Microsoft Sentinel'daki yeniler

  • Makale
  • Okumak için 20 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Bu makalede, Microsoft Sentinel için eklenen son özellikler ve Microsoft Sentinel'de gelişmiş bir kullanıcı deneyimi sağlayan ilgili hizmetlerde yeni özellikler listelenmiştir.

Altı aydan eski öğeleri arıyorsanız, bunları Sentinel'dakiyeni öğeler için Arşiv'de bulabilirsiniz. Teslim edilen önceki özellikler hakkında daha fazla bilgi için Tech Community bloglarımıza bakın.

Önemli

Not alan özellikler şu anda ÖNIZLİ'dedir. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.

İpucu

Microsoft genelindeki tehdit avcılığı ekiplerimiz, takımlarının uyarlanmış ve kullanabileceği belirli tehdit avcılığı sorguları dahil olmak üzere Microsoft Sentinel Community'asorgular, playbook'lar, çalışma kitapları ve not defterleri ile katkıda bulunu.

Katkıda da bulunarak katkıda bulunarak! Topluluğun Microsoft Sentinel Threat Avcıları GitHub katılın.

Kasım 2021

Güvenlik olayı gelişmiş araması artık GA'da kullanılabilir

Gelişmiş arama işlevini kullanarak olay arama özelliği genel kullanıma sunulmaktadır.

Gelişmiş olay araması, uyarı ayrıntıları, açıklamalar, varlıklar, taktikler ve daha fazlası dahil olmak üzere daha fazla veri arasında arama yapma olanağı sağlar.

Daha fazla bilgi için bkz. Olayları arama.

Amazon Web Services S3 bağlayıcısı kullanılabilir (Genel önizleme)

Artık çeşitli AWS hizmetlerinden günlükleri Amazon Web Services (AWS) S3 depolama demetinize Microsoft Sentinel'i bağlanabilirsiniz.

Şimdilik, aws CloudTrail'in yanı sıra VPC Flow günlüklerini ve GuardDuty bulgularını da elde etmek için bu bağlantıyı kullanabilirsiniz.

Daha fazla bilgi için bkz. Bağlan (AWS) verilerini almak için Microsoft Sentinel'Amazon Web Services S3 Buckets'a gönderme.

Windows Olayları bağlayıcısı artık kullanılabilir (Genel önizleme)

Artık bu yeni veri bağlayıcısı sayesinde Windows Olay Koleksiyonu/Windows Olay İ iletme (WEC/WEF) kullanarak Azure Sentinel çalışma alanınıza bağlı Windows Sunucularından olay günlüklerinin akışını sebilirsiniz. Bağlayıcı, eski Log Analytics aracı Azure İzleyici (MMA olarak da bilinir) bir dizi avantaj sağlayan yeni Azure İzleyici Aracısı'nın (AMA) kullanır:

  • Ölçeklenebilir -lik: Windows Olay Koleksiyonu'Windows(WEC) etkinleştirdiysek, tek bir bağlantı noktası olan birçok sunucudan günlükleri toplamak için WEC makinesine Azure İzleyici Agent'ı (AMA) yükleyebilirsiniz.

  • Hız: AMA, 5.000 EPS oranında veri göndererek daha hızlı veri yenilemesi sağlar.

  • Verimli -liği: AMA, kaynaklarında günlükleri filtrelemek için karmaşık Veri Toplama Kuralları (DCR) tasarlamanıza olanak sağlar ve çalışma alanınıza akış yapmak için tam olarak olayları seçmenizi sağlar. DCR'ler, ağ trafiğinizi ve veri alımı maliyetlerinizi düşürmeye yardımcı olmak için, sıralanmamış olayları dışarıda bırakarak.

  • Kapsama: WEC/WEF, eski (şirket içi ve fiziksel) sunuculardan Windows Olay günlüklerinin ve aynı zamanda bir aracı yüklemenin istensizlik olduğu etki alanı denetleyicileri gibi yüksek kullanımlı veya hassas makinelerden toplanmasına olanak sağlar.

Veri normalleştirme için tam destek sağlamak Azure Sentinel Bilgi Modeli (ASIM) ayrıştırıcıları yüklü olarak bu bağlayıcıyı öneririz.

Windows Forwarded Events bağlayıcısı hakkında daha fazla bilgi.

Neredeyse gerçek zamanlı (NRT) tehdit algılama kuralları artık kullanılabilir (Genel önizleme)

Güvenlik tehditleriyle karşılaştığında zaman ve hız esastır. Tehditlerin nasıl karşı karşıya olduğunu fark etmeniz gerekir, böylece bunları içeren tehditleri hızla analiz edip yanıt veresiniz. Microsoft Sentinel'in neredeyse gerçek zamanlı (NRT) analiz kuralları, şirket içi SIEM'e daha yakın olan daha hızlı tehdit algılama ve belirli senaryolarda yanıt sürelerini kısaltma olanağı sunar.

Microsoft Sentinel'in neredeyse gerçek zamanlı analiz kuralları, en son dakika tehdit algılama özelliği sunar. Bu tür bir kural, sorgusunu yalnızca bir dakika arayla çalıştırarak yüksek oranda duyarlı olacak şekilde tasarlanmıştır.

NRT kuralları ve bunları kullanma hakkında daha fazla bilgi.

Fusion altyapısı artık gelişmekte olan ve bilinmeyen tehditleri algılar (Genel önizleme)

Microsoft Sentinel'in ML destekli Fusion altyapısı,önceden tanımlanmış senaryolara dayalı saldırıları algılamaya ek olarak, genişletilmiş ML analizi uygulayarak ve anormal sinyaller için daha geniş bir kapsam arasında ilişki kullanarak ortamınız içinde gelişmekte olan ve bilinmeyen tehditleri bulurken uyarıyı düşük tutmanıza yardımcı olabilir.

Fusion altyapısının ML algoritmaları var olan saldırılardan sürekli olarak öğrenir ve güvenlik analistleri tarafından nasıl düşünmeleri temel alınarak analiz uygulanır. Bu nedenle, ortamınız genelindeki kill-chain genelinde milyonlarca anormal davranıştan daha önce algılanmamış tehditleri keşfeder ve saldırganlardan bir adım önde kalmanıza yardımcı olur.

Yeni ortaya çıkan tehditler için Fusion hakkında daha fazla bilgi.

Ayrıca Fusion analiz kuralı artık daha yapılandırılabilir veartan işlevselliğini yansıtıyor.

Analiz kurallarınız için ince ayar önerileri edinin (Genel önizleme)

SIEM'inizin tehdit algılama kurallarında hassas ayarlamalar yapmak, tehdit algılama kapsamınızı en üst düzeye çıkarmak ve hatalı pozitif oranları en aza indirmek arasında zor, şüpheli ve sürekli bir dengeleme işlemi olabilir. Microsoft Sentinel, makine öğrenmesini kullanarak bu süreci basitleştirerek veri kaynaklarından gelen milyarlarca sinyali ve zaman içinde olaylara yanıtlarınızı analiz eder, desenleri azaltır ve ayarlama ek yüklerinizi önemli ölçüde azaltan eyleme değiştirilebilir öneriler ve içgörüler sağlar ve gerçek tehditleri algılamaya ve yanıtlamaya odaklanmanıza olanak sağlar.

Ayarlama önerileri ve içgörüleri artık analiz kurallarınıza göre yerleşik olarak yer almaktadır.

Ücretsiz deneme güncelleştirmeleri

Microsoft Sentinel'in ücretsiz deneme sürümü, yeni veya mevcut Log Analytics çalışma alanlarını ilk 31 gün boyunca ek ücret ödemeden desteklemeye devam eder. Geçerli ücretsiz deneme deneyimimizi aşağıdaki güncelleştirmeleri içerecek şekilde geliştiriyoruz:

  • Yeni Log Analytics çalışma alanları, ilk 31 gün boyunca günlük verilerini ücretsiz olarak 10 GB'a kadar alır. Yeni çalışma alanları üç günlük çalışma alanlarını içerir.

    Hem Log Analytics veri alımı hem de Microsoft Sentinel ücretleri 31 günlük deneme süresi boyunca kullanımdan feragat edildi. Bu ücretsiz deneme sürümü, Azure kiracısı başına 20 çalışma alanı sınırına tabi olur.

  • Mevcut Log Analytics çalışma alanları, Microsoft Sentinel'i ek ücret ödemeden etkinleştirebilirsiniz. Mevcut çalışma alanları üç gün önce oluşturulan tüm çalışma alanlarını içerir.

    Yalnızca Microsoft Sentinel ücretleri 31 günlük deneme süresi boyunca geri gönderilir.

Bu sınırları aşan kullanımlar, Microsoft Sentinel fiyatlandırma sayfasında listelenen fiyatlandırmaya göre ücretlendirmeye tabidir. Otomasyon ve kendi makine öğrenmesi özellikleriyle ilgili ek ücretler, ücretsiz deneme sırasında yine de geçerlidir.

İpucu

Ücretsiz denemeniz sırasında, Microsoft Sentinel'in Ücretsiz deneme sekmesindeki Haber & kılavuzlarında > yönetimi, eğitimi ve daha fazlası için kaynakları bulun. Bu sekmede ücretsiz deneme sürenizin tarihleri ve süresi dolana kadar kaç gün ayrıldığınız hakkında ayrıntılar da görüntülenir.

Daha fazla bilgi için bkz. Microsoft Sentinel için maliyetleri planlama ve yönetme.

İçerik hub'ı ve yeni çözümler (Genel önizleme)

Microsoft Sentinel artık Microsoft Sentinel'i hazır (yerleşik) içerik ve çözümleri bulmak ve Microsoft Sentinel çalışma alanınıza dağıtmak için merkezi bir konum olan bir İçerik hub'ı sağlar. İçerik türünü, destek modellerini, kategorileri ve daha fazlasını filtreleerek ihtiyacınız olan içeriği bulun veya güçlü metin aramalarını kullanın.

İçerik yönetimi altında İçerik hub'ı'ı seçin. Sağdan daha fazla ayrıntı görüntülemek için bir çözüm seçin ve ardından Yükle'ye tıklar ve çalışma alanınıza yükleyin.

Yeni Microsoft Sentinel içerik hub'larının ekran görüntüsü.

Aşağıdaki liste, İçerik hub'larına eklenen yeni ve ilk çözümlerden öne çıkanları içerir:

  • Microsoft Sentinel Eğitim Laboratuvarı
  • Cisco ASA
  • Cisco Duo Security
  • Cisco Meraki
  • CiscoWatch
  • Dijital Koruyucu
  • 365 Dynamics
  • GCP Bulut DNS
  • GCP CloudMonitor
  • GCP Kimlik ve Erişim Yönetimi
  • Force
  • FireEye NX
  • Flare Systems Firework
  • Forvlut
  • Fortinet Fortigate
  • Imperva Cloud SSS
  • Insiders Risk Management
  • IronNet CyberSecurity Iron Defense
  • Lookout
  • McAfee Ağ Güvenlik Platformu
  • Bulut için Microsoft MITRE ATT&CK Çözümü
  • Palo Alto PAN-OS
  • Rapid7 Nexpose / Insight VM
  • ReversingLabs
  • RSA SecurID
  • Semperis
  • Tenable Nessus Scanner
  • Vectra Stream
  • Sıfır Güven

Daha fazla bilgi için bkz.

İçerik depolarından sürekli dağıtımı etkinleştirme (Genel önizleme)

Yeni Microsoft Sentinel Depoları sayfası, GitHub veya Azure DevOps depolarından özel içeriğinizi yönetme ve dağıtma olanağı sağlar. Bu özellik, özel içeriğinizi Azure portal. Bu özellik, Microsoft Sentinel çalışma alanlarında içerik yönetimi ve dağıtımı için daha kolay ve otomatik bir yaklaşım sunar.

Özel içeriğinizi Microsoft Sentinel dışında korumak için bir dış depoda depolarsanız, artık bu depoyu Microsoft Sentinel çalışma alanınıza bağlanabilirsiniz. Depoda ekle, oluştur veya düzenle içeriği otomatik olarak Microsoft Sentinel çalışma alanlarınıza dağıtılır ve Analytics, Hunting veya Workbooks sayfaları gibi çeşitli Microsoft Sentinel galerilerinden görünür.

Daha fazla bilgi için bkz. Depodan özel içerik dağıtma.

Coğrafi Konum ve WhoIs verileriyle zenginleştirilmiş tehdit bilgileri (Genel önizleme)

Artık veri bağlayıcıları ve mantıksal uygulama playbook'ları aracılığıyla Microsoft Sentinel'e getirdiğimiz veya Microsoft Sentinel'de oluşturtığınız tüm tehdit bilgileri GeoLocation ve WhoIs bilgileriyle otomatik olarak zenginleştirildi.

GeoLocation ve WhoIs verileri, seçilen güvenlik güvenliğinin (IOC) bulunduğu araştırmalarda daha fazla bağlam sağlar.

Örneğin, göstergenin Kuruluş veya Ülke gibi ayrıntıları bulmak için GeoLocation verilerini ve Kayıt Şirketi ve Kayıt oluşturma verileri gibi verileri bulmak için WhoIs verilerini kullanın.

Microsoft Sentinel'e aktarmış olduğunuz her güvenlik tehdidi göstergesi için Tehdit Bilgileri bölmesinde GeoLocation ve WhoIs verilerini görüntüleyebilirsiniz. Sağdan göstergenin ayrıntıları gösterilir. Coğrafi Konum ve WhoIs verileri de dahil olmak üzere.

Örnek:

GeoLocation ve WhoIs verileri de dahil olmak üzere gösterge ayrıntılarının ekran görüntüsü.

İpucu

Coğrafi Konum ve WhoIs bilgileri, API aracılığıyla da erişilen Microsoft Tehdit Zekası hizmetlerinden gelir. Daha fazla bilgi için bkz. API aracılığıyla coğrafi konum verileriyle varlıkları zenginleştirme.

Daha fazla bilgi için bkz.

Microsoft Sentinel'de Azure Synapse Analytics not defterlerini kullanma (Genel önizleme)

Microsoft Sentinel, büyük ölçekli güvenlik analizi senaryoları için Jupyter not Azure Synapse ile tümleştirildi.

Şimdiye kadar Microsoft Sentinel'de Jupyter not defterleri, Azure Machine Learning. Bu işlevsellik, not defterlerini, popüler açık kaynak makine öğrenmesi araç setlerini ve TensorFlow gibi kitaplıkları ve kendi özel modellerini güvenlik iş akışlarına eklemek isteyen kullanıcıları destekler.

Yeni Azure Synapse tümleştirmesi aşağıdakiler gibi ek analiz gücü sağlar:

  • Maliyet için iyileştirilmiş, tam olarak yönetilen ve işlem havuzunu kullanan Azure Synapse Apache Spark analizi.

  • Azure Blob Depolama'nın üzerine inşa edilen büyük veri analizine ayrılmış bir dizi özellik olan Azure Data Lake Depolama 2. Nesil aracılığıyla geçmiş veriler üzerinde analizler oluşturmak için uygun maliyetli Data Lake Depolama.

  • Birden çok kaynak ve biçime sahip veri kaynaklarını güvenlik işlemi iş akışlarıyla tümleştirebilirsiniz.

  • Spark çerçevesini Python ile birlikte kullanmaya yönelik Python tabanlı bir API olan PySpark, Python'ı zaten biliyorsanız yeni bir programlama dili öğrenme ihtiyacı azaltmaktadır.

Bu tümleştirmeyi desteklemek için, doğrudan Microsoft Sentinel'den bir Azure Synapse çalışma alanı oluşturma ve başlatma olanağı ekledik. Ayrıca Azure Synapse ortamını yapılandırma, Log Analytics'den Azure Data Lake Depolama'ye sürekli veri dışarı aktarma işlem hattı ayarlama ve ardından bu verileri büyük ölçekte avlama adımlarında size rehberlik eden yeni örnek not defterleri ekledik.

Daha fazla bilgi için bkz. Not defterlerini Azure Synapse.

Microsoft Sentinel'de gelişmiş Not Defterleri alanı

Microsoft Sentinel'in Not Defterleri alanında artık not defterleri hakkında temel bilgileri bulabilirsiniz bir Genel Bakış sekmesi ve görüntülenen her not defterinin türünü belirtmek için Şablonlar sekmesinde yeni bir Not Defteri türleri sütunu vardır. Örneğin, not defterlerinde Başlarken , Yapılandırma, Avlanma ve şimdi Synapse türleri olabilir.

Örnek:

Not Defterleri sayfasında Azure Synapse yeni uygulama işlevinin ekran görüntüsü.

Daha fazla bilgi için bkz. Güvenlik tehditlerini avlamak için Jupyter not defterlerini kullanma.

Microsoft Sentinel yeniden

Kasım 2021'den başlayarak, Azure Sentinel Microsoft Sentinel olarak yeniden adlandırıldı ve portalda, belgelerde ve diğer kaynaklarda paralel olarak gelecek güncelleştirmeler göreceğiz.

Bu makaledeki önceki girişler ve Sentinel'de yeni olan yeni özelliklere ait olan eski Arşiv, Azure Sentinel adını kullanmaya devam eder.

Daha fazla bilgi için son güvenlik geliştirmeleri blog sayfamıza bakın.

Azure Sentinel ile honeytokens Azure Key Vault dağıtma ve izleme

Yeni Azure Sentinel Yanılgı çözümü, seçili Azure anahtar kasalarına honeytokens adı verilen kod çözme anahtarları ve gizli dizileri dağıtmanıza yardımcı olarak anahtar kasalarınıza kötü amaçlı etkinlikleri izlemenize yardımcı olur.

Dağıtıldıktan sonra, honeytoken anahtarları ve gizli dizileri olan herhangi bir erişim veya işlem, bu anahtarlarla ilgili araştırma Azure Sentinel.

Honeytoken anahtarlarını ve gizli dizilerini kullanmak için bir neden yoktur, çalışma alanınıza benzer etkinlikler kötü amaçlı olabilir ve araştırılması gerekir.

Azure Sentinel Deception çözümü, honeytoken'ları büyük ölçekte veya tek tek dağıtmanıza yardımcı olacak bir çalışma kitabı, oluşturulan honeytoken'ları izlemek için izleme listeleri ve gerektiğinde olaylar oluşturmak için analiz kuralları içerir.

Daha fazla bilgi için bkz. Azure Key Vault (Genel önizleme) ile Azure Sentinelve izleme.

Ekim 2021

Windows Güvenliği Ga'da Azure İzleyici Aracısı kullanan olaylar bağlayıcısı

Azure İzleyici Agent'a dayalı Windows Güvenliği Events bağlayıcısı yeni sürümü genel kullanıma sunulmaktadır! Daha fazla Bağlan için Windows toplamak için bkz. Sunuculara erişim ve güvenlik olaylarını toplama.

Office 365 için Defender artık Microsoft 365 Defender bağlayıcıda kullanılabilir (Genel önizleme)

Uç Nokta için Microsoft Defender'dan gelenlere ek olarak, artık Microsoft 365 Defender bağlayıcısı aracılığıyla işlenmemiş gelişmiş avlanma olaylarını Office 365 için Microsoft Defender'dan da Microsoft 365 Defender. Daha fazla bilgi edinin.

Playbook şablonu, gereksinimlerinizi karşılayacak şekilde özelleştirebileceğiniz, önceden yerleşik, test edilmiş ve kullanıma hazır bir iş akışıdır. Şablonlar ayrıca sıfırdan playbook geliştirme konusunda en iyi yöntemlere başvuru olarak veya yeni otomasyon senaryoları için ilham kaynağı olabilir.

Playbook şablonları Sentinel topluluğu, bağımsız yazılım satıcıları (ISV' ler) ve Microsoft'un kendi uzmanları tarafından geliştirilmiştir ve bunları bir Azure Sentinelçözümünün parçası olarak Playbook şablonları sekmesinde veya Azure Sentinel GitHub deposunda bulabilirsiniz.

Daha fazla bilgi için bkz. Yerleşik şablonlardan playbook oluşturma ve özelleştirme.

Zamanlanmış analiz kurallarınız için şablon sürümlerini yönetme (Genel önizleme)

Yerleşik kural şablonlarından analiz kuralları Azure Sentinel,etkili bir şekilde şablonun bir kopyasını oluşturur. Bu noktadan sonra etkin kural, kaynak şablonda yapılan değişikliklerle eşlenecek şekilde dinamik olarak güncelleştirilmez.

Ancak, şablonlardan oluşturulan kurallar, hangi şablonlardan geldiklerini anımsar ve bu da size iki avantaj sağlar:

  • Bir şablondan (veya bundan sonra herhangi bir zamanda) bir kuralda değişiklik yaptıysanız, kuralı her zaman özgün sürümüne (şablonun bir kopyası olarak) geri döndürebilirsiniz.

  • Bir şablon güncelleştirildiğinde size bildirebilir ve kurallarınızı şablonlarının yeni sürümüne güncelleştirme veya olduğu gibi bırakma seçeneğine sahip olursanız.

Bu görevleri nasıl yöneteceklerinive neleri gözlerde tutmaları gerekenleri öğrenin. Bu yordamlar, şablonlardan oluşturulan tüm Zamanlanmış analiz kuralları için geçerlidir.

DHCP normalleştirme şeması (Genel önizleme)

Gelişmiş SIEM Bilgi Modeli (ASIM) artık DHCP sunucusu tarafından bildirilen olayları açıklamak için kullanılan ve kaynak analizi etkinleştirmek için Azure Sentinel tarafından kullanılan bir DHCP normalleştirme şemasını destekliyor.

DHCP normalleştirme şemasında açıklanan olaylar, istemci sistemlerinden kiralanan DHCP IP adresine istekler sunar ve bir DNS sunucusunu verilen kiralamalarla güncelleştirmeyi içerir.

Daha fazla bilgi için bkz.

Eylül 2021

Belgelerde yeni olan: veri bağlayıcısı belgelerini ölçeklendirme

Azure Sentinel için daha fazla yerleşik veri bağlayıcısı eklemeye devam Azure Sentinel, veri bağlayıcısı belgelerimizi bu ölçeklendirmeyi yansıtacak şekilde yeniden düzenledik.

Çoğu veri bağlayıcısı için, tek bir bağlayıcıyı açıklayan tam makaleleri bir dizi genel yordamla ve şu anda desteklenen tüm bağlayıcıların tam başvurusuyla değiştirildi.

Bağlayıcınız Azure Sentinel ilgili genel yordama başvurular ve ek bilgiler ve yapılandırmalar da dahil olmak üzere ayrıntılı bilgi için bağlayıcı veri bağlayıcıları başvurularını kontrol edin.

Daha fazla bilgi için bkz.

Azure Depolama hesabı bağlayıcısı değişiklikleri

Azure hesabı kaynak yapılandırmasında yapılan Depolama nedeniyle bağlayıcının da yeniden yapılandırılması gerekir. Depolama hesabı (üst) kaynağında her depolama türü için diğer (alt) kaynaklar vardır: dosyalar, tablolar, kuyruklar ve bloblar.

Bir depolama hesabı için tanılamayı yapılandırıyorsanız, sırasıyla şunları seçmeniz ve yapılandırmanız gerekir:

  • İşlem ölçümlerini dışarı aktaran üst hesap kaynağı.
  • Alt depolama türü kaynaklarının her biri, tüm günlükleri ve ölçümleri dışarı aktarıyor (yukarıdaki tabloya bakın).

Yalnızca gerçekten kaynak tanımlandığı depolama türlerini gösterirsiniz.

Azure Depolama yapılandırmasının ekran görüntüsü.

Ağustos 2021

Gelişmiş olay arama (Genel önizleme)

Varsayılan olarak, olay aramaları yalnızca Olay Kimliği, Başlık, Etiketler, Sahip ve Ürün adı değerleri arasında çalıştırılmaktadır. Azure Sentinel artık uyarı ayrıntıları, açıklamalar, varlıklar, taktikler ve daha fazlası dahil olmak üzere daha fazla veride arama yapmak için gelişmiş arama seçenekleri sağlar.

Örnek:

Olaylar sayfasının gelişmiş arama seçeneklerinin ekran görüntüsü.

Daha fazla bilgi için bkz. Olayları arama.

Fidye yazılımı için Fusion algılama (Genel önizleme)

Azure Sentinel, olası Fidye Yazılımı etkinlikleri için yeni Fusion algılamaları sağlar ve algılanan Fidye Yazılımı etkinliğiyle ilgili birden çok uyarı olarak başlıklı olaylar oluşturabilir.

Olaylar, fidye yazılımı etkinlikleriyle, belirli bir zaman diliminde ortaya çıkarlar ve bir saldırının Yürütme ve SavunmaDan Kurtulma aşamalarıyla ilişkilendirilen uyarılar için oluşturulur. Saldırganların bir ana bilgisayarı/cihazı tehlikeye atarak ve algılamadan kaçarak kullanma ihtimali olan teknikleri analiz etmek için olayda listelenen uyarıları kullanabilirsiniz.

Desteklenen veri bağlayıcıları şunlardır:

Daha fazla bilgi için bkz. Fidye yazılımı etkinliğiyle ilgili birden çok uyarı algılandı.

UEBA verileri için izleme listesi şablonları (Genel önizleme)

Azure Sentinel artık UEBA verileri için ortamınız için özelleştirebileceğiniz ve araştırma sırasında kullanabileceğiniz yerleşik izleme listesi şablonları sağlar.

UEBA izleme listeleri verilerle doldurulduğunda, bu verileri analiz kurallarıyla arasında ilişki oluşturabilir, varlık sayfalarında ve araştırma graflarında içgörü olarak görüntüleyin, VIP veya hassas kullanıcıları izlemek gibi özel kullanımlar oluşturabilirsiniz.

İzleme listesi şablonları şu anda şunları içerir:

  • VIP Kullanıcıları. Kuruluşta yüksek etki değerine sahip çalışanların kullanıcı hesaplarının listesi.
  • Sonlandırılan Çalışanlar. Sonlandırılan veya sonlandırılacak olan çalışanların kullanıcı hesaplarının listesi.
  • Hizmet Hesapları. Hizmet hesaplarının ve sahiplerinin listesi.
  • Kimlik Bağıntısı. Aynı kişiye ait olan ilgili kullanıcı hesaplarının listesi.
  • Yüksek Değerli Varlıklar. Kuruluşta kritik değere sahip cihazların, kaynakların veya diğer varlıkların listesi.
  • Ağ Eşlemesi. IP alt ağlarının ve ilgili kuruluş bağlamlarının listesi.

Daha fazla bilgi için bkz. Şablon ve Yerleşik izleme listesi şemaları kullanarak yeni izleme listesi oluşturma.

Dosya Olayı normalleştirme şeması (Genel önizleme)

Azure Sentinel Bilgi Modeli (ASIM) artık dosya veya belge oluşturma, değiştirme veya silme gibi dosya etkinliğini açıklamak için kullanılan Bir Dosya Olayı normalleştirme şemasını destekliyor. Dosya olayları işletim sistemleri, Azure Dosyalar gibi dosya depolama sistemleri ve Microsoft SharePoint gibi belge yönetim sistemleri tarafından rapor SharePoint.

Daha fazla bilgi için bkz.

Belgelerde yeni: En iyi yöntem kılavuzu

Müşterilerden ve destek ekiplerimizin birden çok isteğine yanıt olarak belgelerimize bir dizi en iyi yöntem kılavuzu ekledik.

Daha fazla bilgi için bkz.

İpucu

Belgelerimize eklenen daha fazla kılavuzu ilgili kavramsal ve nasıl uzlaştırma makalelerinde bulabilirsiniz. Daha fazla bilgi için bkz. En iyi yöntem başvuruları.

Temmuz 2021

Microsoft Threat Intelligence Matching Analytics (Genel önizleme)

Azure Sentinel artık Microsoft tarafından oluşturulan tehdit bilgileri verileriyle günlüklerinizi eşleştiren yerleşik Microsoft Tehdit Bilgileri Eşleştirme Analizi kuralını sağlar. Bu kural, algılanan günlüklerin bağlamına bağlı olarak uygun önemliliklerle yüksek uygunlukta uyarılar ve olaylar üretir. Eşleşme algılandığında gösterge, tehdit Azure Sentinel depoda yayımlanır.

Microsoft Threat Intelligence Matching Analytics kuralı şu anda etki alanı göstergelerini aşağıdaki günlük kaynaklarıyla eşler:

Daha fazla bilgi için bkz. Eşleşen analizi kullanarak tehditleri algılama (Genel önizleme).

Azure AD verilerini Azure Sentinel IdentityInfo tablosuyla kullanma (Genel önizleme)

Saldırganlar genellikle kuruluşun kendi kullanıcı ve hizmet hesaplarını kullansa da, kullanıcı belirleme ve ayrıcalıklar da dahil olmak üzere bu kullanıcı hesaplarıyla ilgili veriler, araştırma sürecinde analistler için kritik önem taşır.

Artık, Azure Sentinel çalışma alanınıza UEBA'nın etkinleştirilmesi, Azure AD verilerini Log Analytics'te yeni IdentityInfo tablosuyla eşitler. Azure AD'niz ile IdentifyInfo tablosu arasındaki eşitlemeler, kullanıcı meta verileri, grup bilgileri ve her kullanıcıya atanan Azure AD rollerini içeren kullanıcı profili verilerinizin anlık görüntüsünü oluşturun.

Hatalı pozitifleri azaltmak için, araştırma sırasında ve kurum için analiz kurallarında ince ayar yapmak üzere IdentityInfo tablosu kullanın.

Daha fazla bilgi için, ueba zenginleştirmeleri başvurusunda ıdentityınfo tablosuna bakın ve Hatalı pozitif sonuçları çözümlemek için ueba verilerini kullanın.

API aracılığıyla coğrafi konum verileri içeren varlıkları zenginleştirme (Genel Önizleme)

Azure Sentinel artık verilerinizi coğrafi konum bilgileriyle zenginleştirmek için bir API sunmaktadır. Coğrafi konum verileri, güvenlik olaylarını çözümlemek ve araştırmak için kullanılabilir.

Daha fazla bilgi için bkz. Azure Sentinel 'de coğrafi konum verileri ile REST API (Genel Önizleme) aracılığıyla zengin varlıklar ve Azure Sentinel 'de varlıkları kullanarak verileri sınıflandırma ve çözümleme.

ADX çapraz kaynak sorguları desteği (Genel Önizleme)

Azure Sentinel 'de arama deneyimi artık ADX çapraz kaynak sorgularınıdesteklemektedir.

Log Analytics Azure Sentinel ile analiz yapmak için birincil veri depolama konumu kalsa da, maliyet, bekletme dönemleri veya diğer faktörlere bağlı olarak veri depolamak için ADX 'in gerekli olduğu durumlar vardır. Bu özellik, müşterilerin daha geniş bir veri kümesini ele almasını ve sorguları, canlı akışıve Log Analytics arama sayfasını kapsayan Azure Sentinel araştırma deneyimlerindesonuçları görüntülemesini sağlar.

ADX kümelerinde depolanan verileri sorgulamak için ADX () işlevini kullanarak ADX kümesini, veritabanı adını ve istenen tabloyu belirtin. Daha sonra çıktıyı diğer tablolar gibi sorgulayabilirsiniz. Yukarıdaki sayfalarda daha fazla bilgi görüntüleyin.

Watchlists genel kullanıma hazır

Watchlists özelliği artık genel kullanıma sunulmuştur. Watchlists kullanarak, erişim olaylarının denetlenmesi için gereken allowlists veya blocklists oluşturmak ve tehditleri araştırmak ve uyarı kullanımını azaltmak için kullanın.

Daha fazla coğrafyalar 'ta veri yerleşimi desteği

Azure Sentinel artık aşağıdaki ek geos 'daki tam veri fazlalığını desteklemektedir:

Brezilya, Norveç, Güney Afrika, Kore, Almanya, Birleşik Arap Emirlikleri (UAE) ve Isviçre.

Veri yerleşimi için desteklenen coğrafyalar listesinin tamamına bakın.

Azure Defender Bağlayıcısı 'nda çift yönlü eşitleme (Genel Önizleme)

Azure Defender Bağlayıcısı artık, Defender ve Azure Sentinel arasında uyarıların durumunu iki yönlü eşitlemeye desteklemektedir. Bir Defender uyarısı içeren bir Sentinel olayını kapattığınızda, uyarı otomatik olarak Defender portalında da kapatılır.

Güncelleştirilmiş Azure Defender bağlayıcısının bu açıklamasınıinceleyin.

Haziran 2021

Normalleştirme ve Azure Sentinel bilgi modeli için yükseltmeler

Azure Sentinel bilgi modeli, Azure Sentinel çalışma alanınızdaki verilerin analizinizi basitleştirecek ve kaynak belirsiz içerik oluşturmanıza olanak sağlar.

Bu ayın güncelleştirmesinde, yeni ayrıntı düzeyleri ve tam DNS, işlem olayı ve kimlik doğrulama normalleştirme şemaları sağlayan normalleştirme belgelerimizi geliştirdik.

Daha fazla bilgi için bkz.

Hizmetten hizmete bağlayıcılar güncelleştirildi

En çok kullanılan bağlayıcılarımızın ikisi de büyük yükseltmelerin lehdarlarından oluşur.

Yükseltmeler otomatik değildir. Bu bağlayıcıların kullanıcılarına yeni sürümleri etkinleştirmeleri önerilir.

Analiz kurallarını dışarı ve içeri aktarma (Genel Önizleme)

Artık analiz kurallarınızı JSON biçimindeki Azure Resource Manager (ARM) şablon dosyalarına aktarabilir ve Azure Sentinel dağıtımlarınızı kod olarak yönetme ve denetleme işleminin bir parçası olarak bu dosyalardaki kuralları içeri aktarabilirsiniz. Herhangi bir analiz kuralı türü-henüz zamanlanmamış -ARM şablonuna aktarılabilir. Şablon dosyası, kendi sorgusundan atanan MITRE yeniden ATT&CK tactika 'e kadar tüm kuralın bilgilerini içerir.

Daha fazla bilgi için bkz. ARM şablonlarına ve içindeki analiz kurallarını dışarı ve içeriaktarma.

Uyarı zenginleştirme: Uyarı ayrıntıları (Genel Önizleme)

Varlık eşleme ve özel ayrıntılarla birlikte uyarı içeriğinizi zenginleştirmenin yanı sıra, artık uyarıları özel olarak uyarlayabilirsiniz ve bu sayede olaylar, belirli içeriklerine göre sunulur ve görüntülenir. Diğer uyarı zenginleştirme özelliklerine benzer şekilde, analiz kuralı sihirbazındayapılandırılabilir.

Daha fazla bilgi için bkz. Azure Sentinel 'de uyarı ayrıntılarını özelleştirme.

Playbooks için daha fazla yardım!

İki yeni belge başlamanıza veya PlayBook 'lar oluşturma ve bunlarla çalışmaya daha rahat bir şekilde başlamanıza yardımcı olabilir.

  • PlayBook 'ları Azure Sentinel 'e doğrulamak , Logic Apps tabanlı PlayBook 'ları 'ın Azure Sentinel 'deki bilgilere bağlanıp bunların her birini kullanmak için uygun olduğu farklı kimlik doğrulama yöntemlerini anlamanıza yardımcı olur.
  • PlayBook 'lar içindeki Tetikleyiciler ve eylemler ' i kullanarak, olay tetikleyicisi ile uyarı tetikleyicisi ve ne zaman kullanılacağı arasındaki fark açıklanmakta ve özel ayrıntılarıniçindeki bilgilere nasıl erişebileceğiniz de dahil olmak üzere olaylara yanıt olarak gerçekleştirebileceğiniz farklı eylemlerden bazılarını gösterir.

PlayBook belgeleri Ayrıca çok kiracılı MSSP senaryosuna da açıkça yöneliktir.

Yeni belge yeniden organizasyonu

Bu ay, Azure Sentinel belgelerimiziyeniden düzenleyerek ortak müşteri, neys 'i izleyen sezgisel kategoriler halinde yeniden düzenlendi. Azure Sentinel docs ' de gezinmek için filtrelenmiş belgeler arama ve güncelleştirilmiş giriş sayfasını kullanın.

Yeni Azure Sentinel belgeleri yeniden organizasyonu.

Sonraki adımlar

Yerleşik Azure Sentinel

Uyarılara yönelik görünürlük elde etme