共用方式為


Microsoft Sentinel 的新功能

本文列出 Microsoft Sentinel 新增的最新功能,以及提供 Microsoft Sentinel 增強使用者體驗的相關服務新功能。

列出的功能在過去三個月內發行。 如需舊版功能的相關資訊,請參閱我們的技術社群部落格

複製以下 URL 並在您的摘要讀取程式中貼上,以在此頁面更新時接收通知:https://aka.ms/sentinel/rss

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

2024 年 9 月

新增至 SIEM 移轉體驗的架構對應

自 2024 年 5 月正式推出 SIEM 移轉體驗以來,已進行穩定改善,以協助從 Splunk 移轉安全性監視。 下列新功能可讓客戶提供有關其Splunk環境的相關內容詳細數據,以及使用 Microsoft Sentinel SIEM 移轉轉譯引擎:

  • 架構對應
  • 在翻譯中支援 Splunk 巨集
  • 在翻譯中支援Splunk查閱

若要深入了解這些更新,請參閱 SIEM 移轉體驗

如需 SIEM 移轉體驗的詳細資訊,請參閱下列文章:

將於 2025 年 2 月淘汰的第三方擴充小工具

立即生效,您無法再啟用此功能來建立從外部第三方資料來源擷取資料的擴充小工具。 這些小工具會在 Microsoft Sentinel 實體頁面上,以及實體資訊存在的其他位置中顯示。 因為您無法再建立存取這些外部資料來源所需的 Azure 金鑰保存庫,因此會發生這項變更。

如果您已經使用任何第三方擴充小工具,也就是說,如果此金鑰保存庫已經存在,您仍然可以設定及使用您之前未使用的小工具,但不建議這麼做。

2025 年 2 月起,任何從第三方來源擷取資料的現有擴充小工具,都會在實體頁面或其他地方停止顯示

如果您的組織使用第三方擴充小工具,建議您先將其停用,方法是從其資源群組刪除您為此建立的金鑰保存庫。 金鑰保存庫的名稱以「widgets」開頭。

以第一方資料來源為基礎的擴充小工具不會受到這項變更的影響,而且會繼續如先前般運作。 「第一方資料來源」包含已從外部來源內嵌至 Microsoft Sentinel 的任何資料,換句話說,就是 Log Analytics 工作區中資料表中的任何項目,以及 Microsoft Defender 威脅情報。

預先購買方案現已可供 Microsoft Sentinel 使用

預先購買方案是一種 Azure 保留類型。 當您購買預先購買方案時,您會在特定產品的折扣層取得認可單位 (CU)。 Microsoft Sentinel 認可單位 (SCU) 適用於工作區中符合資格的成本。 當您有可預測的成本時,選擇正確的預先購買方案可節省您的成本!

如需詳細資訊,請參閱使用預先購買方案將成本最佳化

自動化規則的匯入/匯出現已正式發行 (GA)

經過短期的預覽,您現在可正式使用 JSON 格式將自動化規則匯出至 Azure Resource Manager (ARM) 範本,以及從 ARM 範本匯入自動化規則。

深入了解匯出和匯入自動化規則

Google Cloud Platform 資料連接器現已正式推出 (GA)

根據我們無程式碼連接器平台 (CCP) 之 Microsoft Sentinel 的 Google Cloud Platform (GCP) 資料連接器現在已正式推出。 您可以使用 GCP Pub/Sub 功能,從 GCP 環境內嵌記錄:

  • Google Cloud Platform (GCP) Pub/Sub 稽核記錄連接器會收集 GCP 資源存取的稽核線索。 分析師可以監視這些記錄,以追蹤資源存取嘗試,並偵測 GCP 環境中的潛在威脅。

  • Google Cloud Platform (GCP) Security Command Center 連接器會收集 Google Security Command Center (適用於 Google Cloud 的強固安全性和風險管理平台) 的結果。 分析師可以檢視這些結果,以深入解析組織的安全性態勢,包括資產清查和探索、弱點和威脅的偵測,以及風險降低和補救。

如需這些連接器的詳細資訊,請參閱將 Google Cloud Platform 記錄資料內嵌至 Microsoft Sentinel

Microsoft Sentinel 現已在 Azure 以色列中部正式發行 (GA)

Microsoft Sentinel 現已可在以色列中部 Azure 區域取得,其功能集與所有其他 Azure 商業區域相同。

如需詳細資訊,請參閱適用於 Azure 商業/其他雲端的 Microsoft Sentinel 功能支援Microsoft Sentinel 中的地理可用性與資料落地

2024 年 8 月

淘汰 Log Analytics 代理程式

自 2024 年 8 月 31 日起,Log Analytics 代理程式 (MMA/OMS) 將會淘汰

許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如果您一直在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,我們建議您移轉至 Azure 監視器代理程式 (AMA)。

如需詳細資訊,請參閱

匯出和匯入自動化規則 (預覽)

以程式碼的形式管理您的 Microsoft Sentinel 自動化規則! 您現在可將自動化規則匯出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為以程式碼的形式管理及控制 Microsoft Sentinel 部署的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案,然後您可以重新命名、移動,以及像任何其他檔案一樣處理。

匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。

檔案包含自動化規則中定義的所有參數。 任何觸發程序類型的規則都可以匯出至 JSON 檔案。

深入了解匯出和匯入自動化規則

Microsoft Defender 多租用戶管理中的 Microsoft Sentinel 支援 (預覽)

如果您已將 Microsoft Sentinel 上線至 Microsoft 整合安全性作業平台,Microsoft Sentinel 資料現在可在 Microsoft Defender 多租用戶管理中搭配 Defender XDR 資料使用。 Microsoft 整合安全性作業平台目前對每個租用戶僅支援一個 Microsoft Sentinel 工作區。 因此,Microsoft Defender 多租用戶管理會顯示每個租用戶一個 Microsoft Sentinel 工作區中的安全性資訊和事件管理 (SIEM) 資料。 如需詳細資訊,請參閱 Microsoft Defender 多租用戶管理Microsoft Defender 入口網站中的 Microsoft Sentinel

進階 Microsoft Defender 威脅情報資料連接器 (預覽)

適用於 Microsoft Defender 威脅情報 (MDTI) 的進階授權現在可解鎖將所有進階指標直接內嵌至工作區的功能。 進階 MDTI 資料連接器會在 sentinel Microsoft 中新增更多搜捕和研究功能。

如需詳細資訊,請參閱瞭解威脅情報

適用於 syslog 擷取的整合 AMA 型連接器

隨著 Log Analytics 代理程式即將淘汰,Microsoft Sentinel 已根據 Azure 監視器代理程式 (AMA) 將 syslog、CEF 和自訂格式記錄訊息的收集和擷取合併成三個多用途資料連接器:

  • 透過 AMA 的 Syslog,適用於記錄內嵌至 Log Analytics 中 Syslog 資料表的任何裝置。
  • 透過 AMA 的常見事件格式 (CEF),適用於記錄內嵌至 Log Analytics中 CommonSecurityLog 資料表的任何裝置。
  • 最新! 透過 AMA 自訂記錄 (預覽),適用於 15 種裝置類型或任何未列出的裝置,其記錄會內嵌至 Log Analytics 中名稱結尾是 _CL 的自訂資料表。

這些連接器幾乎會取代迄今為止存在的個別裝置和設備類型的所有現有連接器,而這些連接器是以舊版 Log Analytics 代理程式 (也稱為 MMA 或 OMS) 或目前的 Azure 監視器代理程式為基礎。 這些裝置和設備的內容中樞中提供的解決方案現在包含這三個連接器中適合該解決方案的連接器。* 被取代的連接器現在在資料連接器資源庫中標示為「已淘汰」。

先前在每個裝置的連接器頁面中找到的資料擷取圖形,現在可在隨著每個裝置的解決方案封裝的裝置特定活頁簿中找到。

* 為上述任何應用程式、裝置或設備安裝解決方案時,若要確保已安裝隨附的資料連接器,您必須在解決方案頁面上選取 [隨著相依性安裝],然後在下列頁面上標記資料連接器。

如需安裝這些解決方案的更新程序,請參閱下列文章:

更佳的 Windows 安全性事件可見度

我們已增強裝載 Windows 安全性事件的 SecurityEvent 資料表結構描述,並新增了新的資料行,以確保與適用於 Windows 的 Azure 監視器代理程式 (AMA)(1.28.2 版) 相容。 這些增強功能的設計是為了提高所收集 Windows 事件的可見度和透明度。 如果您不想要接收這些欄位中的資料,您可套用擷取時間轉換 (例如 "project-away") 予以卸除。

新的輔助記錄保留計劃 (預覽)

Log Analytics 資料表的新輔助記錄保留計劃可讓您以較低的成本來擷取大量具有安全性補充價值的高容量記錄。 輔助記錄可供互動式保留 30 天,您可以在其中執行簡單的單一資料表查詢,例如摘要和彙總資料。 在該 30 天期間之後,輔助記錄資料會進行長期保留,您可以極低的成本定義長達 12 年的長期保留。 此計劃也可讓您對長期保留的資料執行搜尋作業,只將您想要的記錄擷取到新資料表,您可以將新資料表視作一般 Log Analytics 資料表,並具備完整的查詢功能。

若要深入了解輔助記錄並與 Analytics 記錄進行比較,請參閱 Microsoft Sentinel 中的記錄保留計劃

如需不同記錄管理計劃的詳細資訊,請參閱 Azure 監視器文件中 Azure 監視器記錄概觀文章中的資料表計劃

在 Microsoft Sentinel 中建立大量資料集的摘要規則 (預覽)

Microsoft Sentinel 現在可讓您使用 Azure 監視器摘要規則來建立動態摘要,其彙總背景中的大量資料集,以在所有記錄層之間取得更順暢的安全性作業體驗。

  • 透過 Kusto 查詢語言 (KQL),跨偵測、調查、搜捕和報告活動存取摘要規則結果。
  • 對摘要資料執行高效能 Kusto 查詢語言 (KQL) 查詢。
  • 在調查、搜捕和合規性活動中,使用摘要規則結果較長的時間。

如需詳細資訊,請參閱使用摘要規則彙總 Microsoft Sentinel 資料

2024 年 7 月

SOC 最佳化現已正式推出

Azure 和 Defender 入口網站中的 SOC 最佳化體驗現已向所有 Microsoft Sentinel 客戶正式推出,包括資料值和威脅型建議。

  • 使用資料值建議來改善內嵌可計費記錄的資料使用量、了解未充分使用的紀錄,並探索這些記錄的正確偵測或是對記錄層或擷取的正確調整。

  • 使用威脅型建議,根據Microsoft 研究,協助找出針對特定攻擊覆蓋範圍中的差距,並透過內嵌建議的記錄及新增建議的偵測來減輕差距。

recommendations API 仍然處於預覽狀態。

如需詳細資訊,請參閱

SAP Business Technology Platform (BTP) 連接器現已正式推出 (正式發行)

適用於 SAP BTP 的 Microsoft Sentinel 解決方案現已正式推出 (正式發行)。 此解決方案可讓您查看 SAP BTP 環境,並協助您偵測和回應威脅與可疑活動。

如需詳細資訊,請參閱

Microsoft 整合安全性平台現已正式推出

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 Microsoft 整合安全性作業平台將 Microsoft Sentinel、Microsoft Defender XDR 及 Microsoft Copilot 的完整功能結合在 Microsoft Defender 中。 如需詳細資訊,請參閱以下資源:

2024 年 6 月

無程式碼連接器平台現已正式發行

無程式碼連接器平台 (CCP) 現已正式發行 (GA)。 查看公告部落格文章

如需 CCP 增強功能和功能的詳細資訊,請參閱建立 Microsoft Sentinel 的無程式碼連接器

可用的進階威脅指標搜尋功能

威脅情報搜尋和篩選功能已增強,且現在在 Microsoft Sentinel 和 Microsoft Defender 入口網站中提供同位體驗。 搜尋最多支援 10 個條件,且每個條件最多包含 3 個次子句。

如需詳細資訊,請參閱檢視和管理威脅指標中更新的螢幕擷取畫面。

下一步