Delen via


Nieuw in Microsoft Sentinel

In dit artikel vindt u een overzicht van recente functies die zijn toegevoegd voor Microsoft Sentinel en nieuwe functies in gerelateerde services die een verbeterde gebruikerservaring bieden in Microsoft Sentinel.

De vermelde functies zijn in de afgelopen drie maanden uitgebracht. Zie onze Tech Community-blogs voor meer informatie over eerdere functies.

Ontvang een melding wanneer deze pagina wordt bijgewerkt door de volgende URL naar uw feedlezer te kopiëren en te plakken: https://aka.ms/sentinel/rss

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

November 2024

Beschikbaarheid van Microsoft Sentinel in de Microsoft Defender-portal

We hebben eerder aangekondigd dat Microsoft Sentinel algemeen beschikbaar is binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel nu beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie voor meer informatie:

September 2024

Schematoewijzing toegevoegd aan de SIEM-migratie-ervaring

Sinds de SIEM-migratie-ervaring algemeen beschikbaar werd in mei 2024, zijn er stabiele verbeteringen aangebracht om uw beveiligingsbewaking vanuit Splunk te migreren. Met de volgende nieuwe functies kunnen klanten meer contextuele informatie geven over hun Splunk-omgeving en het gebruik van de Microsoft Sentinel SIEM-migratieomzettingsengine:

  • Schematoewijzing
  • Ondersteuning voor Splunk-macro's in vertaling
  • Ondersteuning voor Splunk Lookups in vertaling

Zie de SIEM-migratie-ervaring voor meer informatie over deze updates.

Zie de volgende artikelen voor meer informatie over de SIEM-migratie:

Verrijkingswidgets van derden die in februari 2025 buiten gebruik worden gesteld

Met ingang van onmiddellijk kunt u de functie niet meer inschakelen om verrijkingswidgets te maken die gegevens ophalen uit externe gegevensbronnen van derden. Deze widgets worden weergegeven op microsoft Sentinel-entiteitspagina's en op andere locaties waar entiteitsgegevens worden weergegeven. Deze wijziging vindt plaats omdat u de Azure-sleutelkluis die is vereist voor toegang tot deze externe gegevensbronnen niet meer kunt maken.

Als u al verrijkingswidgets van derden gebruikt, dat wil zeggen, als deze sleutelkluis al bestaat, kunt u nog steeds widgets configureren en gebruiken die u niet eerder gebruikte, maar dit wordt niet aanbevolen.

Vanaf februari 2025 worden bestaande verrijkingswidgets die gegevens ophalen uit bronnen van derden, niet meer weergegeven, op entiteitspagina's of ergens anders.

Als uw organisatie verrijkingswidgets van derden gebruikt, raden we u aan deze vooraf uit te schakelen door de sleutelkluis te verwijderen die u voor dit doel hebt gemaakt vanuit de resourcegroep. De naam van de sleutelkluis begint met widgets.

Verrijkingswidgets op basis van externe gegevensbronnen worden niet beïnvloed door deze wijziging en blijven werken zoals voorheen. 'Externe gegevensbronnen' bevatten alle gegevens die al zijn opgenomen in Microsoft Sentinel uit externe bronnen, met andere woorden, alles in tabellen in uw Log Analytics-werkruimte en Microsoft Defender-bedreigingsinformatie.

Abonnementen vooraf aanschaffen nu beschikbaar voor Microsoft Sentinel

Abonnementen vóór aankoop zijn een type Azure-reservering. Wanneer u een abonnement vóór aankoop koopt, krijgt u doorvoereenheden (CA's) met kortingslagen voor een specifiek product. Microsoft Sentinel-doorvoereenheden (SKU's) zijn van toepassing op in aanmerking komende kosten in uw werkruimte. Wanneer u voorspelbare kosten hebt, bespaart u geld door het juiste vooraf gekochte abonnement te kiezen.

Zie Kosten optimaliseren met een vooraf aankoopplan voor meer informatie.

Import/export van automatiseringsregels nu algemeen beschikbaar (GA)

De mogelijkheid om automatiseringsregels te exporteren naar ARM-sjablonen (Azure Resource Manager) in JSON-indeling en om ze te importeren uit ARM-sjablonen, is nu algemeen beschikbaar na een korte preview-periode.

Meer informatie over het exporteren en importeren van automatiseringsregels.

Google Cloud Platform-gegevensconnectors zijn nu algemeen beschikbaar (GA)

De GCP-gegevensconnectors (Google Cloud Platform) van Microsoft Sentinel, op basis van ons Codeless Connector Platform (CCP) zijn nu algemeen beschikbaar. Met deze connectors kunt u logboeken uit uw GCP-omgeving opnemen met behulp van de GCP Pub/Sub-functie:

  • De connector google cloudplatform (GCP) pub/sub auditlogboeken verzamelt audittrails voor toegang tot GCP-resources. Analisten kunnen deze logboeken bewaken om toegangspogingen voor resources bij te houden en potentiële bedreigingen in de GCP-omgeving te detecteren.

  • De Google Cloud Platform (GCP) Security Command Center-connector verzamelt bevindingen van Google Security Command Center, een robuust platform voor beveiliging en risicobeheer voor Google Cloud. Analisten kunnen deze bevindingen bekijken om inzicht te krijgen in het beveiligingspostuur van de organisatie, waaronder assetinventaris en detectie, detectie van beveiligingsproblemen en bedreigingen, en risicobeperking en herstel.

Zie Logboekgegevens van Google Cloud Platform opnemen in Microsoft Sentinel voor meer informatie over deze connectors.

Microsoft Sentinel is nu algemeen beschikbaar (GA) in Azure Israel Central

Microsoft Sentinel is nu beschikbaar in de Azure-regio Israël - centraal , met dezelfde functieset als alle andere commerciële Azure-regio's.

Zie de functieondersteuning van Microsoft Sentinel voor commerciële Azure-clouds en geografische beschikbaarheid en gegevenslocatie in Microsoft Sentinel voor meer informatie.

Augustus 2024

Buitengebruikstelling van Log Analytics-agent

Vanaf 31 augustus 2024 wordt de Log Analytics Agent (MMA/OMS) buiten gebruik gesteld.

Logboekverzameling van veel apparaten en apparaten wordt nu ondersteund door de Common Event Format (CEF) via AMA, Syslog via AMA of aangepaste logboeken via AMA-gegevensconnector in Microsoft Sentinel. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie hebt gebruikt, raden we u aan om te migreren naar de Azure Monitor-agent (AMA).

Zie voor meer informatie:

Automatiseringsregels exporteren en importeren (preview)

Beheer uw Automatiseringsregels voor Microsoft Sentinel als code. U kunt nu uw automatiseringsregels exporteren naar ARM-sjabloonbestanden (Azure Resource Manager) en regels importeren uit deze bestanden, als onderdeel van uw programma om uw Microsoft Sentinel-implementaties als code te beheren en te beheren. Met de exportactie maakt u een JSON-bestand op de downloadlocatie van uw browser, die u vervolgens kunt hernoemen, verplaatsen en anderszins kunt verwerken zoals elk ander bestand.

Het geëxporteerde JSON-bestand is werkruimte-onafhankelijk, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.

Het bestand bevat alle parameters die zijn gedefinieerd in de automatiseringsregel. Regels van elk triggertype kunnen worden geëxporteerd naar een JSON-bestand.

Meer informatie over het exporteren en importeren van automatiseringsregels.

Microsoft Sentinel-ondersteuning in Multitenant-beheer van Microsoft Defender (preview)

Als u Microsoft Sentinel hebt ge onboardd naar het platform voor geïntegreerde beveiligingsbewerkingen van Microsoft, zijn Microsoft Sentinel-gegevens nu beschikbaar met Defender XDR-gegevens in multitenantbeheer van Microsoft Defender. Er wordt momenteel slechts één Microsoft Sentinel-werkruimte per tenant ondersteund in het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft. Microsoft Defender multitenant-beheer toont dus SIEM-gegevens (Security Information and Event Management) uit één Microsoft Sentinel-werkruimte per tenant. Zie Microsoft Defender-beheer met meerdere tenants en Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Premium Microsoft Defender-bedreigingsinformatie-gegevensconnector (preview)

Uw Premium-licentie voor Microsoft Defender-bedreigingsinformatie (MDTI) ontgrendelt nu de mogelijkheid om alle Premium-indicatoren rechtstreeks in uw werkruimte op te nemen. De premium MDTI-gegevensconnector voegt meer toe aan uw opsporings- en onderzoeksmogelijkheden in Microsoft Sentinel.

Zie Bedreigingsinformatie begrijpen voor meer informatie.

Unified AMA-connectors voor syslog-opname

Met de aanstaande buitengebruikstelling van de Log Analytics-agent heeft Microsoft Sentinel de verzameling en opname van syslog-, CEF- en aangepaste logboekberichten samengevoegd in drie gegevensconnectors voor meerdere doeleinden op basis van de Azure Monitor-agent (AMA):

  • Syslog via AMA voor elk apparaat waarvan de logboeken worden opgenomen in de Syslog-tabel in Log Analytics.
  • Common Event Format (CEF) via AMA, voor elk apparaat waarvan de logboeken worden opgenomen in de CommonSecurityLog-tabel in Log Analytics.
  • Nieuw! Aangepaste logboeken via AMA (preview), voor elk van 15 apparaattypen of een niet-vermeld apparaat, waarvan de logboeken worden opgenomen in aangepaste tabellen met namen die eindigen op _CL in Log Analytics.

Deze connectors vervangen bijna alle bestaande connectors voor afzonderlijke typen apparaten en apparaten die tot nu toe bestaan, die zijn gebaseerd op de verouderde Log Analytics-agent (ook wel bekend als MMA of OMS) of de huidige Azure Monitor-agent. De oplossingen die worden geleverd in de inhoudshub voor al deze apparaten en apparaten bevatten nu de drie connectors die geschikt zijn voor de oplossing.* De vervangen connectors worden nu gemarkeerd als 'Afgeschaft' in de galerie met gegevensconnectors.

De gegevensopnamegrafieken die eerder op de connectorpagina van elk apparaat zijn gevonden, zijn nu te vinden in apparaatspecifieke werkmappen die zijn verpakt met de oplossing van elk apparaat.

* Wanneer u de oplossing installeert voor een van deze toepassingen, apparaten of apparaten, om ervoor te zorgen dat de bijbehorende gegevensconnector is geïnstalleerd, moet u Installeren met afhankelijkheden op de oplossingspagina selecteren en vervolgens de gegevensconnector op de volgende pagina markeren.

Zie de volgende artikelen voor de bijgewerkte procedures voor het installeren van deze oplossingen:

Betere zichtbaarheid voor Windows-beveiligingsevenementen

We hebben het schema van de SecurityEvent-tabel uitgebreid die als host fungeert voor Windows-beveiliging gebeurtenissen en nieuwe kolommen hebben toegevoegd om compatibiliteit met de Azure Monitor-agent (AMA) voor Windows (versie 1.28.2) te garanderen. Deze verbeteringen zijn ontworpen om de zichtbaarheid en transparantie van verzamelde Windows-gebeurtenissen te vergroten. Als u geen gegevens in deze velden wilt ontvangen, kunt u een opnametijdtransformatie (bijvoorbeeld project-afwezig) toepassen om ze te verwijderen.

Nieuw bewaarplan voor hulplogboeken (preview)

Met het nieuwe retentieplan voor hulplogboeken voor Log Analytics-tabellen kunt u grote hoeveelheden logboeken met grote volumes opnemen met aanvullende waarde voor beveiliging tegen een veel lagere kosten. Hulplogboeken zijn 30 dagen beschikbaar met interactieve retentie, waarin u eenvoudige query's met één tabel kunt uitvoeren, zoals het samenvatten en aggregeren van de gegevens. Na die periode van 30 dagen worden aanvullende logboekgegevens op de lange termijn bewaard, die u kunt definiëren voor maximaal 12 jaar, tegen zeer lage kosten. Met dit plan kunt u ook zoektaken uitvoeren op de gegevens in langetermijnretentie, waarbij alleen de records worden geëxtraheerd die u naar een nieuwe tabel wilt extraheren die u kunt behandelen als een gewone Log Analytics-tabel, met volledige querymogelijkheden.

Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over hulplogboeken en vergelijken met analytics-logboeken.

Zie tabelplannen in het overzichtsartikel over Azure Monitor-logboeken in de Documentatie van Azure Monitor voor meer gedetailleerde informatie over de verschillende logboekbeheerplannen.

Samenvattingsregels maken in Microsoft Sentinel voor grote gegevenssets (preview)

Microsoft Sentinel biedt nu de mogelijkheid om dynamische samenvattingen te maken met behulp van Overzichtsregels van Azure Monitor, waarmee grote sets gegevens op de achtergrond worden samengevoegd voor een soepelere beveiligingsbewerking in alle logboeklagen.

  • Resultaten van toegangsoverzichtsregels via Kusto-querytaal (KQL) voor detectie-, onderzoek-, opsporings- en rapportageactiviteiten.
  • Voer KQL-query's (High Performance Kusto-querytaal) uit op samengevatte gegevens.
  • Gebruik samenvattingsregelresultaten voor langere perioden in onderzoeken, opsporing en nalevingsactiviteiten.

Zie Microsoft Sentinel-gegevens aggregeren met samenvattingsregels voor meer informatie.

Volgende stappen