作区的安全信息和事件管理 (SIEM) 数据。 有关详细信息,请参阅 Microsoft Defender 多租户管理和 Microsoft Defender 门户中的 Microsoft Sentinel。
Microsoft Defender 威胁智能 (MDTI) 高级许可证现在可以解锁将所有高级指标直接引入工作区的功能。 高级 MDTI 数据连接器为 Microsoft Sentinel 中的搜寻和调查功能做出了补充。
有关详细信息,请参阅了解威胁智能。
随着 Log Analytics 代理即将停用,Microsoft Sentinel 已根据 Azure Monitor 代理 (AMA) 将 syslog、CEF 和自定义格式日志消息的收集和引入合并到三个多用途数据连接器中:
- Syslog via AMA,适用于任何将日志纳入 Log Analytics 中的 Syslog 表的设备。
- Common Event Format (CEF) via AMA,适用于任何将日志纳入 Log Analytics 中的 CommonSecurityLog 表的设备。
- 新功能! Custom Logs via AMA(预览版),适用于 15 种设备类型中的任何一种,或任何未列出的设备,其日志将被引入 Log Analytics 中名称以 _CL 结尾的自定义表中。
这些连接器取代了迄今为止存在的几乎所有针对单个设备和设备类型的现有连接器,这些连接器基于旧版 Log Analytics 代理(也称为 MMA 或 OMS)或当前 Azure Monitor 代理。 现在,在内容中心为所有这些设备和装置提供的解决方案中,已加入适合解决方案的上述三种连接器中的任意一种。* 现在,在数据连接器库中,已替换的连接器被标记为“已弃用”。
现在可以在打包每个设备解决方案的设备特定工作簿中找到以前在每个设备的连接器页中找到的数据引入图。
* 在为任何这些应用程序、设备或装置安装解决方案时,为了确保安装了随附的数据连接器,必须在解决方案页面上选择“安装依赖项”,然后在以下页面上标记数据连接器。
有关安装这些解决方案的更新过程,请参阅以下文章:
- 使用 AMA 数据连接器的 CEF - 为 Microsoft Sentinel 数据引入配置特定装备或设备
- 通过 AMA 的 Syslog 数据连接器 - 配置特定设备以进行 Microsoft Sentinel 数据引入
- Custom Logs via AMA 数据连接器 - 配置从特定应用程序到 Microsoft Sentinel 的数据引入
我们完善了托管 Windows 安全事件的 SecurityEvent 表的架构,并添加了新列以确保与适用于 Windows 的 Azure Monitor 代理 (AMA)(版本 1.28.2)兼容。 这些增强功能旨在提高收集的 Windows 事件的可见性和透明度。 如果你不想接收这些字段中的数据,则可以应用引入时间转换(例如“project-away”)来删除它们。
借助 Log Analytics 表新的辅助日志保留计划,能够以较低的成本引入大量具有安全补充价值的高容量日志。 辅助日志提供为期 30 天的交互式保留期,在此期间,可以对它们运行简单的单表查询,例如汇总和聚合数据。 在 30 天的保留期之后,辅助日志数据将进行长期保留,可以将其定义为最长 12 年,且费用超低。 借助此计划,还可以对长期保留的数据运行搜索作业,仅提取想要的记录到新表中,该表可以像常规 Log Analytics 表一样处理,并具有完整的查询功能。
若要详细了解辅助日志并将其与 Analytics 日志进行比较,请参阅 Microsoft Sentinel 中的日志保留计划。
有关不同日志管理计划的更多详细信息,请参阅 Azure Monitor 文档中 Azure Monitor 日志概述一文中的表计划。
Microsoft Sentinel 现在提供使用 Azure Monitor 摘要规则创建动态摘要的功能,这些规则在后台聚合大量数据,以便在所有日志层中实现更顺畅的安全操作体验。
- 通过 Kusto 查询语言 (KQL) 访问检测、调查、搜寻和报告活动中的摘要规则结果。
- 对汇总数据运行高性能 Kusto 查询语言 (KQL) 查询。
- 在调查、搜寻和合规性活动中更长时间地使用摘要规则结果。
有关详细信息,请参阅使用摘要规则聚合 Microsoft Sentinel 数据。