Co nowego w usłudze Microsoft Sentinel

W tym artykule wymieniono najnowsze funkcje dodane do usługi Microsoft Sentinel oraz nowe funkcje w powiązanych usługach, które zapewniają ulepszone środowisko użytkownika w usłudze Microsoft Sentinel.

Wymienione funkcje zostały wydane w ciągu ostatnich trzech miesięcy. Aby uzyskać informacje o wcześniejszych funkcjach dostarczanych, zobacz nasze blogi społeczności technicznej.

Otrzymuj powiadomienie o zaktualizowaniu tej strony przez skopiowanie i wklejenie następującego adresu URL do czytnika kanału informacyjnego: https://aka.ms/sentinel/rss

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Kwiecień 2024 r.

• Ujednolicona platforma operacji zabezpieczeń w portalu Usługi Microsoft Defender (wersja zapoznawcza)
• Usługa Microsoft Sentinel jest teraz ogólnie dostępna (ogólna dostępność) na platformie Azure —Chiny 21Vianet
• Nie można wykryć dwóch anomalii
• Usługa Microsoft Sentinel jest teraz dostępna we Włoszech Północnej

Ujednolicona platforma operacji zabezpieczeń w portalu Usługi Microsoft Defender (wersja zapoznawcza)

Ujednolicona platforma operacji zabezpieczeń w portalu Usługi Microsoft Defender jest teraz dostępna. Ta wersja łączy pełne możliwości usług Microsoft Sentinel, Microsoft Defender XDR i Microsoft Copilot w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz następujące zasoby:

• Ogłoszenie na blogu: Ujednolicona platforma operacji zabezpieczeń z usługami Microsoft Sentinel i Microsoft Defender XDR
• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Połączenie usługi Microsoft Sentinel do usługi Microsoft Defender XDR
• Microsoft Security Copilot w usłudze Microsoft Defender XDR

Usługa Microsoft Sentinel jest teraz ogólnie dostępna (ogólna dostępność) na platformie Azure —Chiny 21Vianet

Usługa Microsoft Sentinel jest teraz ogólnie dostępna (ogólna dostępność) na platformie Azure (Chiny 21Vianet). Poszczególne funkcje mogą nadal znajdować się w publicznej wersji zapoznawczej, zgodnie z opisem w temacie Obsługa funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur.

Aby uzyskać więcej informacji, zobacz również Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.

Nie można wykryć dwóch anomalii

Następujące wykrycia anomalii są przerywane od 26 marca 2024 r., ze względu na niską jakość wyników:

• Reputacja domeny Palo Alto anomalia
• Logowania w wielu regionach w ciągu jednego dnia za pośrednictwem aplikacji Palo Alto GlobalProtect

Aby uzyskać pełną listę wykrywania anomalii, zobacz stronę referencyjną anomalii.

Usługa Microsoft Sentinel jest teraz dostępna w regionie Północnym We Włoszech

Usługa Microsoft Sentinel jest teraz dostępna w regionie świadczenia usługi Azure Północna Włochy z tym samym zestawem funkcji co wszystkie inne regiony komercyjne platformy Azure wymienione na liście w ramach obsługi funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur.

Aby uzyskać więcej informacji, zobacz również Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.

Marzec 2024 r.

• Środowisko migracji rozwiązania SIEM jest teraz ogólnie dostępne (GA)
• Łącznik usługi Amazon Web Services S3 jest teraz ogólnie dostępny (GA)
• Konstruktor Połączenie or bez kodu (wersja zapoznawcza)
• Łączniki danych dla dziennika systemowego i formatu CEF oparte na agencie usługi Azure Monitor są teraz ogólnie dostępne (GA)

Środowisko migracji rozwiązania SIEM jest teraz ogólnie dostępne (GA)

Na początku miesiąca ogłosiliśmy wersję zapoznawczą migracji rozwiązania SIEM. Teraz na koniec miesiąca, to już ga! Nowe środowisko migracji usługi Microsoft Sentinel pomaga klientom i partnerom zautomatyzować proces migrowania przypadków użycia monitorowania zabezpieczeń hostowanych w produktach innych niż microsoft do usługi Microsoft Sentinel.

• Ta pierwsza wersja narzędzia obsługuje migracje z narzędzia Splunk

Aby uzyskać więcej informacji, zobacz Migrowanie do usługi Microsoft Sentinel przy użyciu środowiska migracji rozwiązania SIEM

Dołącz do naszej społeczności ds. zabezpieczeń na seminarium internetowym pokazującym środowisko migracji rozwiązania SIEM 2 maja 2024 r.

Łącznik usługi Amazon Web Services S3 jest teraz ogólnie dostępny (GA)

Usługa Microsoft Sentinel udostępniła łącznik danych platformy AWS S3 do ogólnej dostępności. Za pomocą tego łącznika można pozyskiwać dzienniki z kilku usług AWS do usługi Microsoft Sentinel przy użyciu zasobnika S3 i prostej usługi kolejkowania komunikatów platformy AWS.

Współbieżnie z tą wersją konfiguracja tego łącznika nieco się zmieniła dla klientów usługi Azure Commercial Cloud. Uwierzytelnianie użytkowników na platformie AWS odbywa się teraz przy użyciu dostawcy tożsamości sieci Web openID Połączenie (OIDC), a nie za pomocą identyfikatora aplikacji usługi Microsoft Sentinel w połączeniu z identyfikatorem obszaru roboczego klienta. Istniejący klienci mogą nadal korzystać z bieżącej konfiguracji przez cały czas i będą otrzymywać powiadomienia z wyprzedzeniem o konieczności wprowadzenia jakichkolwiek zmian.

Aby dowiedzieć się więcej o łączniku platformy AWS S3, zobacz Połączenie Microsoft Sentinel do usług Amazon Web Services w celu pozyskiwania danych dziennika usługi AWS

Konstruktor łączników bez kodu (wersja zapoznawcza)

Mamy teraz skoroszyt, który ułatwia nawigowanie po złożonym kodzie JSON zaangażowanym w wdrażanie szablonu usługi ARM dla łączników danych platformy łącznika bez kodu (KPCH). Użyj przyjaznego interfejsu konstruktora łączników bez kodu, aby uprościć programowanie.

Zobacz nasz wpis w blogu, aby uzyskać więcej szczegółów: Create Codeless Połączenie ors with the Codeless Połączenie or Builder (Preview)( Tworzenie Połączenie or bez kodu).

Aby uzyskać więcej informacji na temat protokołu KPCH, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel (publiczna wersja zapoznawcza).

Łączniki danych dla dziennika systemowego i formatu CEF oparte na agencie usługi Azure Monitor są teraz ogólnie dostępne (GA)

Usługa Microsoft Sentinel udostępniła jeszcze dwa łączniki danych na podstawie agenta usługi Azure Monitor (AMA) do ogólnej dostępności. Teraz można użyć tych łączników do wdrożenia reguł zbierania danych (DCR) na maszynach zainstalowanych przez agenta usługi Azure Monitor w celu zbierania komunikatów dziennika systemowego, w tym tych w formacie Common Event Format (CEF).

Aby dowiedzieć się więcej na temat łączników dziennika systemowego i formatu CEF, zobacz Ingest Syslog and CEF logs with the Azure Monitor Agent (Pozyskiwanie dzienników syslogu i dzienników CEF przy użyciu agenta usługi Azure Monitor).

Luty 2024 r.

• Dostępne rozwiązanie Microsoft Sentinel dla platformy Microsoft Power Platform w wersji zapoznawczej
• Nowy łącznik Google Pub/Sub-based na potrzeby pozyskiwania wyników usługi Security Command Center (wersja zapoznawcza)
• Zadania zdarzeń są teraz ogólnie dostępne (GA)
• Łączniki danych platform AWS i GCP obsługują teraz chmury platformy Azure Government
• Zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA są teraz ogólnie dostępne (GA)

Dostępne rozwiązanie Microsoft Sentinel dla platformy Microsoft Power Platform w wersji zapoznawczej

Rozwiązanie Microsoft Sentinel dla platformy Power Platform (wersja zapoznawcza) umożliwia monitorowanie i wykrywanie podejrzanych lub złośliwych działań w środowisku platformy Power Platform. Rozwiązanie zbiera dzienniki aktywności z różnych składników platformy Power Platform i danych spisu. Analizuje te dzienniki aktywności w celu wykrywania zagrożeń i podejrzanych działań, takich jak następujące działania:

• Wykonywanie usługi Power Apps z nieautoryzowanych lokalizacji geograficznych
• Podejrzane zniszczenie danych przez usługę Power Apps
• Masowe usuwanie usługi Power Apps
• Ataki wyłudzane informacje możliwe za pośrednictwem usługi Power Apps
• Działanie przepływów usługi Power Automate przez odejścia pracowników
• Łączniki platformy Microsoft Power Platform dodane do środowiska
• Aktualizowanie lub usuwanie zasad ochrony przed utratą danych platformy Microsoft Power Platform

Znajdź to rozwiązanie w centrum zawartości usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz:

• Omówienie rozwiązania Microsoft Sentinel dla platformy Microsoft Power Platform
• Rozwiązanie Microsoft Sentinel dla platformy Microsoft Power Platform: dokumentacja zawartości zabezpieczeń
• Wdrażanie rozwiązania Microsoft Sentinel dla platformy Microsoft Power Platform

Nowy łącznik Google Pub/Sub-based na potrzeby pozyskiwania wyników usługi Security Command Center (wersja zapoznawcza)

Teraz można pozyskiwać dzienniki z Centrum poleceń zabezpieczeń Google przy użyciu nowego łącznika Google Cloud Platform (GCP) pub/sub-based (teraz w wersji ZAPOZNAWCZEJ).

Usługa Google Cloud Platform (GCP) Security Command Center to niezawodna platforma do zarządzania zabezpieczeniami i ryzykiem dla usługi Google Cloud. Udostępnia funkcje, takie jak spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożeniach oraz środki zaradcze i korygowanie ryzyka. Te możliwości ułatwiają uzyskanie wglądu w stan zabezpieczeń i ataki na dane w organizacji oraz kontrolę nad nimi oraz zwiększenie możliwości wydajnego obsługi zadań związanych z ustaleniami i elementami zawartości.

Integracja z usługą Microsoft Sentinel umożliwia widoczność i kontrolę nad całym środowiskiem wielochmurowym z "jednego okienka szkła".

• Dowiedz się, jak skonfigurować nowy łącznik i pozyskiwać zdarzenia z Centrum poleceń zabezpieczeń Google.

Zadania zdarzeń są teraz ogólnie dostępne (GA)

Zadania zdarzeń, które ułatwiają standaryzację rozwiązań dotyczących badania i reagowania na zdarzenia, dzięki czemu można efektywniej zarządzać przepływem pracy zdarzeń, są teraz ogólnie dostępne w usłudze Microsoft Sentinel.

• Dowiedz się więcej o zadaniach zdarzeń w dokumentacji usługi Microsoft Sentinel:

  • Zarządzanie zdarzeniami w usłudze Microsoft Sentinel za pomocą zadań
  • Praca z zadaniami zdarzeń w usłudze Microsoft Sentinel
  • Inspekcja i śledzenie zmian zadań zdarzeń w usłudze Microsoft Sentinel

• Zobacz ten wpis w blogu Benji Kovacevic , który pokazuje, jak można używać zadań zdarzeń w połączeniu z listami obserwowanymi, regułami automatyzacji i podręcznikami, aby utworzyć rozwiązanie do zarządzania zadaniami z dwiema częściami:

  • Repozytorium zadań zdarzeń.
  • Mechanizm, który automatycznie dołącza zadania do nowo utworzonych zdarzeń, zgodnie z tytułem zdarzenia i przypisuje je do odpowiedniego personelu.

Łączniki danych platform AWS i GCP obsługują teraz chmury platformy Azure Government

Łączniki danych usługi Microsoft Sentinel dla usług Amazon Web Services (AWS) i Google Cloud Platform (GCP) obejmują teraz obsługę konfiguracji pozyskiwania danych do obszarów roboczych w chmurach platformy Azure Government.

Konfiguracje tych łączników dla klientów platformy Azure Government różnią się nieco od konfiguracji chmury publicznej. Szczegółowe informacje można znaleźć w odpowiedniej dokumentacji:

• Łączenie usługi Microsoft Sentinel z usługą Amazon Web Services w celu pozyskiwania danych dzienników usługi AWS
• Pozyskiwanie danych dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel

Zdarzenia DNS systemu Windows za pośrednictwem łącznika usługi AMA są teraz ogólnie dostępne (GA)

Zdarzenia DNS systemu Windows można teraz pozyskiwać do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor z teraz ogólnie dostępnym łącznikiem danych. Ten łącznik umożliwia definiowanie reguł zbierania danych (DCR) i zaawansowanych, złożonych filtrów, dzięki czemu pozyskiwane są tylko potrzebne rekordy i pola DNS.

• Aby uzyskać więcej informacji, zobacz Przesyłanie strumieniowe i filtrowanie danych z serwerów DNS systemu Windows za pomocą łącznika agenta usługi Azure Monitor.

Styczeń 2024

Zmniejszanie wyników fałszywie dodatnich dla systemów SAP za pomocą reguł analizy

Zmniejszanie wyników fałszywie dodatnich dla systemów SAP za pomocą reguł analizy

Użyj reguł analizy wraz z rozwiązaniem Microsoft Sentinel dla aplikacji SAP®, aby zmniejszyć liczbę wyników fałszywie dodatnich wyzwolonych z systemów SAP®. Rozwiązanie Microsoft Sentinel dla aplikacji SAP® obejmuje teraz następujące ulepszenia:

• Funkcja SAPUsersGetVIP obsługuje teraz wykluczanie użytkowników zgodnie z określonymi rolami lub profilem sap.

• Lista do obejrzenia SAP_User_Config obsługuje teraz używanie symboli wieloznacznych w polu SAPUser w celu wykluczenia wszystkich użytkowników z określoną składnią.

Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution for SAP applications data reference (Dokumentacja danych aplikacji SAP®) i Handle false positives in Microsoft Sentinel (Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel).

Następne kroki

Na pokładzie usługi Azure Sentinel

Uzyskiwanie wglądu w alerty