Co je nového v programu Microsoft Sentinel

  • Článek
  • 22 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Tento článek obsahuje seznam posledních funkcí přidaných pro Microsoft Sentinel a nové funkce v souvisejících službách, které poskytují vylepšené uživatelské prostředí Microsoft Sentinel.

Pokud hledáte položky starší než šest měsíců, najdete je v archivu pro novinky v Sentinel. informace o dřívějších funkcích, které jsou k disCommunity, najdete v našem blogovém blogu pro technickou.

Důležité

Vyznačené funkce jsou aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.

Tip

naši týmy pro lovecké hrozby v microsoft contribute dotazy, playbooky, sešity a poznámkové bloky do služby microsoft Sentinel Community, včetně specifických loveckých dotazů , které vaše týmy můžou přizpůsobit a používat.

Můžete také přispět. připojte se k nám ve službě Microsoft Sentinel Threat Hunters GitHub community.

Listopadu 2021

Rozšířené hledání incidentu je teď dostupné v GA.

Hledání incidentů pomocí pokročilé funkce vyhledávání je teď všeobecně dostupné.

Rozšířené vyhledávání incidentů nabízí možnost Hledat v různých datech, včetně podrobností o výstrahách, popisů, entit, taktiku a dalších.

Další informace najdete v tématu hledání incidentů.

Nyní je k dispozici konektor Amazon Web Services S3 (Public Preview)

K ingestování protokolů z nejrůznějších služeb AWS se teď dá připojit Microsoft Sentinel k sadě Amazon Web Services (AWS) S3.

prozatím můžete toto připojení použít k ingestování Flow VPCch protokolů a zjištění GuardDuty a také AWS CloudTrail.

další informace najdete v tématu Připojení bloků Microsoft Sentinel na S3 pro získání dat Amazon Web Services (AWS).

nyní je k dispozici konektor předávaných událostí Windows (Public preview)

díky tomuto novému datovému konektoru teď můžete streamovat protokoly událostí z Windows serverů připojených k vašemu pracovnímu prostoru Azure Sentinel pomocí Windows shromažďování událostí/Windows předávání událostí (WEC/WEF). Konektor používá nového agenta Azure Monitor (AMA), který poskytuje řadu výhod oproti staršímu agentu Log Analytics (označuje se také jako MMA):

  • Škálovatelnost: pokud jste povolili Windows Event Collection (WEC), můžete na počítač wec nainstalovat agenta Azure Monitor (AMA) a shromažďovat protokoly z mnoha serverů pomocí jednoho spojovacího bodu.

  • Rychlost: AMA může odesílat data s lepší rychlostí 5K EPS, což umožňuje rychlejší aktualizaci dat.

  • Efektivita: AMA umožňuje navrhovat složitá pravidla shromažďování dat (DCR) pro filtrování protokolů na jejich zdroji a výběr přesných událostí pro streamování do vašeho pracovního prostoru. Chcete odeslat obecnou vám pomůžou snížit provoz vaší sítě a náklady na ingestování tím, že opustí nepotřebné události.

  • Pokrytí: WEC/WEF umožňuje shromažďování protokolů událostí Windows ze starších (místních a fyzických) serverů a také z vysoce používaných nebo citlivých počítačů, jako jsou řadiče domény, u kterých není instalace agenta žádoucí.

Doporučujeme použít tento konektor s nainstalovanými analyzátory Asim (Azure Sentinel Information Model) , aby se zajistila plná podpora pro normalizaci dat.

přečtěte si další informace o konektoru předávaných událostí Windows.

Nově dostupná pravidla detekce hrozeb v reálném čase (NRT) (Public Preview)

Pokud máte na paměti bezpečnostní hrozby, je čas a rychlost podstatou. Musíte být vědomi hrozeb při jejich vyhodnotit, abyste je mohli rychle analyzovat a reagovat na ně. Pravidla analýzy v reálném čase (NRT) společnosti Microsoft vám nabízí rychlejší detekci hrozeb – blíže k místnímu SIEM a možnost zkrátit doby odezvy v konkrétních scénářích.

Pravidla analýzy v reálném čase společnosti Microsoft jsou k dispozici po dobu nedostatku na minuty. Tento typ pravidla byl navržený tak, aby byl vysoce reagovat tím, že spustí dotaz v intervalech, přičemž jedna minuta bude trvat od sebe.

Přečtěte si další informace o pravidlech NRT a o tom, jak je používat.

Modul pro syntézu nově detekuje nově vznikající a neznámé hrozby (Public Preview)

kromě detekce útoků založených na předdefinovaných scénáříchvám může modul pro syntézu Microsoft Sentinel ML, který vám umožní najít nově vznikající a neznámé hrozby ve vašem prostředí pomocí rozšířených MLch analýz a korelace širšího rozsahu signálů neobvyklé a současně zachovat únavu výstrah.

algoritmy ML modulu termonukleárního nasazení se neustále učí od stávajících útoků a využívají analýzu na základě toho, jak se analytikům zabezpečení myslí. Může proto zjistit dříve nezjištěné hrozby z milionů neobvyklé chování napříč dezaktivačním řetězem v celém prostředí, což vám pomůže ještě jeden krok před útočníky.

Přečtěte si další informace o Fusion pro nově vznikající hrozby.

Pravidlo analýzy Fusion je teď navíc konfigurovatelnéa odráží jeho zvýšené funkce.

Získat podrobnější ladění doporučení pro pravidla analýzy (verze Public Preview)

Vyladění pravidel detekce hrozeb v SIEM může být obtížné, jemná a nepřetržitý proces vyrovnávání z Maximalizace vašeho pokrytí detekce hrozeb a minimalizace falešně pozitivních sazeb. Služba Microsoft Sentinel zjednodušuje a zjednodušuje tento proces pomocí strojového učení k analýze miliard signálů z vašich zdrojů dat a také odpovědí na incidenty v průběhu času, odvozování vzorů a poskytování užitečných doporučení a přehledů, které vám můžou výrazně snížit režii při vyladění a umožní vám soustředit se na zjištění a reakci na skutečné hrozby.

Doporučení pro ladění a přehledy jsou teď integrované pro vaše pravidla analýzy.

Bezplatné zkušební aktualizace

Bezplatná zkušební verze Microsoft Sentinel nadále podporuje nové nebo stávající pracovní prostory Log Analytics bez dalších poplatků za prvních 31 dní. Vyvíjíme naše současné bezplatné zkušební prostředí, které zahrnuje následující aktualizace:

  • Nové pracovní prostory Log Analytics můžou ingestovat až 10 GB za den dat protokolu po dobu prvních 31 dnů. Nové pracovní prostory zahrnují pracovní prostory, které jsou staré méně než tři dny.

    Během 31 dne zkušebního období se neuplatňují jak příjem dat, tak Log Analytics i poplatky za službu Microsoft Sentinel. Tato bezplatná zkušební verze se vztahuje na 20 omezení pracovního prostoru na tenanta Azure.

  • Existující pracovní prostory Log Analytics můžou povolit Microsoft Sentinel bez dalších nákladů. Existující pracovní prostory obsahují všechny pracovní prostory vytvořené před více než třemi dny.

    Během 31 dnů zkušebního období se neuplatňují jenom poplatky za Sentinele od Microsoftu.

Využití nad rámec těchto limitů se bude účtovat podle cen uvedených na stránce s cenami Microsoft Sentinel . Poplatky související s dalšími funkcemi pro automatizaci a využití vlastního strojového učení se i nadále použijí i během bezplatné zkušební verze.

Tip

Během bezplatné zkušební verze najdete materiály pro správu nákladů, školení a další informace o & Příručky k příspěvkům > bezplatné zkušební verze v Microsoft Sentinel. Tato karta obsahuje také podrobnosti o datech vaší bezplatné zkušební verze a o tom, kolik dní zbývá až do vypršení platnosti.

Další informace najdete v tématu plánování a Správa nákladů pro Microsoft Sentinel.

Centrum obsahu a nová řešení (Public Preview)

Microsoft Sentinel teď poskytuje centrum obsahu, centralizované umístění pro vyhledání a nasazení služby Microsoft Sentinel (integrovaných) obsahu a řešení v pracovním prostoru Microsoft Sentinel. Obsah, který potřebujete, můžete najít filtrováním pro typ obsahu, pro podporu modelů, kategorií a dalších nebo pomocí výkonného vyhledávání textu.

V části Správa obsahu vyberte centrum obsahu. Výběrem řešení zobrazíte další podrobnosti napravo a kliknutím na instalovat ho nainstalujete do svého pracovního prostoru.

Snímek obrazovky nového centra obsahu Microsoft Sentinel.

Následující seznam obsahuje hlavní nově připravená řešení přidaná do centra obsahu:

  • Školicí laboratoř Microsoft Sentinel
  • Cisco ASA
  • Zabezpečení Cisco Duo
  • Cisco Meraki
  • Cisco StealthWatch
  • Digitální strážce
  • 365 Dynamics
  • GCP Cloud DNS
  • GCP CloudMonitor
  • Správa identit a přístupu GCP
  • FalconForce
  • FireEye NX
  • Systémy odlesku Firework
  • Forescout
  • Fortinet Fortigate
  • Imperva Cloud FAW
  • Řízení rizik v programu Insider
  • Obrana IronNet kyberbezpečnosti železa
  • Lookout
  • Platforma zabezpečení sítě společnosti McAfee
  • Řešení Microsoft MITRE ATT&CK pro Cloud
  • Palo Alto PAN – OS
  • Virtuální počítač Rapid7 Nexpose/Insight
  • ReversingLabs
  • RSA SecurID
  • Semperis
  • Tenable Nessus Scanner
  • Vectra Stream
  • Nulový vztah důvěryhodnosti

Další informace naleznete v tématu:

Povolení průběžného nasazování z úložišť obsahu (Public Preview)

na stránce nová úložiště s ověřovacími změnami společnosti Microsoft je možné spravovat a nasazovat vlastní obsah z GitHub nebo Azure DevOps úložišť, jako alternativu ke správě těchto Azure Portal. Tato funkce zavádí efektivnější a automatizovaný přístup ke správě a nasazení obsahu napříč pracovními prostory Microsoft Sentinel.

Pokud svůj vlastní obsah uložíte v externím úložišti, abyste ho zachovali mimo Microsoft Sentinel, můžete ho teď připojit k pracovnímu prostoru Microsoft Sentinel. Obsah, který přidáváte, vytváříte nebo upravujete v úložišti, se automaticky nasadí do vašich pracovních prostorů Sentinel společnosti Microsoft a budou se zobrazovat v různých galeriích ověřovacích aplikací Microsoftu, jako jsou například stránky Analytics, lov nebo sešity .

Další informace najdete v tématu nasazení vlastního obsahu z úložiště.

Obohacení analýzy hrozeb s daty geografického umístění a WhoIs (Public Preview)

Nyní se všechna data analýzy hrozeb, která přinesete do služby Microsoft Sentinel prostřednictvím datových konektorů a playbooky aplikace logiky, nebo vytvářejí v programu Microsoft Sentinel, automaticky rozšiřují o informace o geografickém umístění a WhoIs.

Data geografického umístění a WhoIs můžou poskytnout více kontextu pro šetření, kde se najde vybraný indikátor ohrožení (IOC).

Můžete například použít data geografického umístění k vyhledání podrobností, jako je organizace nebo země pro indikátor, a data služby WHOIS pro hledání dat, jako jsou registrátora a data vytváření záznamů .

V podokně Analýza hrozeb si můžete zobrazit data geografického umístění a služby WHOIS pro všechny indikátory kompromisů, které jste naimportovali do programu Microsoft Sentinel. Podrobnosti o indikátoru se zobrazí na pravé straně, včetně všech dostupných geografických umístění a dat služby WhoIs.

Například:

Snímek podrobností o ukazatelích, včetně dat geografického umístění a WhoIs

Tip

Informace o geografickém umístění a službě WhoIs pocházejí ze služby Microsoft Threat Intelligence, ke kterým můžete také přistupovat prostřednictvím rozhraní API. Další informace najdete v tématu obohacení entit s daty geografického umístění prostřednictvím rozhraní API.

Další informace naleznete v tématu:

Použití poznámkových bloků s Azure synapse Analytics v Microsoft Sentinel (Public Preview)

Microsoft Sentinel teď integruje Jupyter poznámkové bloky s Azure synapse pro scénáře rozsáhlých analýz zabezpečení.

Až do této chvíle jsou Jupyter poznámkové bloky v Microsoft Sentinel integrované s Azure Machine Learning. Tato funkce podporuje uživatele, kteří chtějí začlenit poznámkové bloky, oblíbené open source sady nástrojů pro strojové učení a knihovny, jako je TensorFlow, a také vlastní modely v pracovních postupech zabezpečení.

Nová Integrace Azure synapse poskytuje dodatečnou analytickou silách, například:

  • Analýza velkých objemů dat s využitím vysoce spravovaného fondu služby Azure synapse Apache Sparkho fondu s vysokými náklady.

  • nákladově efektivní Data Lake přístup k sestavování analýz historických dat prostřednictvím Azure Data Lake Storage Gen2, což je sada funkcí vyhrazených pro analýzy velkých objemů dat, která je postavená na Azure Blob Storage.

  • Flexibilita při integraci zdrojů dat s pracovními postupy pro operace zabezpečení z více zdrojů a formátů.

  • PySpark rozhraní API založené na Pythonu pro použití platformy Spark v kombinaci s Pythonem, což snižuje nutnost učení se nového programovacího jazyka, pokud už jste obeznámeni s Pythonem.

Pro podporu této integrace jsme přidali možnost vytvořit a spustit Azure synapse Workspace přímo z Microsoft Sentinel. přidali jsme také nové ukázkové poznámkové bloky, které vás provedou konfigurací prostředí Azure Synapse, nastavením nepřetržitého kanálu pro export dat z Log Analytics do Azure Data Lake Storage a následně na škále těchto dat.

Další informace najdete v tématu integrace poznámkových bloků do Azure synapse.

Oblast rozšířených poznámkových bloků v Microsoft Sentinel

Oblast poznámkových bloků v programu Microsoft Sentinel má nyní také kartu Přehled , kde můžete najít základní informace o poznámkových blocích a nový sloupec typů poznámkových bloků na kartě šablony a určit typ každého zobrazeného poznámkového bloku. Například poznámkové bloky můžou mít typy Začínáme, Konfigurace, lovecké a teď synapse.

Například:

Snímek obrazovky nové funkce Azure synapse na stránce s poznámkovými bloky

Další informace najdete v tématu použití poznámkových bloků Jupyter k prostudování pro bezpečnostní hrozby.

Přejmenování ověřovacího programu Microsoft

Od listopadu 2021 se Azure Sentinel přejmenovává na Microsoft Sentinel a na portálu, v dokumentaci a dalších prostředcích se zobrazí nadcházející aktualizace.

Předchozí položky v tomto článku a starší archivy pro novinky v ověřovacím obsahu Azure se budou používat i v případě, že se jedná o název služby, když jsou tyto funkce nové.

Další informace najdete v našem blogu o nejnovějších vylepšeních zabezpečení.

Nasazení a monitorování Azure Key Vault honeytokens s využitím Azure Sentinel

Nové řešení pro zrušení Sentinel v Azure vám pomůže sledovat škodlivou aktivitu v trezorech klíčů tím, že vám pomůže nasadit Decoy klíče a tajné kódy s názvem honeytokens a vybrat trezory klíčů Azure.

Po nasazení všechny přístupy a operace s honeytokenu klíči a tajnými kódy generují incidenty, které můžete prozkoumat v Azure Sentinel.

Vzhledem k tomu, že neexistují žádné důvody ke skutečnému používání klíčů a tajných kódů honeytokenu, může být jakákoli podobná aktivita v pracovním prostoru škodlivá a měla by se prozkoumat.

Řešení Azure Sentinel na konci zahrnuje sešit, který vám umožní nasazovat honeytokens, a to buď ve velkém měřítku, nebo v jednom čase, watchlists sledovat honeytokens vytvořená a analytická pravidla pro generování incidentů podle potřeby.

Další informace najdete v tématu nasazení a monitorování Azure Key Vault honeytokens pomocí služby Azure Sentinel (Public Preview).

Říjen 2021

konektor Zabezpečení Windowsch událostí pomocí agenta Azure Monitor nyní v GA

nová verze konektoru Zabezpečení Windowsch událostí založená na agentovi Azure Monitor je teď všeobecně dostupná! další informace najdete v tématu Připojení Windows serverů pro shromažďování událostí zabezpečení .

Defender pro události Office 365 nyní k dispozici v konektoru Microsoft 365 Defender (Public preview)

kromě těch z programu microsoft defender pro koncový bod teď můžete ingestovat nezpracované rozšířené události v programu microsoft defender pro Office 365 prostřednictvím konektoru Microsoft 365 Defender. Přečtěte si další informace.

Šablona PlayBook je předem sestavený, testovaný a připravený pracovní postup, který můžete přizpůsobit podle svých potřeb. Šablony mohou sloužit také jako reference pro osvědčené postupy při vývoji playbooky od začátku nebo jako inspiraci pro nové scénáře automatizace.

Playbook šablony vyvinula komunita sentinel, nezávislí výrobci softwaru (isv) a vlastní znalci microsoftu a můžete je najít na kartě šablony Playbook (v části automatizace), a to jako součást řešení sentinel azure, nebo v úložišti GitHub služby azure sentinel.

Další informace najdete v tématu Vytvoření a přizpůsobení playbooky z předdefinovaných šablon.

Správa verzí šablon pro naplánovaná analytická pravidla (Public Preview)

Při vytváření pravidel analýzy z vestavěných šablon pravidel služby Azure Sentinelefektivně vytvoříte kopii šablony. Po tomto okamžiku není aktivní pravidlo dynamicky Aktualizováno tak, aby odpovídalo změnám, které se provedou v původní šabloně.

Pravidla vytvořená v šablonách si ale zapamatují, ze kterých šablon pocházejí , což vám umožní dvě výhody:

  • Pokud jste provedli změny pravidla při jeho vytváření ze šablony (nebo kdykoli později), můžete pravidlo kdykoli vrátit zpět do původní verze (jako kopii šablony).

  • Při aktualizaci šablony můžete obdržet upozornění a vy budete mít možnost aktualizovat pravidla na novou verzi svých šablon nebo je nechat jako v nich.

Naučte se spravovat tyto úlohya zapamatovat si je. Tyto postupy platí pro všechna naplánovaná analytická pravidla vytvořená z šablon.

Normalizace schématu DHCP (Public Preview)

Advanced SIEM Information Model (ASIM) teď podporuje schéma normalizace DHCP, které se používá k popisu událostí hlášených serverem DHCP, které používá služba Azure Sentinel k povolení analýzy source-nezávislá.

Události popsané ve schématu normalizace DHCP zahrnují obsluhu požadavků na IP adresu DHCP zapůjčené z klientských systémů a aktualizaci serveru DNS s udělenými zapůjčenými adresami.

Další informace naleznete v tématu:

Září 2021

Novinka v Docs: dokumentace k škálování datového konektoru

S tím, jak stále přidávají další integrované datové konektory pro Azure Sentinel, jsme přeuspořádli dokumentaci datového konektoru tak, aby odrážela toto škálování.

U většiny datových konektorů jsme nahradili celé články, které popisují jednotlivé konektory řadou obecných postupů a úplnými odkazy na všechny aktuálně podporované konektory.

Podrobnosti o Azure Sentinel najdete v referenčních informacích k datovým konektorům, včetně odkazů na příslušný obecný postup, a také další požadované informace a konfigurace.

Další informace naleznete v tématu:

Azure Storage změn konektoru účtu

Kvůli některým změnám provedeným v samotné Azure Storage účtu úložiště je potřeba konektor také překonfigurovat. Prostředek účtu úložiště (nadřazený) obsahuje další (podřízené) prostředky pro každý typ úložiště: soubory, tabulky, fronty a objekty blob.

Při konfiguraci diagnostiky pro účet úložiště musíte vybrat a nakonfigurovat:

  • Prostředek nadřazeného účtu exportujete transakční metriku.
  • Každý z podřízených prostředků typu úložiště exportuje všechny protokoly a metriky (viz tabulka výše).

Zobrazí se pouze typy úložiště, pro které jste ve skutečnosti definovali prostředky.

Snímek obrazovky Azure Storage konfigurace diagnostiky

Srpen 2021

Rozšířené vyhledávání incidentů (Public Preview)

Ve výchozím nastavení se vyhledávání incidentů spouštěl pouze napříč hodnotami ID incidentu, názvu, značek, vlastníka a názvu produktu. Azure Sentinel teď poskytuje rozšířené možnosti hledání pro vyhledávání napříč více daty, včetně podrobností upozornění, popisů, entit, taktik a dalších.

Například:

Snímek obrazovky se stránkou Incidenty s rozšířenými možnostmi hledání

Další informace najdete v tématu Vyhledání incidentů.

Fúzní detekce ransomwaru (Public Preview)

Azure Sentinel teď poskytuje nové fúzní detekce možných aktivit ransomwaru a generuje incidenty s názvem s názvem Multiple alerts possibly related related to Ransomware activity detected.

Incidenty se generují pro výstrahy, které jsou pravděpodobně spojené s aktivitami Ransomware, když k nim dojde během určitého časového rámce, a jsou spojené s fázemi útoku Provedení a obranná obrana. Výstrahy uvedené v incidentu můžete použít k analýze technik, které útočníci pravděpodobně používají k ohrožení hostitele nebo zařízení a k vyřazení detekce.

Mezi podporované datové konektory patří:

Další informace najdete v tématu Zjištění více výstrah týkajících se aktivity ransomwaru.

Šablony seznamu ke získu pro data UEBA (Public Preview)

Azure Sentinel teď poskytuje předdefinovaných šablon seznamu ke zkušování dat UEBA, které si můžete přizpůsobit pro své prostředí a používat během vyšetřování.

Po naplnění seznamu ke zhlédnutí UEBA daty můžete tato data korelovat s analytickými pravidly, zobrazit je na stránkách entity a grafy šetření jako přehledy, vytvořit vlastní použití, jako je sledování virtuální IP adresy nebo citlivých uživatelů a další.

Mezi šablony seznamu ke získu aktuálně patří:

  • Vip Users. Seznam uživatelských účtů zaměstnanců, které mají v organizaci vysoký dopad.
  • Terminated Employees. Seznam uživatelských účtů zaměstnanců, kteří byli nebo se chystá ukončit
  • Účty služeb. Seznam účtů služeb a jejich vlastníků.
  • Korelace identity. Seznam souvisejících uživatelských účtů, které patří stejné osobě.
  • High Value Assets. Seznam zařízení, prostředků nebo jiných prostředků, které mají v organizaci kritickou hodnotu.
  • Mapování sítě. Seznam podsítí PROTOKOLU IP a jejich příslušných organizačních kontextů.

Další informace najdete v tématu Vytvoření nového seznamu ke získu pomocí šablony a Předdefinovaných schémat seznamu ke zkušování.

Schéma normalizace událostí souborů (Public Preview)

Model ASIM (Azure Sentinel Information Model) teď podporuje schéma normalizace událostí souborů, které se používá k popisu aktivity souborů, jako je vytváření, úpravy nebo odstraňování souborů nebo dokumentů. Události souborů jsou hlášeny operačními systémy, systémy úložišť souborů, jako jsou Azure Files, a systémy pro správu dokumentů, jako je microsoft SharePoint.

Další informace naleznete v tématu:

Novinka v dokumentu: Osvědčené postupy

V reakci na více žádostí od zákazníků a našich týmů podpory jsme do naší dokumentace přidali řadu osvědčených pokynů.

Další informace naleznete v tématu:

Tip

Další pokyny přidané v naší dokumentaci najdete v relevantních koncepčních článcích a článcích s návody. Další informace najdete v tématu Referenční informace k osvědčeným postupům.

Červenec 2021

Microsoft Threat Intelligence Matching Analytics (Public Preview)

Azure Sentinel teď obsahuje integrované pravidlo Analýzy porovnávání hrozeb od Microsoftu, které odpovídá datům analýzy hrozeb generovaných Microsoftem s vašimi protokoly. Toto pravidlo generuje vysoce věrná upozornění a incidenty s odpovídající závažností na základě kontextu zjištěných protokolů. Po zjištění shody se indikátor publikuje také do vašeho úložiště Azure Sentinel hrozeb.

Pravidlo Microsoft Threat Intelligence Matching Analytics aktuálně odpovídá indikátorům domény s následujícími zdroji protokolů:

Další informace najdete v tématu Detekce hrozeb pomocí odpovídajících analýz (Public Preview).

Použití dat Azure AD s Azure Sentinel IdentityInfo (Public Preview)

Vzhledem k tom, že útočníci často používají vlastní uživatelské účty a účty služeb organizace, jsou data o těchto uživatelských účtech, včetně identifikace a oprávnění uživatelů, nezbytná pro analytiky v procesu šetření.

Když teď máte ve svém pracovním prostoru Azure Sentinel povolenou službu UEBA, synchronizuje se data Azure AD do nové tabulky IdentityInfo v Log Analytics. Synchronizace mezi vaší službou Azure AD a tabulkou IdentifyInfo vytvoří snímek dat profilu uživatele, který obsahuje metadata uživatele, informace o skupině a role Azure AD přiřazené každému uživateli.

Při vyšetřování a vyladění analytických pravidel pro vaši organizaci použijte tabulku IdentityInfo, abyste snížili počet falešně pozitivních výsledků.

Další informace najdete v tématu tabulka IdentityInfo v referenčních informacích o obohacení UEBA a použití UEBA dat k analýze falešně pozitivních hodnot.

Rozšíření entit s daty geografického umístění prostřednictvím rozhraní API (Public Preview)

Azure Sentinel teď nabízí rozhraní API, které umožňuje rozšířit vaše data o geografickém umístění. Data geografického umístění je pak možné použít k analýze a prozkoumání incidentů zabezpečení.

Další informace najdete v tématu obohacení entit v Azure Sentinel s daty geografického umístění prostřednictvím REST API (Public Preview) a klasifikace a analýza dat pomocí entit v Azure Sentinel.

Podpora pro dotazy ADX mezi prostředky (Public Preview)

Prostředí Azure Sentinel teď podporuje ADX dotazy mezi prostředky.

I když Log Analytics zůstává primárním úložištěm úložiště pro provádění analýz s Sentinel Azure, existují případy, kdy se ADX vyžaduje k ukládání dat z důvodu nákladů, dob uchovávání nebo jiných faktorů. Díky této možnosti můžou zákazníci využívat širší škálu dat a zobrazovat výsledky v prostředích pro lov Azure Sentinel, včetně loveckých dotazů, živěa stránky hledání na Log Analytics.

K dotazování na data uložená v clusterech ADX použijte funkci ADX () a zadejte cluster ADX, název databáze a požadovanou tabulku. Pak můžete dotazovat výstup jako jakoukoli jinou tabulku. Další informace najdete na stránkách propojených výše.

Watchlists jsou obecně dostupné

Funkce watchlists je teď všeobecně dostupná. Pomocí watchlists můžete vylepšit výstrahy s obchodními daty, vytvořit allowlists nebo adres, proti kterým se budou kontrolovat události přístupu, a pomáhat prozkoumat hrozby a snížit únavu výstrah.

Podpora pro zaregistrování dat ve více zeměpisných oblastech

Azure Sentinel teď podporuje úplné zaplnění dat v následujících dalších zeměpisných oblastech:

Brazílie, Norsko, Jižní Afrika, Korea, Německo, Spojené arabské emiráty (Spojené arabské emiráty) a Švýcarsko.

Podívejte se na úplný seznam podporovaných zeměpisných oblastech pro data a sídlo.

Obousměrná synchronizace v konektoru Azure Defenderu (Public Preview)

Konektor pro Azure Defender teď podporuje obousměrnou synchronizaci stavu výstrah mezi Defenderem a Azure Sentinel. Když zavřete incident Sentinel obsahující výstrahu v programu Defender, bude tato výstraha také automaticky uzavřena na portálu Defender.

Podívejte se na úplný popis aktualizovaného konektoru programu Azure Defender.

Červeně 2021

Upgrady pro normalizaci a model informací Sentinel Azure

Model informací o službě Azure Sentinel vám umožňuje používat a vytvářet nezávislá obsah a zjednodušit tak analýzu dat v pracovním prostoru Azure Sentinel.

V tomto měsíci jsme vylepšili naši dokumentaci normalizace, která poskytuje nové úrovně podrobností a úplná schémata DNS, procesu události a normalizaci ověřování.

Další informace naleznete v tématu:

Aktualizované konektory služby-služba

Dva z našich nejpoužívanějších konektorů jsou příjemci nejdůležitějších upgradů.

  • konektor událostí zabezpečení Windows (Public preview) je teď založený na novém agentu Azure Monitor (AMA), což vám umožní mnohem větší flexibilitu při výběru dat, která se mají ingestovat, a poskytuje vám maximální přehledy s minimálními náklady.

  • Konektor protokolů aktivit Azure je teď založený na kanálu nastavení diagnostiky, a poskytuje tak úplnější data, výrazně snižuje prodlevu přijímání a lepší výkon a spolehlivost.

Upgrady nejsou automatické. Uživatelům těchto konektorů doporučujeme povolit nové verze.

Exportovat a importovat analytická pravidla (Public Preview)

Nyní můžete exportovat pravidla analýzy do souborů šablony JSON formátu Azure Resource Manager (ARM) a importovat pravidla z těchto souborů v rámci správy a řízení nasazení služby Azure Sentinel jako kódu. Libovolný typ pravidla analýzy – nejenom naplánované – dá se exportovat do šablony ARM. Soubor šablony obsahuje všechny informace o pravidle z dotazu na přiřazenou MITRE ATT&CK taktiku.

Další informace najdete v tématu Export a Import pravidel analýzy do a ze šablon ARM.

Obohacení výstrah: Podrobnosti výstrahy (verze Public Preview)

Kromě rozšíření obsahu upozornění s mapováním entit a vlastními podrobnostmi teď můžete přizpůsobit způsob, jakým se zobrazují a zobrazují výstrahy – a na základě jejich konkrétního obsahu. Podobně jako u ostatních funkcí obohacení výstrah se to dá nakonfigurovat v Průvodci analytickým pravidlem.

Další informace najdete v tématu přizpůsobení podrobností výstrahy v Azure Sentinel.

Další nápovědu pro playbooky!

Dva nové dokumenty vám můžou pomáhat začít nebo získat lepší pohodlí při vytváření a práci s playbooky.

  • Ověřování playbooky na Azure Sentinel vám pomůže pochopit různé metody ověřování, pomocí kterých se služba playbooky založená na službě Logic Apps může připojit k informacím a přistupovat k nim pomocí Azure Sentinel a kdy je vhodné je použít.
  • Použití aktivačních procedur a akcí v playbooky vysvětluje rozdíl mezi triggerem incidentu a triggerem výstrahy , který se má použít, a zobrazuje některé z různých akcí, které můžete v playbooky využít jako reakci na incidenty, včetně toho, jak získat přístup k informacím ve vlastních podrobnostech.

Dokumentace k PlayBook také explicitně řeší scénář MSSP pro více tenantů.

Nová organizace nové dokumentace

Tento měsíc jsme přepracovali s naší dokumentací k ověřovacím službám Azurea provedli jsme restrukturalizaci v intuitivních kategoriích, které sledují běžné cesty Pomocí filtrovaných prohledávání dokumentů a aktualizovanou cílovou stránku můžete procházet pomocí dokumentů Sentinel Azure.

Nová organizace dokumentace k ověřovacím organizacím Azure

Další kroky

On-Board – Azure Sentinel

Získání přehledu o upozorněních