O que há de novo no Microsoft Sentinel

Este artigo lista os recursos recentes adicionados ao Microsoft Sentinel e os novos recursos em serviços relacionados que fornecem uma experiência de usuário aprimorada no Microsoft Sentinel. Para obter novos recursos na plataforma de operações de segurança unificadas (SecOps) da Microsoft, consulte a documentação da plataforma unificada SecOps.

Os recursos listados foram lançados nos últimos três meses. Para obter informações sobre os recursos anteriores fornecidos, consulte nossos blogs da Comunidade Técnica.

Seja notificado quando esta página for atualizada copiando e colando o seguinte URL no seu leitor de feeds: https://aka.ms/sentinel/rss

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Dezembro de 2024

• Nova recomendação de otimização de SOC com base em organizações semelhantes (Preview)
• Implantação sem agente para aplicativos SAP (visualização limitada)
• Pastas de trabalho do Microsoft Sentinel agora disponíveis para exibição diretamente no portal do Microsoft Defender
• Solução unificada Microsoft Sentinel para Microsoft Business Apps
• Nova biblioteca de documentação para a plataforma unificada de operações de segurança da Microsoft
• Novo conector de dados baseado no S3 para logs WAF da Amazon Web Services (visualização)

Nova recomendação de otimização de SOC com base em organizações semelhantes (Preview)

A otimização de SOC agora inclui novas recomendações para adicionar fontes de dados ao seu espaço de trabalho com base na postura de segurança de outros clientes em setores e indústrias semelhantes a você e com padrões de ingestão de dados semelhantes. Adicione as fontes de dados recomendadas para melhorar a cobertura de segurança da sua organização.

Para obter mais informações, consulte Referência de recomendações de otimização SOC.

Implantação sem agente para aplicativos SAP (visualização limitada)

A solução Microsoft Sentinel para aplicativos SAP agora oferece suporte a uma implantação sem agente, usando os próprios recursos da plataforma de nuvem da SAP para fornecer implantação e conectividade simplificadas e sem agente. Em vez de implantar uma máquina virtual e um agente conteinerizado, use o SAP Cloud Connector e suas conexões existentes com sistemas ABAP back-end para conectar seu sistema SAP ao Microsoft Sentinel.

A solução Agentless usa o SAP Cloud Connector e o SAP Integration Suite, que já são familiares para a maioria dos clientes SAP. Isso reduz significativamente os tempos de implantação, especialmente para aqueles menos familiarizados com a administração do Docker, Kubernetes e Linux. Ao usar o SAP Cloud Connector, a solução lucra com configurações já existentes e processos de integração estabelecidos. Isso significa que você não precisa enfrentar desafios de rede novamente, pois as pessoas que executam o SAP Cloud Connector já passaram por esse processo.

A solução Agentless é compatível com SAP S/4HANA Cloud, Private Edition RISE com SAP, SAP S/4HANA on-premises e SAP ERP Central Component (ECC), garantindo a funcionalidade contínua do conteúdo de segurança existente, incluindo deteções, pastas de trabalho e playbooks.

Importante

A solução Agentless do Microsoft Sentinel está em pré-visualização limitada como um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui. O acesso à solução Agentless também requer registro e só está disponível para clientes e parceiros aprovados durante o período de visualização.

Para obter mais informações, consulte:

• Microsoft Sentinel para SAP fica sem agente
• Inscreva-se para a pré-visualização limitada
• Solução Microsoft Sentinel para aplicativos SAP: visão geral da implantação

Pastas de trabalho do Microsoft Sentinel agora disponíveis para exibição diretamente no portal do Microsoft Defender

As pastas de trabalho do Microsoft Sentinel agora estão disponíveis para visualização diretamente no portal do Microsoft Defender com a plataforma de operações de segurança unificada (SecOps) da Microsoft. Agora, no portal do Defender, quando você seleciona Pastas de trabalho de gerenciamento de> ameaças do Microsoft Sentinel>, permanece no portal do Defender em vez de uma nova guia ser aberta para pastas de trabalho no portal do Azure. Continue acessando o portal do Azure somente quando precisar editar suas pastas de trabalho.

As pastas de trabalho do Microsoft Sentinel são baseadas nas pastas de trabalho do Azure Monitor e ajudam você a visualizar e monitorar os dados ingeridos no Microsoft Sentinel. As pastas de trabalho adicionam tabelas e gráficos com análises para seus logs e consultas às ferramentas já disponíveis.

Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel e Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

Solução unificada Microsoft Sentinel para Microsoft Business Apps

O Microsoft Sentinel agora fornece uma solução unificada para Microsoft Power Platform, Microsoft Dynamics 365 Customer Engagement e Microsoft Dynamics 365 Finance and Operations. A solução inclui conectores de dados e conteúdo de segurança para todas as plataformas.

A solução atualizada remove os Dynamics 365 CE Apps e as soluções Dynamics 365 Finance and Operations do hub de conteúdo do Microsoft Sentinel. Os clientes existentes verão que essas soluções são renomeadas para a solução Microsoft Business Applications .

A solução atualizada também remove o conector de dados do Power Platform Inventory. Embora o conector de dados do Power Platform Inventory continue a ser suportado em espaços de trabalho onde já está implantado, ele não está disponível para novas implantações em outros espaços de trabalho.

Para obter mais informações, consulte:

• O que é a solução Microsoft Sentinel para Microsoft Business Apps?

• Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement:

  • Conectar o Microsoft Power Platform e o Microsoft Dynamics 365 Customer Engagement ao Microsoft Sentinel
  • Referência de conteúdo de segurança para Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement

• Finanças e operações do Microsoft Dynamics 365:

  • Implantar a solução Microsoft Sentinel para Dynamics 365 Finance and Operations
  • Referência de conteúdo de segurança para o Dynamics 365 Finance and Operations

Nova biblioteca de documentação para a plataforma unificada de operações de segurança da Microsoft

Encontre documentação centralizada sobre a plataforma unificada SecOps da Microsoft no portal Microsoft Defender. A plataforma unificada SecOps da Microsoft reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR, Microsoft Security Exposure Management e IA generativa no portal Defender. Saiba mais sobre os recursos e funcionalidades disponíveis com a plataforma unificada SecOps da Microsoft e comece a planejar sua implantação.

Novo conector de dados baseado no S3 para logs WAF da Amazon Web Services (visualização)

Ingerir logs do firewall de aplicativos da web (WAF) da Amazon Web Services com o novo conector baseado em S3 do Microsoft Sentinel. Esse conector apresenta, pela primeira vez, uma configuração automatizada rápida e fácil, usando modelos do AWS CloudFormation para a criação de recursos. Envie seus logs do AWS WAF para um bucket do S3, onde nosso conector de dados os recupera e ingere.

Para obter mais detalhes e instruções de configuração, consulte Conectar o Microsoft Sentinel à Amazon Web Services para ingerir logs do AWS WAF.

Novembro de 2024

• Disponibilidade do Microsoft Sentinel no portal do Microsoft Defender

Disponibilidade do Microsoft Sentinel no portal do Microsoft Defender

Anunciamos anteriormente que o Microsoft Sentinel está disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender.

Agora, em pré-visualização, o Microsoft Sentinel está disponível no portal Defender mesmo sem o Microsoft Defender XDR ou uma licença do Microsoft 365 E5. Para obter mais informações, consulte:

• Microsoft Sentinel no portal do Microsoft Defender
• Conectar o Microsoft Sentinel ao portal do Microsoft Defender

Outubro de 2024

• Atualizações para a solução Microsoft Sentinel para Microsoft Power Platform

Atualizações para a solução Microsoft Sentinel para Microsoft Power Platform

A partir de 17 de outubro de 2024, os dados de log de auditoria para Power Apps, Power Platform DLP e Power Platform Connectors são roteados para a PowerPlatformAdminActivity tabela em vez de , PowerAppsActivityPowerPlatformDlpActivity e PowerPlatformConnectorActivity tabelas.

O conteúdo de segurança na solução Microsoft Sentinel para Microsoft Power Platform é atualizado com a nova tabela e esquemas para Power Apps, Power Platform DLP e Power Platform Connectors. Recomendamos que você atualize a solução Power Platform em seu espaço de trabalho para a versão mais recente e aplique os modelos de regra de análise atualizados para se beneficiar das alterações. Para obter mais informações, consulte Instalar ou atualizar conteúdo.

Os clientes que usam conectores de dados preteridos para Power Apps, Power Platform DLP e Power Platform Connectors podem desconectar e remover esses conectores com segurança de seu espaço de trabalho do Microsoft Sentinel. Todos os fluxos de dados associados são ingeridos usando o conector Power Platform Admin Activity.

Para obter mais informações, consulte Centro de mensagens.

• Disponibilidade do Microsoft Sentinel no portal do Microsoft Defender

Setembro de 2024

• Mapeamento de esquema adicionado à experiência de migração do SIEM
• Widgets de enriquecimento de terceiros serão desativados em fevereiro de 2025
• As reservas do Azure agora têm planos de pré-compra disponíveis para o Microsoft Sentinel
• Importação/exportação de regras de automação agora disponíveis ao público em geral (GA)
• Os conectores de dados do Google Cloud Platform agora estão disponíveis para o público em geral (GA)
• Microsoft Sentinel agora disponível ao público em geral (GA) no Azure Israel Central

Mapeamento de esquema adicionado à experiência de migração do SIEM

Desde que a experiência de migração do SIEM se tornou disponível em maio de 2024, melhorias constantes foram feitas para ajudar a migrar seu monitoramento de segurança do Splunk. Os novos recursos a seguir permitem que os clientes forneçam mais detalhes contextuais sobre seu ambiente Splunk e uso para o mecanismo de tradução Microsoft Sentinel SIEM Migration:

• Mapeamento de Esquema
• Suporte para Splunk Macros na tradução
• Suporte para Splunk Lookups na tradução

Para saber mais sobre essas atualizações, consulte Experiência de migração SIEM.

Para obter mais informações sobre a experiência de migração do SIEM, consulte os seguintes artigos:

• Torne-se um ninja do Microsoft Sentinel - seção de migração
• Atualização de migração SIEM - Microsoft Sentinel blog

Widgets de enriquecimento de terceiros serão desativados em fevereiro de 2025

Com efeito imediato, você não pode mais habilitar o recurso para criar widgets de enriquecimento que recuperam dados de fontes de dados externas de terceiros. Esses widgets são exibidos em páginas de entidades do Microsoft Sentinel e em outros locais onde as informações da entidade são apresentadas. Essa alteração está acontecendo porque você não pode mais criar o cofre de chaves do Azure necessário para acessar essas fontes de dados externas.

Se você já usa widgets de enriquecimento de terceiros, ou seja, se esse cofre de chaves já existe, você ainda pode configurar e usar widgets que não estava usando antes, embora não recomendemos fazê-lo.

A partir de fevereiro de 2025, quaisquer widgets de enriquecimento existentes que recuperem dados de fontes de terceiros deixarão de ser exibidos, em páginas de entidades ou em qualquer outro lugar.

Se sua organização usa widgets de enriquecimento de terceiros, recomendamos desativá-los com antecedência, excluindo o cofre de chaves criado para essa finalidade de seu grupo de recursos. O nome do cofre de chaves começa com "widgets".

Os widgets de enriquecimento baseados em fontes de dados originais não são afetados por essa alteração e continuarão a funcionar como antes. As "fontes de dados originais" incluem todos os dados que já foram ingeridos no Microsoft Sentinel de fontes externas, ou seja, qualquer coisa em tabelas no espaço de trabalho do Log Analytics, e o Microsoft Defender Threat Intelligence.

Planos de pré-compra agora disponíveis para o Microsoft Sentinel

Os planos de pré-compra são um tipo de reserva do Azure. Ao comprar um plano de pré-compra, você obtém unidades de confirmação (CUs) em níveis de desconto para um produto específico. As unidades de confirmação (SCUs) do Microsoft Sentinel aplicam-se aos custos elegíveis no seu espaço de trabalho. Quando você tem custos previsíveis, escolher o plano de pré-compra certo economiza dinheiro!

Para obter mais informações, consulte Otimizar custos com um plano de pré-compra.

Importação/exportação de regras de automação agora disponíveis ao público em geral (GA)

A capacidade de exportar regras de automação para modelos do Azure Resource Manager (ARM) no formato JSON e importá-las de modelos ARM agora está disponível em geral após um curto período de visualização.

Saiba mais sobre como exportar e importar regras de automação.

Os conectores de dados do Google Cloud Platform agora estão disponíveis para o público em geral (GA)

Os conectores de dados do Google Cloud Platform (GCP) do Microsoft Sentinel, baseados em nossa Codeless Connector Platform (CCP), agora estão disponíveis ao público em geral. Com esses conectores, você pode ingerir logs do seu ambiente GCP usando o recurso GCP Pub/Sub:

• O conector Pub/Sub Audit Logs do Google Cloud Platform (GCP) coleta trilhas de auditoria de acesso aos recursos do GCP. Os analistas podem monitorar esses logs para rastrear tentativas de acesso a recursos e detetar ameaças potenciais em todo o ambiente GCP.

• O conector do Centro de Comando de Segurança do Google Cloud Platform (GCP) coleta descobertas do Google Security Command Center, uma plataforma robusta de segurança e gerenciamento de riscos para o Google Cloud. Os analistas podem visualizar essas descobertas para obter informações sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, deteções de vulnerabilidades e ameaças e mitigação e remediação de riscos.

Para obter mais informações sobre esses conectores, consulte Ingest Google Cloud Platform log data into Microsoft Sentinel.

Microsoft Sentinel agora disponível ao público em geral (GA) no Azure Israel Central

O Microsoft Sentinel agora está disponível na região do Azure Central de Israel, com o mesmo conjunto de recursos que todas as outras regiões comerciais do Azure.

Para obter mais informações, consulte como Suporte de recursos do Microsoft Sentinel para nuvens comerciais/outras nuvens do Azure e Disponibilidade geográfica e residência de dados no Microsoft Sentinel.

Agosto de 2024

• Desativação do agente do Log Analytics
• Regras de automação de exportação e importação (Visualização)
• Suporte do Microsoft Sentinel no gerenciamento multilocatário do Microsoft Defender (Visualização)
• Conector de dados Premium do Microsoft Defender Threat Intelligence (Visualização)
• Conectores unificados baseados em AMA para ingestão de syslog
• Melhor visibilidade para eventos de segurança do Windows
• Novo plano de retenção de logs auxiliares (visualização)
• Criar regras de resumo para grandes conjuntos de dados (Pré-visualização)

Desativação do agente do Log Analytics

A partir de 31 de agosto de 2024, o Log Analytics Agent (MMA/OMS) é desativado.

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos migrar para o Azure Monitor Agent (AMA).

Para obter mais informações, consulte:

• Encontrar o seu conector de dados do Microsoft Sentinel
• Migrar para o Agente do Azure Monitor a partir do agente do Log Analytics
• Migração AMA para Microsoft Sentinel
• Blogues:
  • Revolucionando a coleta de logs com o Azure Monitor Agent
  • O poder das Regras de Coleta de Dados: Coletando eventos para casos de uso avançados no Microsoft USOP

Regras de automação de exportação e importação (Visualização)

Gerencie suas regras de automação do Microsoft Sentinel como código! Agora você pode exportar suas regras de automação para arquivos de modelo do Azure Resource Manager (ARM) e importar regras desses arquivos, como parte do seu programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação criará um arquivo JSON no local de downloads do navegador, que você poderá renomear, mover e manipular como qualquer outro arquivo.

O arquivo JSON exportado é independente do espaço de trabalho, portanto, pode ser importado para outros espaços de trabalho e até mesmo para outros locatários. Como código, ele também pode ser controlado por versão, atualizado e implantado em uma estrutura de CI/CD gerenciada.

O arquivo inclui todos os parâmetros definidos na regra de automação. Regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.

Saiba mais sobre como exportar e importar regras de automação.

Suporte do Microsoft Sentinel no gerenciamento multilocatário do Microsoft Defender (Visualização)

Se você integrou o Microsoft Sentinel à plataforma unificada de operações de segurança da Microsoft, os dados do Microsoft Sentinel agora estão disponíveis com os dados do Defender XDR no gerenciamento multilocatário do Microsoft Defender. Atualmente, apenas um espaço de trabalho do Microsoft Sentinel por locatário é suportado na plataforma de operações de segurança unificada da Microsoft. Assim, o gerenciamento multilocatário do Microsoft Defender mostra informações de segurança e dados de gerenciamento de eventos (SIEM) de um espaço de trabalho do Microsoft Sentinel por locatário. Para obter mais informações, consulte Gerenciamento multilocatário do Microsoft Defender e Microsoft Sentinel no portal do Microsoft Defender.

Conector de dados Premium do Microsoft Defender Threat Intelligence (Visualização)

Sua licença premium para o Microsoft Defender Threat Intelligence (MDTI) agora desbloqueia a capacidade de ingerir todos os indicadores premium diretamente em seu espaço de trabalho. O conector de dados MDTI premium adiciona mais aos seus recursos de busca e pesquisa no Microsoft Sentinel.

Para obter mais informações, consulte Compreender informações sobre ameaças.

Conectores unificados baseados em AMA para ingestão de syslog

Com a iminente desativação do Log Analytics Agent, o Microsoft Sentinel consolidou a coleta e a ingestão de syslog, CEF e mensagens de log de formato personalizado em três conectores de dados multiuso baseados no Azure Monitor Agent (AMA):

• Syslog via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela Syslog no Log Analytics.
• Common Event Format (CEF) via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela CommonSecurityLog no Log Analytics.
• Novo! Logs personalizados via AMA (visualização), para qualquer um dos 15 tipos de dispositivos, ou qualquer dispositivo não listado, cujos logs são ingeridos em tabelas personalizadas com nomes terminados em _CL no Log Analytics.

Esses conectores substituem quase todos os conectores existentes para tipos de dispositivos e dispositivos individuais que existiam até agora, baseados no agente herdado do Log Analytics (também conhecido como MMA ou OMS) ou no Agente de Monitor do Azure atual. As soluções fornecidas no hub de conteúdo para todos esses dispositivos e dispositivos agora incluem qualquer um desses três conectores apropriados para a solução.* Os conectores substituídos agora estão marcados como "Preterido" na galeria de conectores de dados.

Os gráficos de ingestão de dados que eram encontrados anteriormente na página do conector de cada dispositivo agora podem ser encontrados em pastas de trabalho específicas do dispositivo empacotadas com a solução de cada dispositivo.

* Ao instalar a solução para qualquer um desses aplicativos, dispositivos ou aparelhos, para garantir que o conector de dados que o acompanha esteja instalado, você deve selecionar Instalar com dependências na página da solução e, em seguida, marcar o conector de dados na página seguinte.

Para obter os procedimentos atualizados para instalar essas soluções, consulte os seguintes artigos:

• CEF via conector de dados AMA - Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel
• Syslog via conector de dados AMA - Configure um dispositivo ou dispositivo específico para a ingestão de dados do Microsoft Sentinel
• Logs personalizados via conector de dados AMA - Configure a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos

Melhor visibilidade para eventos de segurança do Windows

Aprimoramos o esquema da tabela SecurityEvent que hospeda eventos de Segurança do Windows e adicionamos novas colunas para garantir a compatibilidade com o Azure Monitor Agent (AMA) para Windows (versão 1.28.2). Esses aprimoramentos foram projetados para aumentar a visibilidade e a transparência dos eventos do Windows coletados. Se você não estiver interessado em receber dados nesses campos, poderá aplicar uma transformação de tempo de ingestão ("projeto-away", por exemplo) para descartá-los.

Novo plano de retenção de logs auxiliares (visualização)

O novo plano de retenção de logs auxiliares para tabelas do Log Analytics permite que você ingira grandes quantidades de logs de alto volume com valor suplementar para segurança a um custo muito menor. Os logs auxiliares estão disponíveis com retenção interativa por 30 dias, nos quais você pode executar consultas simples de tabela única neles, como para resumir e agregar os dados. Após esse período de 30 dias, os dados de log auxiliares vão para a retenção de longo prazo, que você pode definir por até 12 anos, a um custo ultrabaixo. Esse plano também permite que você execute trabalhos de pesquisa nos dados em retenção de longo prazo, extraindo apenas os registros desejados para uma nova tabela que você pode tratar como uma tabela regular do Log Analytics, com recursos completos de consulta.

Para saber mais sobre logs auxiliares e comparar com logs do Google Analytics, consulte Planos de retenção de logs no Microsoft Sentinel.

Para obter informações mais detalhadas sobre os diferentes planos de gerenciamento de logs, consulte Planos de tabela no artigo Visão geral de Logs do Azure Monitor na documentação do Azure Monitor.

Criar regras de resumo no Microsoft Sentinel para grandes conjuntos de dados (Pré-visualização)

O Microsoft Sentinel agora oferece a capacidade de criar resumos dinâmicos usando regras de resumo do Azure Monitor, que agregam grandes conjuntos de dados em segundo plano para uma experiência de operações de segurança mais suave em todas as camadas de log.

• Acesse os resultados da regra de resumo por meio da Kusto Query Language (KQL) em atividades de deteção, investigação, caça e relatórios.
• Execute consultas KQL (Kusto Query Language) de alto desempenho em dados resumidos.
• Use os resultados da regra de resumo por períodos mais longos em investigações, caça e atividades de conformidade.

Para obter mais informações, consulte Agregar dados do Microsoft Sentinel com regras de resumo.

Próximos passos

Azure Sentinel integrado

Obtenha visibilidade dos alertas