Microsoft Sentinel 的新功能
本文列出 Microsoft Sentinel 新增的最新功能,以及提供 Microsoft Sentinel 增強使用者體驗的相關服務新功能。
列出的功能在過去三個月中發行。 如需先前傳遞功能的相關信息,請參閱我們的 技術社群部落格。
複製以下 URL 並在您的摘要讀取程式中貼上,以在此頁面更新時接收通知:https://aka.ms/sentinel/rss
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
2024 年 5 月
使用 SOC 優化將安全性作業優化 (預覽)
Microsoft Sentinel 現在提供 SOC 優化,這是高逼真度且可採取動作的建議,可協助您找出可降低成本、不影響 SOC 需求或涵蓋範圍的區域,或您可以在其中新增安全性控件和數據,其中發現遺失安全性控件和數據。
使用SOC優化建議可協助您關閉特定威脅的涵蓋範圍差距,並加強對未提供安全性價值之數據的擷取率。 SOC 優化可協助您優化 Microsoft Sentinel 工作區,而不需要您的 SOC 小組花時間進行手動分析和研究。
如果您的工作區已上線至統一安全性作業平臺,Microsoft Defender 入口網站中也會提供SOC優化。
如需詳細資訊,請參閱
2024 年 4 月
- Microsoft Defender 入口網站中的統一安全性作業平臺 (預覽)
- Microsoft Sentinel 現已正式推出 Azure China 21Vianet
- 兩個異常偵測已停止
- Microsoft Sentinel 現已在義大利北部地區提供
Microsoft Defender 入口網站中的統一安全性作業平臺 (預覽)
Microsoft Defender 入口網站中的統一安全性作業平臺現已推出。 此版本將 Microsoft Sentinel、Microsoft Defender 全面偵測回應 和 Microsoft Copilot 在 Microsoft Defender 中的完整功能結合在一起。 如需詳細資訊,請參閱以下資源:
- 部落格公告:使用 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 整合安全性作業平臺
- Microsoft Defender 入口網站中的 Microsoft Sentinel
- 連線 Microsoft Sentinel Microsoft Defender 全面偵測回應
- Microsoft Defender XDR 中的 Microsoft Security Copilot
Microsoft Sentinel 現已正式推出 Azure China 21Vianet
Microsoft Sentinel 現已正式推出於 Azure China 21Vianet。 個別功能可能仍處於公開預覽狀態,如 Azure 商業/其他雲端的 Microsoft Sentinel 功能支援所列出。
如需詳細資訊,請參閱 Microsoft Sentinel 中的地理可用性和數據落地。
兩個異常偵測已停止
自 2024 年 3 月 26 日起,下列異常偵測因結果品質低而停止:
- 網域信譽 Palo Alto 異常
- 透過 Palo Alto GlobalProtect 單一天內的多區域登入
如需異常偵測的完整清單,請參閱 異常參考頁面。
Microsoft Sentinel 現已在義大利北部地區提供
Microsoft Sentinel 現已在義大利北部 Azure 區域中提供,其功能集與所有其他 Azure 商業區域相同,如 Azure 商業/其他雲端的 Microsoft Sentinel 功能支援所列出。
如需詳細資訊,請參閱 Microsoft Sentinel 中的地理可用性和數據落地。
2024 年 3 月
- SIEM 移轉體驗現已正式推出 (GA)
- Amazon Web Services S3 連接器現已正式推出 (GA)
- 無程式代碼 連線 器產生器 (預覽)
- 以 Azure 監控器代理程式為基礎的 Syslog 和 CEF 資料連接器現已正式推出 (GA)
SIEM 移轉體驗現已正式推出 (GA)
在本月初,我們宣佈 SIEM 移轉預覽。 現在在月底,它已經是 GA! 新的 Microsoft Sentinel 移轉體驗可協助客戶和合作夥伴將非 Microsoft 產品中裝載的安全性監視使用案例移轉至 Microsoft Sentinel 的程式自動化。
- 此工具的第一個版本支援從Splunk移轉
如需詳細資訊,請參閱 使用 SIEM 移轉體驗移轉至 Microsoft Sentinel
加入我們的安全性社群,以在 2024 年 5 月 2 日展示 SIEM 移轉體驗。
Amazon Web Services S3 連接器現已正式推出 (GA)
Microsoft Sentinel 已將 AWS S3 數據連接器發行至正式運作(GA)。 您可以使用此連接器,透過 S3 貯體和 AWS 的簡單消息佇列服務,將記錄從數個 AWS 服務擷取至 Microsoft Sentinel。
在此版本中,此連接器的設定已稍微變更 Azure 商業雲端客戶。 AWS 的使用者驗證現在已使用 OpenID 連線 (OIDC) Web 身分識別提供者來完成,而不是透過 Microsoft Sentinel 應用程式識別碼搭配客戶工作區識別符。 現有的客戶可以暫時繼續使用其目前的設定,並會在需要進行任何變更之前收到通知。
若要深入瞭解 AWS S3 連接器,請參閱將 Microsoft Sentinel 連線 至 Amazon Web Services 以內嵌 AWS 服務記錄數據
無程式代碼連接器產生器 (預覽)
我們現在有一個活頁簿,可協助流覽部署無程式代碼連接器平臺 (CCP) 數據連接器之 ARM 範本所涉及的複雜 JSON。 使用無程式代碼連接器產生 器的 易記介面來簡化您的開發。
如需詳細資訊,請參閱我們的部落格文章:使用無程式代碼 連線 or Builder 建立無程式代碼 連線 器(預覽)。
如需 CCP 的詳細資訊,請參閱建立 Microsoft Sentinel 的無程式代碼連接器(公開預覽版)。
以 Azure 監控器代理程式為基礎的 Syslog 和 CEF 資料連接器現已正式推出 (GA)
Microsoft Sentinel 已根據 Azure 監視器代理程式 (AMA) 發行兩個數據連接器,正式推出。 您現在可以使用這些連接器,將數據收集規則 (DCR) 部署到已安裝 Azure 監視器的機器,以收集 Syslog 訊息,包括一般事件格式 (CEF) 的訊息。
若要深入瞭解 Syslog 和 CEF 連接器,請參閱 使用 Azure 監視器代理程式擷取 Syslog 和 CEF 記錄。
2024 年 2 月
- 適用於 Microsoft Power Platform 預覽版的 Microsoft Sentinel 解決方案
- 內嵌安全性命令中心結果的新 Google Pub/子連接器 (預覽)
- 事件工作現已正式推出(GA)
- AWS 和 GCP 資料連接器現在支援 Azure Government 雲端
- 透過 AMA 連接器的 Windows DNS 事件現已正式推出 (GA)
適用於 Microsoft Power Platform 預覽版的 Microsoft Sentinel 解決方案
適用於 Power Platform 的 Microsoft Sentinel 解決方案(預覽版)可讓您監視和偵測 Power Platform 環境中的可疑或惡意活動。 解決方案會從不同的Power Platform元件和清查數據收集活動記錄。 它會分析這些活動記錄,以偵測威脅和可疑活動,例如下列活動:
- 從未經授權的地理位置執行Power Apps
- Power Apps 的可疑數據損毀
- 大量刪除Power Apps
- 透過Power Apps進行網路釣魚攻擊
- 離職員工的Power Automate流程活動
- 新增至環境的 Microsoft Power Platform 連接器
- 更新或移除 Microsoft Power Platform 數據外洩防護原則
在 Microsoft Sentinel 內容中樞尋找此解決方案。
如需詳細資訊,請參閱
- 適用於 Microsoft Power Platform 的 Microsoft Sentinel 解決方案概觀
- 適用於 Microsoft Power Platform 的 Microsoft Sentinel 解決方案:安全性內容參考
- 部署 Microsoft Power Platform 的 Microsoft Sentinel 解決方案
內嵌安全性命令中心結果的新 Google Pub/子連接器 (預覽)
您現在可以使用新的Google Cloud Platform(GCP) Pub/Sub 型連接器,從Google Security 命令中心內嵌記錄(現在為預覽版)。
Google Cloud Platform (GCP) 安全性命令中心是 Google Cloud 的強大安全性和風險管理平臺。 它提供資產清查和探索、弱點和威脅偵測,以及風險降低和補救等功能。 這些功能可協助您深入瞭解及控制組織的安全性狀態和數據攻擊面,並增強您有效率地處理與結果和資產相關的工作的能力。
與 Microsoft Sentinel 整合可讓您從「單一玻璃窗格」檢視及控制整個多重雲端環境。
- 瞭解如何 從Google Security Command Center 設定新的連接器 和內嵌事件。
事件工作現已正式推出(GA)
事件工作可協助您標準化事件調查和回應做法,以便更有效地管理事件工作流程,現已在 Microsoft Sentinel 中正式推出 (GA)。
在 Microsoft Sentinel 檔中深入瞭解事件工作:
請參閱 Benji Kovacevic 的這篇部落格文章,其中說明如何搭配關注清單、自動化規則和劇本使用事件工作,以建置具有兩個部分的工作管理解決方案:
- 事件工作的存放庫。
- 根據事件標題自動將工作附加至新建立事件的機制,並將工作指派給適當的人員。
AWS 和 GCP 資料連接器現在支援 Azure Government 雲端
適用於 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的 Microsoft Sentinel 數據連接器現在包含支援設定,以將數據內嵌至 Azure Government 雲端中的工作區。
Azure Government 客戶的這些連接器設定與公用雲端設定稍有不同。 如需詳細資訊,請參閱相關文件:
- 將 Microsoft Sentinel 連線至 Amazon Web Services 以內嵌 AWS 服務記錄資料
- 將Google Cloud Platform 記錄數據內嵌至 Microsoft Sentinel
透過 AMA 連接器的 Windows DNS 事件現已正式推出 (GA)
Windows DNS 事件現在可以使用 Azure 監視器代理程式搭配現已正式運作的數據連接器內嵌至 Microsoft Sentinel。 此連接器可讓您定義資料收集規則 (DCR) 和功能強大的複雜篩選,讓您只內嵌所需的特定 DNS 記錄和欄位。
- 如需詳細資訊,請參閱使用 AMA 連接器串流和篩選來自 Windows DNS 伺服器的資料。
2024 年一月
使用分析規則減少 SAP 系統的誤判
將分析規則與適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案搭配使用,以降低從 SAP® 系統觸發的誤判數目。 適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案現在包含下列增強功能:
SAPUsersGetVIP 函式現在支持根據其 SAP 指定的角色或配置檔來排除使用者。
SAP_User_Config監看清單現在支援使用 SAPUser 欄位中的通配符來排除具有特定語法的所有使用者。
如需詳細資訊,請參閱 適用於 SAP® 應用程式資料參考 的 Microsoft Sentinel 解決方案和 在 Microsoft Sentinel 中處理誤判。