Vad är nytt i Microsoft Sentinel

  • Artikel
  • 21 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Den här artikeln innehåller de senaste funktionerna som har lagts till för Microsoft Sentinel och nya funktioner i relaterade tjänster som ger en förbättrad användarupplevelse i Microsoft Sentinel.

Om du letar efter objekt som är äldre än sex månader hittar du dem i Arkiv för Nyheter i Sentinel. Information om tidigare funktioner som levereras finns i våra Tech Community-bloggar.

Viktigt

Antecknade funktioner finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure-förhandsversionen innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).

Tips

Våra hotjaktsteam på Microsoft bidrar med frågor, spelböcker, arbetsböcker och anteckningsböcker till Microsoft Sentinel Community,inklusive specifika jaktfrågor som dina team kan anpassa och använda.

Du kan också bidra! Gå med i Microsoft Sentinel Threat Threat Threat GitHub communityn.

November 2021

Avancerad sökning efter incidenter är nu tillgängligt i GA

Sökning efter incidenter med hjälp av den avancerade sökfunktionen är nu allmänt tillgänglig.

Den avancerade incidentsökningen ger möjlighet att söka igenom mer data, inklusive aviseringsinformation, beskrivningar, entiteter, taktiker med mera.

Mer information finns i Sök efter incidenter.

Amazon Web Services S3-anslutning är nu tillgänglig (allmänt tillgänglig förhandsversion)

Nu kan du ansluta Microsoft Sentinel till din Amazon Web Services (AWS) S3-lagrings bucket för att mata in loggar från en mängd olika AWS-tjänster.

För tillfället kan du använda den här anslutningen för att mata in VPC Flow loggar och GuardDuty-resultat samt AWS CloudTrail.

Mer information finns i Anslut Microsoft Sentinel till S3-bucketar för att Amazon Web Services (AWS)-data.

Windows för vidarebefordrade händelser är nu tillgängligt (offentlig förhandsversion)

Du kan nu strömma händelseloggar från Windows-servrar som är anslutna till din Azure Sentinel-arbetsyta med hjälp av Windows Event Collection/Windows Event Forwarding (WEC/WEF), tack vare den här nya dataanslutningen. Anslutningsappen använder den nya Azure Monitor Agent (AMA), som ger ett antal fördelar jämfört med den äldre Log Analytics-agenten (kallas även MMA):

  • Skalbarhet: Om du har aktiverat Windows Event Collection (WEC) kan du installera Azure Monitor Agent (AMA) på WEC-datorn för att samla in loggar från många servrar med en enda anslutningspunkt.

  • Hastighet: AMA kan skicka data med en förbättrad hastighet på 5 000 EPS, vilket ger snabbare datauppdatering.

  • Effektivitet: Med AMA kan du utforma komplexa regler för datainsamling (DCR) för att filtrera loggarna vid källan och välja de exakta händelser som ska strömmas till din arbetsyta. Domänkontrollanter hjälper till att sänka nätverkstrafiken och inmatningskostnaderna genom att lämna ut oönskade händelser.

  • Täckning: WEC/WEF möjliggör insamling av Windows-händelseloggar från äldre (lokala och fysiska) servrar och även från hög användning eller känsliga datorer, till exempel domänkontrollanter, där installation av en agent är oönskad.

Vi rekommenderar att du använder den här anslutningsappen Azure Sentinel ASIM-parser (Information Model) installerad för att säkerställa fullständigt stöd för data normalisering.

Läs mer om anslutningsappen Windows vidarebefordrade händelser.

Hotidentifieringsregler nästan i realtid (NRT) är nu tillgängliga (allmänt tillgänglig förhandsversion)

När du står inför säkerhetshot är tid och hastighet av grunden. Du måste vara medveten om hot när de materialiseras så att du kan analysera och svara snabbt för att innesluta dem. Microsoft Sentinels NRT-analysregler (near-real-time) ger snabbare hotidentifiering – närmare en lokal SIEM – och möjligheten att förkorta svarstiderna i specifika scenarier.

Microsoft Sentinels analysregler nästan i realtid ger direktuppspelad hotidentifiering. Den här typen av regel har utformats för att vara mycket responsiv genom att köra frågan med intervaller med bara en minuts mellanrum.

Läs mer om NRT-regler och hur du använder dem.

Fusion-motorn identifierar nu nya och okända hot (offentlig förhandsversion)

Förutom att identifiera attacker baserat på fördefinierade scenarier kan Microsoft Sentinel:s ML-baserade Fusion-motor hjälpa dig att hitta nya och okända hot i din miljö genom att använda utökad ML-analys och genom att korrelera ett bredare omfång av avvikande signaler, samtidigt som aviseringen är låg.

Fusion-motorns algoritmer lär ML ständigt från befintliga attacker och tillämpar analyser baserat på hur säkerhetsanalytiker tänker. Den kan därför identifiera tidigare oidentifierade hot från miljontals avvikande beteenden i hela händelsekedjan i din miljö, vilket hjälper dig att ligga steget före angriparen.

Läs mer om Fusion för nya hot.

Dessutom är Fusion Analytics-regeln nu mer konfigurerbar, vilketåterspeglar dess ökade funktionalitet.

Få finjusteringsrekommendationer för dina analysregler (offentlig förhandsversion)

Finjustering av regler för hotidentifiering i SIEM kan vara en svår, besvärlig och kontinuerlig process för att balansera mellan att maximera din hotidentifieringstäckning och minimera falska positiva resultat. Microsoft Sentinel förenklar och effektiviserar den här processen genom att använda maskininlärning för att analysera miljarder signaler från dina datakällor samt dina svar på incidenter över tid, härleda mönster och ge dig användbara rekommendationer och insikter som avsevärt kan sänka dina justeringskostnader och låta dig fokusera på att identifiera och svara på faktiska hot.

Justeringsrekommendationer och insikter är nu inbyggda i dina analysregler.

Uppdateringar av den kostnadsfria utvärderingsversionen

Den kostnadsfria utvärderingsversionen av Microsoft Sentinel fortsätter att stödja nya eller befintliga Log Analytics-arbetsytor utan extra kostnad under de första 31 dagarna. Vi utvecklar vår nuvarande kostnadsfria utvärderingsversion med följande uppdateringar:

  • Nya Log Analytics-arbetsytor kan mata in upp till 10 GB loggdata per dag under de första 31 dagarna utan kostnad. Nya arbetsytor omfattar arbetsytor som är mindre än tre dagar gamla.

    Både Log Analytics-datainmatning och Microsoft Sentinel-avgifter undantas under utvärderingsperioden på 31 dagar. Den här kostnadsfria utvärderingsversionen omfattas av en gräns på 20 arbetsytor per Azure-klientorganisation.

  • Befintliga Log Analytics-arbetsytor kan aktivera Microsoft Sentinel utan extra kostnad. Befintliga arbetsytor innehåller alla arbetsytor som skapades för mer än tre dagar sedan.

    Endast Microsoft Sentinel-avgifterna frångås under utvärderingsperioden på 31 dagar.

Användning utöver dessa gränser debiteras enligt de priser som anges på prissättningssidan för Microsoft Sentinel. Avgifter som rör ytterligare funktioner för automatisering och bring your own machine learning gäller fortfarande under den kostnadsfria utvärderingsversionen.

Tips

Under den kostnadsfria utvärderingsversionen hittar du resurser för kostnadshantering, utbildning och mycket mer på fliken med & nyhetsguider > kostnadsfri utvärderingsversion i Microsoft Sentinel. På den här fliken visas även information om datumen för din kostnadsfria utvärderingsversion och hur många dagar du har gått tills den upphör att gälla.

Mer information finns i Planera och hantera kostnader för Microsoft Sentinel.

Innehållshubb och nya lösningar (offentlig förhandsversion)

Microsoft Sentinel tillhandahåller nu en innehållshubb , en central plats där du kan hitta och distribuera inbyggt innehåll och lösningar för Microsoft Sentinel till din Microsoft Sentinel-arbetsyta. Hitta det innehåll du behöver genom att filtrera efter innehållstyp, supportmodeller, kategorier med mera eller använda den kraftfulla textsökningen.

Under Innehållshantering väljer du Innehållshubb. Välj en lösning för att visa mer information till höger och klicka sedan på Installera för att installera den på din arbetsyta.

Skärmbild av den nya Innehållshubben för Microsoft Sentinel.

Följande lista innehåller markeringar av nya, in-of-the-box-lösningar som lagts till i innehållshubben:

  • Microsoft Sentinel Training Lab
  • Cisco ASA
  • Cisco Duo Security
  • Cisco Meraki
  • Cisco StealthWatch
  • Digital Guardian
  • 365 Dynamics
  • GCP Cloud DNS
  • GCP CloudMonitor
  • GCP-identitets- och åtkomsthantering
  • Force
  • FireGet NX
  • Systems- och systemebloss
  • Forjekt
  • Fortinet Fortigate
  • Imperva Cloud FAW
  • Insiders riskhantering
  • IronNet CyberSecurity Iron Defense
  • Lookout
  • McAfee Network Security Platform
  • Microsoft MITRE ATT&CK Solution for Cloud
  • Palo Alto PAN-OS
  • Rapid7 Nexpose/Insight VM
  • ReverseingLabs
  • RSA SecurID
  • Semperis
  • Tenable Nessus Scanner
  • Vectra Stream
  • Noll förtroende

Mer information finns i:

Aktivera kontinuerlig distribution från dina innehållsdatabaser (offentlig förhandsversion)

Den nya sidan för Microsoft Sentinel-lagringsplatsen ger möjlighet att hantera och distribuera ditt anpassade innehåll från GitHub- eller Azure DevOps-lagringsplatsen som ett alternativ till att hantera dem i Azure Portal. Den här funktionen introducerar en mer strömlinjeformad och automatiserad metod för att hantera och distribuera innehåll på Microsoft Sentinel-arbetsytor.

Om du lagrar ditt anpassade innehåll på en extern lagringsplats för att underhålla det utanför Microsoft Sentinel kan du nu ansluta lagringsplatsen till din Microsoft Sentinel-arbetsyta. Innehåll som du lägger till, skapar eller redigerar i din lagringsplats distribueras automatiskt till dina Microsoft Sentinel-arbetsytor och visas från de olika Microsoft Sentinel-gallerierna, till exempel sidorna Analytics, Jakt eller Arbetsböcker.

Mer information finns i Distribuera anpassat innehåll från din lagringsplats.

Berikad hotinformation med geoplats- och whois-data (offentlig förhandsversion)

Nu berikas alla hotinformationsdata som du hämtar till Microsoft Sentinel via dataanslutningsappar och logikappspelböcker, eller som du skapar i Microsoft Sentinel, automatiskt med GeoLocation- och WhoIs-information.

GeoLocation- och WhoIs-data kan ge mer kontext för undersökningar där den valda indikatorn för kompromettering (IOC) hittas.

Du kan till exempel använda GeoLocation-data för att hitta information som Organisation eller Land för indikatorn och WhoIs-data för att hitta data som Registrator och Registrera skapandedata.

Du kan visa geoplats- och whois-data i fönstret Hotinformation för varje indikator på kompromettering som du har importerat till Microsoft Sentinel. Information om indikatorn visas till höger, inklusive geoplats- och whois-data som är tillgängliga.

Exempel:

Skärmbild av indikatorinformation, inklusive GeoLocation- och WhoIs-data.

Tips

Geoplats- och whois-informationen kommer från Microsoft Threat Intelligence-tjänsten, som du också kan komma åt via API. Mer information finns i Utöka entiteter med geoplatsdata via API.

Mer information finns i:

Använda notebook-Azure Synapse Analytics i Microsoft Sentinel (offentlig förhandsversion)

Microsoft Sentinel integrerar nu Jupyter Notebooks med Azure Synapse för storskaliga scenarier för säkerhetsanalys.

Fram till nu har Jupyter Notebooks i Microsoft Sentinel integrerats med Azure Machine Learning. Den här funktionen stöder användare som vill införliva anteckningsböcker, populära maskininlärningsverktyg med öppen källkod och bibliotek som TensorFlow, samt deras egna anpassade modeller, i säkerhetsarbetsflöden.

Den nya Azure Synapse integreringen ger extra analytiska hästkrafter, till exempel:

  • Säkerhetsanalys av stordata med hjälp av kostnadsoptimerade, fullständigt hanterade Azure Synapse Apache Spark beräkningspool.

  • Kostnadseffektiv Data Lake-åtkomst för att bygga analyser på historiska data via Azure Data Lake Storage Gen2, som är en uppsättning funktioner för stordataanalys som bygger på Azure Blob Storage.

  • Flexibilitet för att integrera datakällor i arbetsflöden för säkerhetsåtgärd från flera källor och format.

  • PySpark, ett Python-baserat API för att använda Spark-ramverket i kombination med Python, vilket minskar behovet av att lära sig ett nytt programmeringsspråk om du redan är bekant med Python.

För att stödja den här integreringen har vi lagt till möjligheten att skapa och Azure Synapse en arbetsyta direkt från Microsoft Sentinel. Vi har också lagt till nya notebook-exempelfiler som hjälper dig att konfigurera Azure Synapse-miljön, konfigurera en pipeline för kontinuerlig dataexport från Log Analytics till Azure Data Lake Storage och sedan jaga på dessa data i stor skala.

Mer information finns i Integrera notebook-datorer med Azure Synapse.

Förbättrat notebook-område i Microsoft Sentinel

Området Notebooks i Microsoft Sentinel har nu även en översiktsflik där du kan hitta grundläggande information om notebook-datorer och en ny kolumn för notebook-typerfliken Mallar för att ange vilken typ av notebook-fil som visas. Notebook-datorer kan till exempel ha typerna Komma igång, Konfiguration, Jakt och nu Synapse.

Exempel:

Skärmbild av den nya Azure Synapse på sidan Notebooks.

Mer information finns i Använda Jupyter Notebooks för att leta efter säkerhetshot.

Byta namn på Microsoft Sentinel

Från och med november 2021 byter Azure Sentinel namn till Microsoft Sentinel och du ser kommande uppdateringar i portalen, dokumentationen och andra resurser parallellt.

Tidigare poster i den här artikeln och det äldre Arkivet för Nyheter i Sentinel fortsätter att använda namnet Azure Sentinel, eftersom det var tjänstnamnet när dessa funktioner var nya.

Mer information finns i vår blogg om de senaste säkerhetsförbättringarna.

Distribuera och övervaka Azure Key Vault honeytokens med Azure Sentinel

Den nya Azure Sentinel Deception-lösningen hjälper dig att hålla utkik efter skadlig aktivitet i dina nyckelvalv genom att hjälpa dig att distribuera avkodade nycklar och hemligheter, som kallas honeytokens, till utvalda Azure-nyckelvalv.

När de har distribuerats genererar all åtkomst eller åtgärd med honeytokennycklarna och hemligheterna incidenter som du kan undersöka i Azure Sentinel.

Eftersom det inte finns någon anledning att faktiskt använda honeytoken-nycklar och hemligheter kan liknande aktiviteter på din arbetsyta vara skadliga och bör undersökas.

Lösningen Azure Sentinel deception innehåller en arbetsbok som hjälper dig att distribuera honeytokens, antingen i stor skala eller en i taget, visningslistor för att spåra honeytokens som skapats och analysregler för att generera incidenter efter behov.

Mer information finns i Distribuera och övervaka Azure Key Vault honeytokens med Azure Sentinel (offentlig förhandsversion).

Oktober 2021

Windows-säkerhet Events-anslutning med Azure Monitor Agent nu i GA

Den nya versionen av anslutningsappen Windows-säkerhet Events, baserat på Azure Monitor Agent, är nu allmänt tillgänglig! Se Anslut att Windows servrar för att samla in säkerhetshändelser för mer information.

Defender for Office 365-händelser är nu tillgängliga i Microsoft 365 Defender anslutningsappen (allmänt tillgänglig förhandsversion)

Förutom de från Microsoft Defender för slutpunkt kan du nu mata in råa avancerade jakthändelser från Microsoft Defender för Office 365 via Microsoft 365 Defender anslutningsappen. Läs mer.

En spelboksmall är ett förbyggt, testat och färdigt arbetsflöde som kan anpassas efter dina behov. Mallar kan också fungera som referens för bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.

Spelboksmallar har utvecklats av Sentinel-communityn, oberoende programvaruleverantörer (ISV:er) och Microsofts egna experter, och du hittar dem på fliken Med mallar för spelböcker (under Automation), som en del av en Azure Sentinel-lösning, eller på Azure Sentinel GitHub-lagringsplatsen.

Mer information finns i Skapa och anpassa spelböcker från inbyggda mallar.

Hantera mallversioner för dina schemalagda analysregler (offentlig förhandsversion)

När du skapar analysregler från inbyggda Azure Sentinel skapardu i praktiken en kopia av mallen. Tidigare uppdaterades inte den aktiva regeln dynamiskt för att matcha eventuella ändringar som görs i den ursprungliga mallen.

Regler som skapas från mallar kommer dock ihåg vilka mallar de kom från, vilket ger dig två fördelar:

  • Om du har gjort ändringar i en regel när du skapar den från en mall (eller när som helst efter det) kan du alltid återställa regeln till dess ursprungliga version (som en kopia av mallen).

  • Du kan få ett meddelande när en mall uppdateras och du kan välja att uppdatera dina regler till den nya versionen av mallarna eller lämna dem som de är.

Lär dig hur du hanterar dessa uppgifteroch vad du bör tänka på. Dessa procedurer gäller för alla regler för schemalagd analys som skapats från mallar.

DHCP-normaliseringsschema (allmänt tillgänglig förhandsversion)

Advanced SIEM Information Model (ASIM) stöder nu ett DHCP-normaliseringsschema, som används för att beskriva händelser som rapporteras av en DHCP-server och som används av Azure Sentinel för att aktivera källoberoende analys.

Händelser som beskrivs i DHCP-normaliseringsschemat omfattar att betjäna begäranden om DHCP IP-adress som lånats ut från klientsystem och uppdatera en DNS-server med de lån som beviljats.

Mer information finns i:

September 2021

Nytt i dokumentationen: Dokumentation om skalning av dataanslutning

När vi fortsätter att lägga till fler och fler inbyggda dataanslutningar för Azure Sentinel har vi ordnat om dokumentationen för dataanslutningen för att återspegla den här skalningen.

För de flesta dataanslutningsappar har vi ersatt fullständiga artiklar som beskriver en enskild anslutningsapp med en serie allmänna procedurer och en fullständig referens till alla anslutningsappar som stöds för närvarande.

Kontrollera referensen Azure Sentinel dataanslutningsappar för information om anslutningsappen, inklusive referenser till relevant allmän procedur, samt extra information och konfigurationer som krävs.

Mer information finns i:

Azure Storage ändringar i kontoanslutningsappen

På grund av vissa ändringar som gjorts Azure Storage själva kontoresurskonfigurationen måste anslutningsappen också konfigureras om. Lagringskontots (överordnade) resurs innehåller andra (underordnade) resurser för varje typ av lagring: filer, tabeller, köer och blobar.

När du konfigurerar diagnostik för ett lagringskonto måste du i sin tur välja och konfigurera:

  • Den överordnade kontoresursen, som exporterar transaktionsmåttet.
  • Var och en av de underordnade lagringsresurserna exporterar alla loggar och mått (se tabellen ovan).

Du ser bara de lagringstyper som du faktiskt har definierat resurser för.

Skärmbild av Azure Storage diagnostikkonfiguration.

Augusti 2021

Avancerad incidentsökning (offentlig förhandsversion)

Som standard körs incidentsökningar endast över värdena incident-ID, rubrik, taggar, ägare och produktnamn. Azure Sentinel nu avancerade sökalternativ för att söka i mer data, inklusive aviseringsinformation, beskrivningar, entiteter, taktiker med mera.

Exempel:

Skärmbild av sidan Incidenter med avancerade sökalternativ.

Mer information finns i Sök efter incidenter.

Fusionsidentifiering för utpressningstrojaner (offentlig förhandsversion)

Azure Sentinel innehåller nu nya Fusion-identifieringar för möjliga utpressningstrojanaktiviteter och genererar incidenter som kallas flera aviseringar som kan vara relaterade till utpressningstrojanaktivitet som identifierats.

Incidenter genereras för aviseringar som eventuellt är associerade med utpressningstrojanaktiviteter, när de inträffar under en viss tidsperiod och är associerade med stegen i körning och skydd Underutse en attack. Du kan använda aviseringarna som anges i incidenten för att analysera de tekniker som kan användas av angripare för att kompromettera en värd/enhet och undvika identifiering.

Dataanslutningsappar som stöds är:

Mer information finns i Multiple alerts possibly related to Ransomware activity detected.

Watchlist-mallar för UEBA-data (offentlig förhandsversion)

Azure Sentinel nu inbyggda mallar för UEBA-data i visningslistan, som du kan anpassa för din miljö och använda dem under undersökningar.

När UEBA-visningslistor har fyllts med data kan du korrelera dessa data med analysregler, visa dem i entitetssidor och undersökningsdiagram som insikter, skapa anpassade användningsområden som att spåra VIP eller känsliga användare med mera.

Mallar i visningslistan innehåller för närvarande:

  • VIP-användare. En lista över användarkonton för anställda som har högt effektvärde i organisationen.
  • Avslutade anställda. En lista över användarkonton med anställda som har avslutats eller håller på att avslutas.
  • Tjänstkonton. En lista över tjänstkonton och deras ägare.
  • Identitetskorrelation. En lista över relaterade användarkonton som tillhör samma person.
  • Högt värde tillgångar. En lista över enheter, resurser eller andra tillgångar som har kritiskt värde i organisationen.
  • Nätverksmappning. En lista över IP-undernät och deras respektive organisationskontext.

Mer information finns i Skapa en ny visningslista med hjälp av en mall och inbyggda scheman för visningslistor.

Schema för normalisering av filhändelse (offentlig förhandsversion)

Den Azure Sentinel Information Model (ASIM) stöder nu ett schema för normalisering av filhändelse, som används för att beskriva filaktivitet, till exempel att skapa, ändra eller ta bort filer eller dokument. Filhändelser rapporteras av operativsystem, fillagringssystem som Azure Files och dokumenthanteringssystem som Microsoft SharePoint.

Mer information finns i:

Nytt i docs: Vägledning om bästa praxis

Som svar på flera begäranden från kunder och våra supportteam har vi lagt till en serie riktlinjer för bästa praxis i vår dokumentation.

Mer information finns i:

Tips

Du hittar mer vägledning i vår dokumentation i relevanta konceptuella artiklar och anvisningar. Mer information finns i Referens till bästa praxis.

Juli 2021

Matchningsanalys för Microsoft Threat Intelligence (offentlig förhandsversion)

Azure Sentinel innehåller nu den inbyggda Microsoft Threat Intelligence Matching Analytics-regeln som matchar Microsoft-genererade hotinformationsdata med dina loggar. Den här regeln genererar aviseringar och incidenter med hög återgivning, med rätt allvarlighetsgrad baserat på kontexten för de identifierade loggarna. När en matchning har identifierats publiceras indikatorn även på din lagringsplats Azure Sentinel hotinformation.

Microsoft Threat Intelligence Matching Analytics-regeln matchar för närvarande domänindikatorer mot följande loggkällor:

Mer information finns i Identifiera hot med matchande analys (allmänt tillgänglig förhandsversion).

Använda Azure AD-data Azure Sentinel i IdentityInfo-tabellen (offentlig förhandsversion)

Eftersom angripare ofta använder organisationens egna användar- och tjänstkonton är data om dessa användarkonton, inklusive användaridentifiering och behörigheter, avgörande för analytikerna i en undersökningsprocess.

Nu när UEBA är aktiverat Azure Sentinel arbetsytan synkroniseras även Azure AD-data till den nya IdentityInfo-tabellen i Log Analytics. Synkroniseringar mellan Azure AD och tabellen IdentifyInfo skapar en ögonblicksbild av dina användarprofildata som innehåller användarmetadata, gruppinformation och de Azure AD-roller som tilldelas varje användare.

Använd IdentityInfo-tabellen under undersökningar och när du finjusterar analysregler för din organisation för att minska falska positiva identifieringar.

Mer information finns i IdentityInfo-tabellen i UEBA-berikningsreferensen och Använda UEBA-data för att analysera falska positiva identifieringar.

Utöka entiteter med geoplatsdata via API (offentlig förhandsversion)

Azure Sentinel nu ett API för att utöka dina data med geoplatsinformation. Geoplatsdata kan sedan användas för att analysera och undersöka säkerhetsincidenter.

Mer information finns i Utöka entiteter i Azure Sentinel med geoplatsdata via REST API (offentlig förhandsversion) och Klassificera och analysera data med hjälp av entiteter i Azure Sentinel.

Stöd för ADX-frågor mellan resurser (offentlig förhandsversion)

Jaktupplevelsen i Azure Sentinel stöder nu ADX-frågor mellan resurser.

Även om Log Analytics fortfarande är den primära datalagringsplatsen för att utföra analys med Azure Sentinel, finns det fall där ADX krävs för att lagra data på grund av kostnader, kvarhållningsperioder eller andra faktorer. Den här funktionen gör det möjligt för kunder att jaga över en bredare uppsättning data och visa resultaten i Azure Sentinel-jaktupplevelser, inklusive jaktfrågor, livestreamoch Log Analytics-söksidan.

Om du vill fråga efter data som lagras i ADX-kluster använder du funktionen adx() för att ange ADX-klustret, databasnamnet och önskad tabell. Du kan sedan köra frågor mot utdata på samma sätt som andra tabeller. Mer information finns på de sidor som länkas ovan.

Visningslistor är allmänt tillgängliga

Funktionen för visningslistor är nu allmänt tillgänglig. Använd visningslistor för att utöka aviseringar med affärsdata, skapa listor över tillåtna eller blockeringslistor mot vilka du kan kontrollera åtkomsthändelser och hjälpa till att undersöka hot och minska varningsutmaningar.

Stöd för datahemhemlighet i flera geografiska platser

Azure Sentinel stöder nu fullständig datahemlighet i följande ytterligare geografiska platser:

Brasilien, Brasilien, Sydafrika, Korea, Tyskland, Förenade Arabemiraten (Förenade Arabemiraten) och Schweiz.

Se den fullständiga listan över geo-platser som stöds för datahemhemlighet.

Dubbelriktad synkronisering i Azure Defender anslutning (offentlig förhandsversion)

Anslutningsappen Azure Defender nu stöd för dubbelriktad synkronisering av aviseringars status mellan Defender och Azure Sentinel. När du stänger en Sentinel-incident som innehåller en Defender-avisering stängs även aviseringen automatiskt i Defender-portalen.

Se den här fullständiga beskrivningen av den uppdaterade Azure Defender anslutningsappen.

Juni 2021

Uppgraderingar för normalisering och Azure Sentinel Information Model

Med Azure Sentinel Information Model kan du använda och skapa källoberoende innehåll, vilket förenklar analysen av data i din Azure Sentinel arbetsyta.

I den här månadens uppdatering har vi förbättrat vår normaliseringsdokumentation med nya detaljnivåer och fullständiga DNS-, processhändelse- och autentiserings normaliseringsscheman.

Mer information finns i:

Uppdaterade tjänst-till-tjänst-anslutningsappar

Två av våra mest använda anslutningsappar har varit de stora uppgraderingarna.

  • Anslutningsappen Windows security events (offentlig förhandsversion) baseras nu på den nya Azure Monitor Agent (AMA), vilket ger dig mycket mer flexibilitet när du väljer vilka data som ska matas in och ger dig maximal insyn till minsta kostnad.

  • Anslutningsappen för Azure-aktivitetsloggar baseras nu på pipelinen för diagnostikinställningar, vilket ger dig mer fullständiga data, avsevärt minskad inmatningsfördröjning samt bättre prestanda och tillförlitlighet.

Uppgraderingarna är inte automatiska. Användare av dessa anslutningsappar uppmuntras att aktivera de nya versionerna.

Export- och importanalysregler (offentlig förhandsversion)

Nu kan du exportera dina analysregler till ARM-mallfiler (JSON-format Azure Resource Manager) och importera regler från dessa filer som en del av hanteringen och kontrollen av Azure Sentinel-distributioner som kod. Alla typer av analysregel – inte bara schemalagd – kan exporteras till en ARM-mall. Mallfilen innehåller all regelinformation, från dess fråga till dess tilldelade MITRE ATT&CK-taktiker.

Mer information finns i Exportera och importera analysregler till och från ARM-mallar.

Aviseringsberikande: aviseringsinformation (offentlig förhandsversion)

Förutom att utöka aviseringsinnehållet med entitetsmappning och anpassad information kan du nu anpassa hur aviseringar – och i tillägg , incidenter – presenteras och visas baserat på deras specifika innehåll. Precis som de andra funktionerna för berikning av aviseringar kan detta konfigureras i guiden för analysregel.

Mer information finns i Anpassa aviseringsinformation i Azure Sentinel.

Mer hjälp för spelböcker!

Två nya dokument kan hjälpa dig att komma igång eller bli mer bekväm med att skapa och arbeta med spelböcker.

  • Autentisera spelböcker till Azure Sentinel hjälper dig att förstå de olika autentiseringsmetoder som Logic Apps-baserade spelböcker kan ansluta till och komma åt information i Azure Sentinel och när det är lämpligt att använda var och en.
  • Använd utlösare och åtgärder i spelböcker förklarar skillnaden mellan incidentutlösaren och aviseringsutlösaren och vilka som ska användas när, och visar några av de olika åtgärder som du kan vidta i spelböcker som svar på incidenter, inklusive hur du kommer åt informationen i anpassad information.

Spelboksdokumentationen tar även uttryckligen upp MSSP-scenariot för flera innehavare.

Ny omorganisering av dokumentation

Den här månaden har vi ordnat om vår Azure Sentinel,omstrukturering i intuitiva kategorier som följer vanliga kundresor. Använd den filtrerade dokumentsökningen och den uppdaterade landningssidan för att navigera Azure Sentinel dokument.

Ny Azure Sentinel omorganisering av dokumentation.

Nästa steg

On-board Azure Sentinel

Få insyn i aviseringar