Nyheter i Microsoft Sentinel
I den här artikeln visas de senaste funktionerna som lagts till för Microsoft Sentinel och nya funktioner i relaterade tjänster som ger en förbättrad användarupplevelse i Microsoft Sentinel.
De listade funktionerna har släppts under de senaste tre månaderna. Mer information om tidigare funktioner finns i våra Tech Community-bloggar.
Få ett meddelande när den här sidan uppdateras genom att kopiera och klistra in följande URL i feedläsaren: https://aka.ms/sentinel/rss
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
November 2024
Microsoft Sentinel-tillgänglighet i Microsoft Defender-portalen
Vi har tidigare meddelat att Microsoft Sentinel är allmänt tillgängligt i Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel nu tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i:
- Microsoft Sentinel i Microsoft Defender-portalen
- Ansluta Microsoft Sentinel till Microsoft Defender-portalen
September 2024
- Schemamappning har lagts till i SIEM-migreringsmiljön
- Widgetar från tredje part som ska dras tillbaka i februari 2025
- Azure-reservationer har nu förköpsplaner tillgängliga för Microsoft Sentinel
- Import/export av automatiseringsregler är nu allmänt tillgängliga (GA)
- Google Cloud Platform-dataanslutningar är nu allmänt tillgängliga (GA)
- Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure Israel Central
Schemamappning har lagts till i SIEM-migreringsmiljön
Sedan SIEM-migreringen blev allmänt tillgänglig i maj 2024 har stadiga förbättringar gjorts för att migrera din säkerhetsövervakning från Splunk. Med följande nya funktioner kan kunderna ge mer sammanhangsberoende information om sin Splunk-miljö och användning till Översättningsmotorn för Microsoft Sentinel SIEM-migrering:
- Schemamappning
- Stöd för Splunk-makron i översättning
- Stöd för Splunk-sökningar i översättning
Mer information om dessa uppdateringar finns i SIEM-migrering.
Mer information om SIEM-migrering finns i följande artiklar:
- Bli en Microsoft Sentinel-ninja – migreringsavsnitt
- SIEM-migreringsuppdatering – Microsoft Sentinel-blogg
Widgetar från tredje part som ska dras tillbaka i februari 2025
Med omedelbar verkan kan du inte längre aktivera funktionen för att skapa berikningswidgetar som hämtar data från externa datakällor från tredje part. Dessa widgetar visas på Microsoft Sentinel-entitetssidor och på andra platser där entitetsinformation visas. Den här ändringen sker eftersom du inte längre kan skapa det Azure-nyckelvalv som krävs för att få åtkomst till dessa externa datakällor.
Om du redan använder widgetar från tredje part, dvs. om det här nyckelvalvet redan finns, kan du fortfarande konfigurera och använda widgetar som du inte använde tidigare, men vi rekommenderar inte att du gör det.
Från och med februari 2025 kommer alla befintliga berikningswidgetar som hämtar data från tredjepartskällor att sluta visas, på entitetssidor eller någon annanstans.
Om din organisation använder widgetar från tredje part rekommenderar vi att du inaktiverar dem i förväg genom att ta bort nyckelvalvet som du skapade för detta ändamål från resursgruppen. Nyckelvalvets namn börjar med "widgetar".
Berikningswidgetar baserade på datakällor från första part påverkas inte av den här ändringen och fortsätter att fungera som tidigare. "Datakällor från första part" innehåller alla data som redan har matats in i Microsoft Sentinel från externa källor– med andra ord allt i tabeller i Log Analytics-arbetsytan – och Microsoft Defender Hotinformation.
Förköpsplaner är nu tillgängliga för Microsoft Sentinel
Förköpsplaner är en typ av Azure-reservation. När du köper en förköpsplan får du incheckningsenheter (CUS) på rabatterade nivåer för en specifik produkt. Microsoft Sentinel-incheckningsenheter (SCUs) gäller för berättigade kostnader på din arbetsyta. När du har förutsägbara kostnader sparar du pengar genom att välja rätt förköpsplan!
Mer information finns i Optimera kostnader med en förköpsplan.
Import/export av automatiseringsregler är nu allmänt tillgängliga (GA)
Möjligheten att exportera automatiseringsregler till Azure Resource Manager-mallar (ARM) i JSON-format och importera dem från ARM-mallar är nu allmänt tillgänglig efter en kort förhandsversionsperiod.
Läs mer om att exportera och importera automatiseringsregler.
Google Cloud Platform-dataanslutningar är nu allmänt tillgängliga (GA)
Microsoft Sentinels dataanslutningar för Google Cloud Platform (GCP), baserade på vår codeless connector platform (CCP) är nu allmänt tillgängliga. Med dessa anslutningsappar kan du mata in loggar från GCP-miljön med hjälp av GCP Pub/Sub-funktionen:
Anslutningsprogrammet för Pub/Undergranskningsloggar för Google Cloud Platform (GCP) samlar in spårningsloggar för åtkomst till GCP-resurser. Analytiker kan övervaka dessa loggar för att spåra resursåtkomstförsök och identifiera potentiella hot i GCP-miljön.
Anslutningsappen för Google Cloud Platform (GCP) Security Command Center samlar in resultat från Google Security Command Center, en robust plattform för säkerhet och riskhantering för Google Cloud. Analytiker kan se dessa resultat för att få insikter om organisationens säkerhetsstatus, inklusive tillgångsinventering och identifiering, identifiering av sårbarheter och hot samt riskreducering och reparation.
Mer information om dessa anslutningsappar finns i Mata in Google Cloud Platform-loggdata i Microsoft Sentinel.
Microsoft Sentinel är nu allmänt tillgängligt (GA) i Azure Israel Central
Microsoft Sentinel är nu tillgängligt i Regionen Israel, centrala Azure, med samma funktion som alla andra kommersiella Azure-regioner.
Mer information finns i som Microsoft Sentinel-funktionsstöd för kommersiella/andra Azure-moln och Geografisk tillgänglighet och datahemvist i Microsoft Sentinel.
Augusti 2024
- Log Analytics-agenten dras tillbaka
- Export- och importautomatiseringsregler (förhandsversion)
- Microsoft Sentinel-stöd i hantering av flera klientorganisationer i Microsoft Defender (förhandsversion)
- Premium Microsoft Defender Hotinformation dataanslutningsprogram (förhandsversion)
- Enhetliga AMA-baserade anslutningsappar för syslog-inmatning
- Bättre synlighet för Windows-säkerhetshändelser
- Ny kvarhållningsplan för tilläggsloggar (förhandsversion)
- Skapa sammanfattningsregler för stora datauppsättningar (förhandsversion)
Log Analytics-agenten dras tillbaka
Från och med den 31 augusti 2024 har Log Analytics-agenten (MMA/OMS) dragits tillbaka.
Logginsamling från många enheter och enheter stöds nu av Common Event Format (CEF) via AMA, Syslog via AMA eller anpassade loggar via AMA-dataanslutningen i Microsoft Sentinel. Om du har använt Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du migrerar till Azure Monitor Agent (AMA).
Mer information finns i:
- Hitta din Microsoft Sentinel-dataanslutning
- Migrera till Azure Monitor-agenten från Log Analytics-agenten
- AMA-migrering för Microsoft Sentinel
- Bloggar:
Export- och importautomatiseringsregler (förhandsversion)
Hantera dina Microsoft Sentinel-automatiseringsregler som kod! Nu kan du exportera dina automatiseringsregler till ARM-mallfiler (Azure Resource Manager) och importera regler från dessa filer som en del av ditt program för att hantera och kontrollera dina Microsoft Sentinel-distributioner som kod. Exportåtgärden skapar en JSON-fil på webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som alla andra filer.
Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klienter. Som kod kan den också vara versionskontrollerad, uppdaterad och distribuerad i ett hanterat CI/CD-ramverk.
Filen innehåller alla parametrar som definierats i automatiseringsregeln. Regler av valfri utlösartyp kan exporteras till en JSON-fil.
Läs mer om att exportera och importera automatiseringsregler.
Microsoft Sentinel-stöd i hantering av flera klientorganisationer i Microsoft Defender (förhandsversion)
Om du har registrerat Microsoft Sentinel på Microsoft Unified Security Operations Platform är Microsoft Sentinel-data nu tillgängliga med Defender XDR-data i Microsoft Defender-hantering av flera klientorganisationer. Endast en Microsoft Sentinel-arbetsyta per klient stöds för närvarande i Microsofts plattform för enhetliga säkerhetsåtgärder. Därför visar Microsoft Defender multitenanthantering data om säkerhetsinformation och händelsehantering (SIEM) från en Microsoft Sentinel-arbetsyta per klientorganisation. Mer information finns i Microsoft Defender-hantering av flera klientorganisationer och Microsoft Sentinel i Microsoft Defender-portalen.
Premium Microsoft Defender Hotinformation dataanslutningsprogram (förhandsversion)
Din premiumlicens för Microsoft Defender Hotinformation (MDTI) låser nu upp möjligheten att mata in alla premiumindikatorer direkt på din arbetsyta. Premium MDTI-dataanslutningsappen lägger till mer i dina jakt- och forskningsfunktioner i Microsoft Sentinel.
Mer information finns i Förstå hotinformation.
Enhetliga AMA-baserade anslutningsappar för syslog-inmatning
Med log analytics-agentens förestående tillbakadragande har Microsoft Sentinel konsoliderat insamling och inmatning av syslog-, CEF- och anpassade loggmeddelanden i tre dataanslutningar för flera syften baserat på Azure Monitor Agent (AMA):
- Syslog via AMA för alla enheter vars loggar matas in i Syslog-tabellen i Log Analytics.
- Common Event Format (CEF) via AMA för alla enheter vars loggar matas in i CommonSecurityLog-tabellen i Log Analytics.
- Nytt! Anpassade loggar via AMA (förhandsversion), för någon av 15 enhetstyper eller valfri olistad enhet, vars loggar matas in i anpassade tabeller med namn som slutar _CL i Log Analytics.
Dessa anslutningsappar ersätter nästan alla befintliga anslutningsappar för enskilda enhets- och installationstyper som har funnits hittills, som baserades på antingen den äldre Log Analytics-agenten (även kallad MMA eller OMS) eller den aktuella Azure Monitor-agenten. Lösningarna som tillhandahålls i innehållshubben för alla dessa enheter och installationer innehåller nu den av dessa tre anslutningsappar som är lämpliga för lösningen.* De ersatta anslutningsapparna har nu markerats som "Inaktuella" i galleriet för dataanslutningsappar.
De datainmatningsdiagram som tidigare hittades på varje enhets anslutningssida finns nu i enhetsspecifika arbetsböcker som paketeras med varje enhets lösning.
* När du installerar lösningen för något av dessa program, enheter eller enheter, för att säkerställa att den tillhörande dataanslutningen är installerad, måste du välja Installera med beroenden på lösningssidan och sedan markera dataanslutningsappen på följande sida.
De uppdaterade procedurerna för att installera dessa lösningar finns i följande artiklar:
- CEF via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Datainmatning i Microsoft Sentinel
- Syslog via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Microsoft Sentinel-datainmatning
- Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program
Bättre synlighet för Windows-säkerhetshändelser
Vi har förbättrat schemat för tabellen SecurityEvent som är värd för Windows-säkerhet händelser och har lagt till nya kolumner för att säkerställa kompatibilitet med Azure Monitor Agent (AMA) för Windows (version 1.28.2). Dessa förbättringar är utformade för att öka synligheten och transparensen för insamlade Windows-händelser. Om du inte är intresserad av att ta emot data i dessa fält kan du använda en inmatningstidstransformering (till exempel "project-away" för att släppa dem.
Ny kvarhållningsplan för tilläggsloggar (förhandsversion)
Med den nya kvarhållningsplanen för tilläggsloggar för Log Analytics-tabeller kan du mata in stora mängder loggar med stora volymer med ytterligare värde för säkerhet till en mycket lägre kostnad. Hjälploggar är tillgängliga med interaktiv kvarhållning i 30 dagar, där du kan köra enkla frågor med en tabell på dem, till exempel för att sammanfatta och aggregera data. Efter den 30-dagarsperioden går extra loggdata till långsiktig kvarhållning, som du kan definiera i upp till 12 år, till en extremt låg kostnad. Med den här planen kan du också köra sökjobb på data i långsiktig kvarhållning och endast extrahera de poster som du vill ha till en ny tabell som du kan behandla som en vanlig Log Analytics-tabell med fullständiga frågefunktioner.
Mer information om tilläggsloggar och jämföra med analysloggar finns i Loggkvarhållningsplaner i Microsoft Sentinel.
Mer detaljerad information om de olika logghanteringsplanerna finns i Tabellplaner i översiktsartikeln för Azure Monitor-loggar i Azure Monitor-dokumentationen.
Skapa sammanfattningsregler i Microsoft Sentinel för stora datamängder (förhandsversion)
Microsoft Sentinel ger nu möjlighet att skapa dynamiska sammanfattningar med hjälp av Azure Monitor-sammanfattningsregler, som aggregerar stora uppsättningar data i bakgrunden för en smidigare säkerhetsåtgärd på alla loggnivåer.
- Få åtkomst till sammanfattningsregelresultat via Kusto-frågespråk (KQL) för identifierings-, undersöknings-, jakt- och rapporteringsaktiviteter.
- Kör KQL-frågor (high performance Kusto-frågespråk) på sammanfattade data.
- Använd sammanfattningsregelresultat för längre perioder i undersökningar, jakt och efterlevnadsaktiviteter.
Mer information finns i Aggregera Microsoft Sentinel-data med sammanfattningsregler.