Microsoft统一安全作的新增功能

本文列出了在 Microsoft Defender 门户中为统一安全作添加的最新功能。

2025 年 7 月

• 可以载入到 Defender 门户的工作区数量没有限制
• Microsoft Sentinel将于 2026 年 7 月停用的Azure 门户

可以载入到 Defender 门户的工作区数量没有限制

可以载入到 Defender 门户的工作区数不再有任何限制。

限制仍然适用于可以包括在 Log Analytics 查询中的工作区数，以及可以或应该包含在计划分析规则中的工作区数。

有关更多信息，请参阅：

• 将Microsoft Sentinel连接到Microsoft Defender门户
• Defender 门户中的多个Microsoft Sentinel工作区
• 跨工作区和租户扩展Microsoft Sentinel

Microsoft Sentinel将于 2026 年 7 月停用的Azure 门户

Microsoft Sentinel在 Microsoft Defender 门户中正式发布，包括面向没有Microsoft Defender XDR或 E5 许可证的客户。 这意味着，即使不使用其他Microsoft Defender服务，也可在 Defender 门户中使用Microsoft Sentinel。

从 2026 年 7 月开始，Microsoft Sentinel仅在 Defender 门户中受支持，并且将自动重定向使用 Azure 门户 的任何剩余客户。

如果当前在Azure 门户中使用 Microsoft Sentinel，建议立即开始规划到 Defender 门户的转换，以确保平稳过渡，并充分利用 Microsoft Defender 提供的统一安全作体验。

有关更多信息，请参阅：

• Microsoft Defender 门户中的 Microsoft Sentinel
• 将Microsoft Sentinel环境转换为 Defender 门户
• 为所有Microsoft Sentinel客户规划迁移到Microsoft Defender门户 (博客)

2025 年 6 月

案例管理现已在 Defender 多租户门户中正式发布

Microsoft Defender门户的案例管理功能现已在 Defender 多租户门户中正式发布。 有关详细信息，请参阅在Microsoft Defender多租户门户中查看和管理多个租户的案例。

2025 年 5 月

• 多租户门户中统一的基于角色的访问控制 (预览版)
• Defender 门户中正式发布的所有Microsoft Sentinel用例
• 案例管理现在可用于 Defender 多租户门户 (预览版)

多租户管理中统一的基于角色的访问控制 (预览版)

Microsoft Defender多租户管理门户中现已提供统一的基于角色的访问控制 (URBAC) 。 可以在多租户管理门户中创建、删除、导入和编辑角色。 此功能为租户提供权限和访问权限的综合视图，并提供集中管理来管理这些权限。

有关详细信息，请参阅 在多租户管理中管理基于角色的统一访问控制。

Defender 门户中正式发布的所有Microsoft Sentinel用例

所有正式版Microsoft Sentinel用例（包括多租户和多工作区功能以及对所有政府和商业云的支持）现在也支持在 Defender 门户中正式发布。

建议将 工作区载入 Defender 门户， 以利用单个位置执行所有安全作。 有关更多信息，请参阅：

• 最佳Microsoft Sentinel - 现在在Microsoft Defender (博客)
• 将Microsoft Sentinel环境转换为 Defender 门户
• Microsoft Defender 门户中的 Microsoft Sentinel

案例管理现在可用于 Defender 多租户门户 (预览版)

大型组织和托管安全服务提供商的 SecOps 团队 (MSSP) 必须跨多个租户管理案例。 现在无需离开 Defender 多租户门户即可完成此作。

有关详细信息，请参阅在Microsoft Defender多租户门户中查看和管理多个租户的案例。

2025 年 4 月

• 手动 (预览版) 合并事件
• 多工作区和多租户支持Microsoft Sentinel (预览版)
• 案例管理现已正式发布

手动 (预览版) 合并事件

如果两个事件应合并，因为它们描述的是相同的攻击事件，但是由于 “未合并事件时”中列出的任何原因而未合并，则现在可以在修复基本原因后手动合并事件。

例如，如果事件由于分配给两个不同的人员而未合并，则可以删除其中一个事件的分配，然后手动合并事件。

若要了解有关合并事件的详细信息，请参阅警报关联和Microsoft Defender门户中的事件合并。

有关手动合并事件的说明，请参阅在Microsoft Defender门户中手动合并事件。

多工作区和多租户支持Microsoft Sentinel (预览版)

Microsoft Sentinel现在支持 Defender 门户中的多个工作区，每个租户使用一个主工作区和多个辅助工作区。

主工作区的警报与Defender XDR数据相关联，这会导致事件包括来自Microsoft Sentinel主工作区和Defender XDR的警报。 所有其他已载入的工作区都被视为辅助工作区。 事件基于工作区的数据创建，不包含Defender XDR数据。

如果使用的是多个租户和每个租户的多个工作区，还可以使用Microsoft Defender多租户管理查看事件和警报，并在高级搜寻中跨多个工作区和租户搜寻数据。

有关更多信息，请参阅：

• Defender 门户中的多个Microsoft Sentinel工作区
• 将Microsoft Sentinel连接到Microsoft Defender门户
• Microsoft Defender多租户管理
• 在多租户管理中查看和管理Microsoft Defender事件和警报
• Microsoft Defender多租户管理中的高级搜寻

跨云多租户管理 (预览版)

Microsoft Defender 中的多租户管理现在支持管理其他Microsoft云环境中的租户。 在政府云环境中运营的安全运营团队现在可以在单个管理窗格中管理其整个安全作，包括其他Microsoft云环境中的租户。 有关详细信息，请参阅 管理其他Microsoft云环境中的租户。

案例管理现已正式发布

Microsoft Defender门户的案例管理功能现已正式发布。 有关详细信息，请参阅在 Microsoft Defender 门户中本机管理安全作案例。

2025 年 1 月

• 统一威胁情报
• 管理 SecOps 本机与案例管理 (预览版)
• Microsoft Defender 门户中的统一设备时间线 (预览版)
• 统一覆盖范围管理的 SOC 优化更新

统一威胁情报

Microsoft Sentinel支持的威胁情报已在 Defender 门户中迁移到 Intel 管理，统一了威胁情报功能。 在Azure 门户中，位置保持不变。

除了新位置，管理界面还通过以下关键功能简化了威胁情报的创建和监管：

• 在创建新的 STIX 对象时定义关系。
• 使用新的关系生成器策划现有的威胁情报。
• 通过使用重复功能从新的或现有的 TI 对象复制通用元数据，快速创建多个对象。
• 使用高级搜索对威胁情报对象进行排序和筛选，甚至无需编写 Log Analytics 查询。

有关详细信息，请参阅以下文章：

• 通过 Defender 门户使用威胁情报发现攻击者
• Microsoft Sentinel中的新 STIX 对象
• 了解威胁情报

案例管理 (预览版)

案例管理是端到端解决方案的第一个分期，可提供对安全工作的无缝管理。 SecOps 团队无需离开 Defender 门户即可维护安全上下文、更高效地工作并更快地应对攻击。 下面是案例管理支持的初始方案和功能集。

• 使用自定义状态值定义自己的案例工作流
• 将任务分配给协作者并配置截止日期
• 通过将多个事件链接到一个案例来处理升级和复杂案例
• 使用 RBAC 管理对案例的访问

这只是一个开始。 随着我们改进此解决方案，请继续关注其他功能。

有关详细信息，请参阅以下文章：

• 在 Microsoft Defender 门户中本机管理安全作案例
• Microsoft Sentinel博客 - 通过案例管理改进 SecOps 协作

Microsoft Defender门户中的统一设备时间线 (预览版)

统一设备时间线是一个统一的视图，可将Microsoft Sentinel和Defender XDR中的设备活动集成到单个时间线中，现已在预览版中提供。 此功能使分析师能够在一个位置访问所有相关设备活动，从而简化了安全调查，减少了在平台之间切换的需要，并降低了事件响应时间。

有关详细信息，请参阅 Microsoft Defender 中的“设备实体”页。

统一覆盖范围管理的 SOC 优化更新

在启用了统一安全作的工作区中，SOC 优化现在支持 SIEM 和 XDR 数据，检测覆盖了跨Microsoft Defender服务。

在 Defender 门户中， SOC 优化 和 MITRE ATT&CK 页面现在还为基于威胁的覆盖优化提供了额外的功能，以帮助你了解建议对环境的影响，并帮助你确定首先实现哪些建议。

增强之处包括：

领域	详细信息
SOC 优化概述页	- 当前检测覆盖率 的高、 中或 低 分数。 这种评分有助于一目了然地确定要确定哪些建议的优先级。 - 指示从所有可用产品中) (服务的活动Microsoft Defender产品的数量。 这有助于了解环境中是否缺少整个产品。
“优化详细信息”侧窗格， 向下钻取到特定优化时显示	- 详细的覆盖率分析，包括用户定义的检测数、响应作和你处于活动状态的产品。 - 详细蜘蛛图，显示不同威胁类别的覆盖范围，包括用户定义的检测和开箱即用检测。 - 在 MITRE ATT&CK 页中跳转到特定威胁方案的选项，而不是仅在侧窗格中查看 MITRE ATT&CK 覆盖范围。 - 查看完整威胁方案 的选项，可向下钻取有关可用于在环境中提供安全覆盖的安全产品和检测的更多详细信息。
MITRE ATT&CK 页面	- 用于按威胁方案查看覆盖范围的新开关。 如果已从建议详细信息侧窗格或查看完整威胁方案页跳转到 MITRE ATT&CK 页面，则会针对威胁方案预先筛选 MITRE ATT&CK 页面。 - 技术详细信息窗格（在选择特定的 MITRE ATT&CK 技术时显示在一侧），现在显示该技术的所有可用检测中的活动检测数。

有关详细信息，请参阅通过 MITRE ATT&CK 框架优化安全作和了解安全覆盖范围。

2024 年 12 月

• 基于类似组织的新 SOC 优化建议 (预览版)
• Microsoft Sentinel工作簿现在可直接在Microsoft Defender门户中查看

基于类似组织的新 SOC 优化建议 (预览版)

SOC 优化现在包括新的建议，用于根据与你类似的行业和扇区中的其他组织的安全状况以及类似的数据引入模式将数据源添加到工作区。

有关详细信息，请参阅 建议的 SOC 优化参考。

Microsoft Sentinel工作簿现在可直接在Microsoft Defender门户中查看

Microsoft Sentinel工作簿现在可直接在Microsoft Defender门户中查看。 现在，在 Defender 门户中，选择“Microsoft Sentinel>威胁管理>工作簿”时，将保留在 Defender 门户中，而不是为Azure 门户中的工作簿打开新选项卡。 仅当需要编辑工作簿时，才继续按 tab 键转到Azure 门户。

Microsoft Sentinel工作簿基于 Azure Monitor 工作簿，有助于可视化和监视引入到Microsoft Sentinel的数据。 工作簿将带有日志和查询分析的表和图表添加到已有的工具。

有关详细信息，请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据，并将Microsoft Sentinel连接到Microsoft Defender XDR。

相关内容

有关其他 Microsoft Defender 安全产品和 Microsoft Sentinel 的新增功能的详细信息，请参阅：

• Microsoft Sentinel 中的新增功能
• Microsoft Defender XDR 中的新增功能
• Microsoft Defender for Office 365 中的新增功能
• Microsoft Defender for Endpoint 中的新增功能
• Microsoft Defender for Identity 中的新增功能
• Microsoft Defender for Cloud Apps 中的新增功能
• Microsoft 安全风险管理 中的新增功能

你还可以通过消息中心获取产品更新和重要通知。