Microsoft Sentinel 的新功能
本文列出 Microsoft Sentinel 新增的最新功能,以及提供 Microsoft Sentinel 增強使用者體驗的相關服務新功能。 如需Microsoft統一安全性作業 (SecOps) 平臺的新功能,請參閱 統一的 SecOps 平台檔。
列出的功能在過去三個月內發行。 如需舊版功能的相關資訊,請參閱我們的技術社群部落格。
複製以下 URL 並在您的摘要讀取程式中貼上,以在此頁面更新時接收通知:https://aka.ms/sentinel/rss
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
2024 年 12 月
- 以類似組織為基礎的新 SOC 優化建議 (預覽)
- SAP 應用程式的無代理程式部署 (有限預覽版)
- Microsoft Sentinel 活頁簿現在可供直接在 Microsoft Defender 入口網站中檢視
- 適用於 Microsoft Business Apps 的統一Microsoft Sentinel 解決方案
- Microsoft統一安全性作業平臺的新文檔庫
- 適用於 Amazon Web Services WAF 記錄的新 S3 型數據連接器 (預覽)
以類似組織為基礎的新 SOC 優化建議 (預覽)
SOC 優化現在包含新的建議,可讓您根據類似產業和扇區中其他客戶的安全性狀態,以及類似的數據擷取模式,將數據源新增至工作區。 新增建議的數據源,以改善組織的安全性涵蓋範圍。
如需詳細資訊,請參閱 建議的SOC優化參考。
SAP 應用程式的無代理程式部署 (有限預覽版)
適用於 SAP 應用程式的 Microsoft Sentinel 解決方案現在支援無代理程式部署,使用 SAP 自己的雲端平臺功能來提供簡化的無代理程式部署和連線能力。 不要部署虛擬機和容器化代理程式,而是使用 SAP Cloud Connector 和其與後端 ABAP 系統的現有連線,將 SAP 系統連線到 sentinel Microsoft。
無代理程式解決方案會使用 SAP Cloud Connector 和 SAP Integration Suite,而 SAP 客戶已經熟悉。 這可大幅減少部署時間,尤其是較不熟悉 Docker、Kubernetes 和 Linux 管理的人員。 藉由使用 SAP Cloud Connector,解決方案會從現有的設定和已建立的整合流程中獲利。 這表示您不需要再次處理網路挑戰,因為執行 SAP Cloud Connector 的人員已經完成該程式。
無代理程式解決方案與 SAP S/4HANA Cloud、Private Edition RISE 與 SAP、SAP S/4HANA 內部部署和 SAP ERP Central 元件 (ECC) 相容,可確保現有安全性內容的持續功能,包括偵測、活頁簿和劇本。
重要
Microsoft Sentinel 的 無代理程式解決方案 處於有限預覽狀態,因為發行前產品可能經過大幅修改。 Microsoft未就此處提供的資訊表示或默示擔保。 存取無代理程式解決方案也需要註冊,而且只能在預覽期間提供給已核准的客戶和合作夥伴使用。
如需詳細資訊,請參閱
Microsoft Sentinel 活頁簿現在可供直接在 Microsoft Defender 入口網站中檢視
Microsoft Sentinel 活頁簿現在可供直接在 Microsoft Defender 入口網站中使用 Microsoft 的統一安全性作業 (SecOps) 平台檢視。 現在,在 Defender 入口網站中,當您選取 [Microsoft Sentinel > 威脅管理>活頁簿] 時,您會保留在 Defender 入口網站中,而不是針對 Azure 入口網站 中的活頁簿開啟的新索引卷標。 只有在您需要編輯活頁簿時,才繼續將索引標籤移至 Azure 入口網站。
Microsoft Sentinel 活頁簿是以 Azure 監視器活頁簿為基礎,並協助您以可視化方式監視內嵌至 sentinel Microsoft的數據。 活頁簿會使用記錄和查詢的分析,將數據表和圖表新增至已可用的工具。
如需詳細資訊,請參閱使用 Sentinel Microsoft 中的活頁簿將您的數據可視化及監視,以及使用 Sentinel 中的活頁簿和聯機Microsoft Sentinel 以 Microsoft Defender 全面偵測回應。
適用於 Microsoft Business Apps 的統一Microsoft Sentinel 解決方案
Microsoft Sentinel 現在提供統一的解決方案,適用於 Microsoft Power Platform、Microsoft Dynamics 365 Customer Engagement,以及 Microsoft Dynamics 365 Finance and Operations。 解決方案包含所有平台的數據連接器和安全性內容。
更新的解決方案會從 Microsoft Sentinel 內容中樞移除 Dynamics 365 CE Apps 和 Dynamics 365 Finance and Operations 解決方案。 現有的客戶會看到這些解決方案已重新命名為 Microsoft Business Applications 解決方案。
更新的解決方案也會移除 Power Platform Inventory 資料連接器。 雖然 Power Platform Inventory 數據連接器仍可在已部署的工作區上繼續受到支援,但不適用於其他工作區中的新部署。
如需詳細資訊,請參閱
Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement:
Microsoft Dynamics 365 Finance and Operations:
Microsoft統一安全性作業平臺的新文檔庫
在 Microsoft Defender 入口網站中尋找Microsoft統一 SecOps 平臺的集中式檔。 Microsoft的整合 SecOps 平臺將 Sentinel、Microsoft Defender 全面偵測回應、Microsoft安全性暴露管理和產生 AI 的完整 Microsoft 功能結合在 Defender 入口網站中。 瞭解Microsoft整合的 SecOps 平臺所提供的特性和功能,然後開始規劃您的部署。
適用於 Amazon Web Services WAF 記錄的新 S3 型數據連接器 (預覽)
從 Amazon Web Services 的 Web 應用程式防火牆 (WAF) 擷取記錄,並Microsoft Sentinel 的新 S3 型連接器。 此連接器首次提供快速且簡單的自動化設定,並利用 AWS CloudFormation 範本來建立資源。 將您的 AWS WAF 記錄傳送至 S3 貯體,其中我們的數據連接器會擷取並擷取它們。
如需詳細數據和設定指示,請參閱 將 Sentinel Microsoft 連線至 Amazon Web Services 以內嵌 AWS WAF 記錄。
2024 年 11 月
Microsoft Defender 入口網站中的 Microsoft Sentinel 可用性
我們先前宣佈Microsoft Sentinel 已在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺中正式推出。
現在,在預覽版中,即使沒有 Microsoft Defender 全面偵測回應 或Microsoft 365 E5 授權,Microsoft Sentinel 仍可在Defender入口網站中使用。 如需詳細資訊,請參閱
2024 年 10 月
Microsoft Power Platform Microsoft Sentinel 解決方案的更新
從 2024 年 10 月 17 日起,Power Apps、Power Platform DLP 和 Power Platform Connectors 的稽核記錄數據會路由傳送至 PowerPlatformAdminActivity 數據表,而不是 PowerAppsActivity、 PowerPlatformDlpActivity 和 PowerPlatformConnectorActivity 數據表。
Microsoft Power Platform Microsoft Sentinel 解決方案中的安全性內容會更新為 Power Apps、Power Platform DLP 和 Power Platform Connector 的新數據表和架構。 建議您將工作區中的Power Platform解決方案更新為最新版本,並套用更新的分析規則範本,以受益於變更。 如需詳細資訊,請參閱 安裝或更新內容。
針對 Power Apps、Power Platform DLP 和 Power Platform Connector 使用已被取代的數據連接器的客戶,可以安全地中斷連線,並從其Microsoft Sentinel 工作區移除這些連接器。 所有相關聯的數據流都會使用Power Platform Admin Activity 連接器內嵌。
如需詳細資訊,請參閱 訊息中心。
2024 年 9 月
- 新增至 SIEM 移轉體驗的架構對應
- 將於 2025 年 2 月淘汰的第三方擴充小工具
- Azure 保留現在有預先購買方案可供 Microsoft Sentinel 使用
- 自動化規則的匯入/匯出現已正式發行 (GA)
- Google Cloud Platform 資料連接器現已正式推出 (GA)
- Microsoft Sentinel 現已在 Azure 以色列中部正式發行 (GA)
新增至 SIEM 移轉體驗的架構對應
自 2024 年 5 月正式推出 SIEM 移轉體驗以來,已進行穩定改善,以協助從 Splunk 移轉安全性監視。 下列新功能可讓客戶提供有關其Splunk環境的相關內容詳細數據,以及使用 Microsoft Sentinel SIEM 移轉轉譯引擎:
- 架構對應
- 在翻譯中支援 Splunk 巨集
- 在翻譯中支援Splunk查閱
若要深入了解這些更新,請參閱 SIEM 移轉體驗。
如需 SIEM 移轉體驗的詳細資訊,請參閱下列文章:
將於 2025 年 2 月淘汰的第三方擴充小工具
立即生效,您無法再啟用此功能來建立從外部第三方資料來源擷取資料的擴充小工具。 這些小工具會在 Microsoft Sentinel 實體頁面上,以及實體資訊存在的其他位置中顯示。 因為您無法再建立存取這些外部資料來源所需的 Azure 金鑰保存庫,因此會發生這項變更。
如果您已經使用任何第三方擴充小工具,也就是說,如果此金鑰保存庫已經存在,您仍然可以設定及使用您之前未使用的小工具,但不建議這麼做。
自 2025 年 2 月起,任何從第三方來源擷取資料的現有擴充小工具,都會在實體頁面或其他地方停止顯示。
如果您的組織使用第三方擴充小工具,建議您先將其停用,方法是從其資源群組刪除您為此建立的金鑰保存庫。 金鑰保存庫的名稱以「widgets」開頭。
以第一方資料來源為基礎的擴充小工具不會受到這項變更的影響,而且會繼續如先前般運作。 「第一方資料來源」包含已從外部來源內嵌至 Microsoft Sentinel 的任何資料,換句話說,就是 Log Analytics 工作區中資料表中的任何項目,以及 Microsoft Defender 威脅情報。
預先購買方案現已可供 Microsoft Sentinel 使用
預先購買方案是一種 Azure 保留類型。 當您購買預先購買方案時,您會在特定產品的折扣層取得認可單位 (CU)。 Microsoft Sentinel 認可單位 (SCU) 適用於工作區中符合資格的成本。 當您有可預測的成本時,選擇正確的預先購買方案可節省您的成本!
如需詳細資訊,請參閱使用預先購買方案將成本最佳化。
自動化規則的匯入/匯出現已正式發行 (GA)
經過短期的預覽,您現在可正式使用 JSON 格式將自動化規則匯出至 Azure Resource Manager (ARM) 範本,以及從 ARM 範本匯入自動化規則。
深入了解匯出和匯入自動化規則。
Google Cloud Platform 資料連接器現已正式推出 (GA)
根據我們無程式碼連接器平台 (CCP) 之 Microsoft Sentinel 的 Google Cloud Platform (GCP) 資料連接器現在已正式推出。 透過這些連接器,您可以使用 GCP Pub/Sub 功能,從 GCP 環境內嵌記錄:
Google Cloud Platform (GCP) Pub/Sub 稽核記錄連接器會收集 GCP 資源存取的稽核線索。 分析師可以監視這些記錄,以追蹤資源存取嘗試,並偵測 GCP 環境中的潛在威脅。
Google Cloud Platform (GCP) Security Command Center 連接器會收集 Google Security Command Center (適用於 Google Cloud 的強固安全性和風險管理平台) 的結果。 分析師可以檢視這些結果,以深入解析組織的安全性態勢,包括資產清查和探索、弱點和威脅的偵測,以及風險降低和補救。
如需這些連接器的詳細資訊,請參閱將 Google Cloud Platform 記錄資料內嵌至 Microsoft Sentinel。
Microsoft Sentinel 現已在 Azure 以色列中部正式發行 (GA)
Microsoft Sentinel 現已可在以色列中部 Azure 區域取得,其功能集與所有其他 Azure 商業區域相同。
如需詳細資訊,請參閱適用於 Azure 商業/其他雲端的 Microsoft Sentinel 功能支援和 Microsoft Sentinel 中的地理可用性與資料落地。
2024 年 8 月
- 淘汰 Log Analytics 代理程式
- 匯出和匯入自動化規則 (預覽)
- Microsoft Defender 多租用戶管理中的 Microsoft Sentinel 支援 (預覽)
- 進階 Microsoft Defender 威脅情報資料連接器 (預覽)
- 適用於 syslog 擷取的整合 AMA 型連接器
- 更佳的 Windows 安全性事件可見度
- 新的輔助記錄保留計劃 (預覽)
- 建立大量資料集的摘要規則 (預覽)
淘汰 Log Analytics 代理程式
自 2024 年 8 月 31 日起,Log Analytics 代理程式 (MMA/OMS) 將會淘汰。
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如果您一直在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,我們建議您移轉至 Azure 監視器代理程式 (AMA)。
如需詳細資訊,請參閱
- 尋找您的 Microsoft Sentinel 資料連線器
- 從 Log Analytics 代理程式移轉至 Azure 監視器代理程式
- Microsoft Sentinel 的 AMA 移轉
- 部落格:
匯出和匯入自動化規則 (預覽)
以程式碼的形式管理您的 Microsoft Sentinel 自動化規則! 您現在可將自動化規則匯出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為以程式碼的形式管理及控制 Microsoft Sentinel 部署的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案,然後您可以重新命名、移動,以及像任何其他檔案一樣處理。
匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。
檔案包含自動化規則中定義的所有參數。 任何觸發程序類型的規則都可以匯出至 JSON 檔案。
深入了解匯出和匯入自動化規則。
Microsoft Defender 多租用戶管理中的 Microsoft Sentinel 支援 (預覽)
如果您已將 Microsoft Sentinel 上線至 Microsoft 整合安全性作業平台,Microsoft Sentinel 資料現在可在 Microsoft Defender 多租用戶管理中搭配 Defender XDR 資料使用。 Microsoft 整合安全性作業平台目前對每個租用戶僅支援一個 Microsoft Sentinel 工作區。 因此,Microsoft Defender 多租用戶管理會顯示每個租用戶一個 Microsoft Sentinel 工作區中的安全性資訊和事件管理 (SIEM) 資料。 如需詳細資訊,請參閱 Microsoft Defender 多租用戶管理和 Microsoft Defender 入口網站中的 Microsoft Sentinel。
進階 Microsoft Defender 威脅情報資料連接器 (預覽)
適用於 Microsoft Defender 威脅情報 (MDTI) 的進階授權現在可解鎖將所有進階指標直接內嵌至工作區的功能。 進階 MDTI 資料連接器會在 sentinel Microsoft 中新增更多搜捕和研究功能。
如需詳細資訊,請參閱瞭解威脅情報。
適用於 syslog 擷取的整合 AMA 型連接器
隨著 Log Analytics 代理程式即將淘汰,Microsoft Sentinel 已根據 Azure 監視器代理程式 (AMA) 將 syslog、CEF 和自訂格式記錄訊息的收集和擷取合併成三個多用途資料連接器:
- 透過 AMA 的 Syslog,適用於記錄內嵌至 Log Analytics 中 Syslog 資料表的任何裝置。
- 透過 AMA 的常見事件格式 (CEF),適用於記錄內嵌至 Log Analytics中 CommonSecurityLog 資料表的任何裝置。
- 最新! 透過 AMA 自訂記錄 (預覽),適用於 15 種裝置類型或任何未列出的裝置,其記錄會內嵌至 Log Analytics 中名稱結尾是 _CL 的自訂資料表。
這些連接器幾乎會取代迄今為止存在的個別裝置和設備類型的所有現有連接器,而這些連接器是以舊版 Log Analytics 代理程式 (也稱為 MMA 或 OMS) 或目前的 Azure 監視器代理程式為基礎。 這些裝置和設備的內容中樞中提供的解決方案現在包含這三個連接器中適合該解決方案的連接器。* 被取代的連接器現在在資料連接器資源庫中標示為「已淘汰」。
先前在每個裝置的連接器頁面中找到的資料擷取圖形,現在可在隨著每個裝置的解決方案封裝的裝置特定活頁簿中找到。
* 為上述任何應用程式、裝置或設備安裝解決方案時,若要確保已安裝隨附的資料連接器,您必須在解決方案頁面上選取 [隨著相依性安裝],然後在下列頁面上標記資料連接器。
如需安裝這些解決方案的更新程序,請參閱下列文章:
- 透過 AMA 的 CEF 資料連接器 - 設定特定設備或裝置進行 Microsoft Sentinel 資料擷取
- 透過 AMA 的 Syslog 資料連接器 - 設定特定設備或裝置進行 Microsoft Sentinel 資料擷取
- 透過 AMA 資料連接器的自訂記錄 - 設定從特定應用程式將資料擷取至 Microsoft Sentinel
更佳的 Windows 安全性事件可見度
我們已增強裝載 Windows 安全性事件的 SecurityEvent 資料表結構描述,並新增了新的資料行,以確保與適用於 Windows 的 Azure 監視器代理程式 (AMA)(1.28.2 版) 相容。 這些增強功能的設計是為了提高所收集 Windows 事件的可見度和透明度。 如果您不想要接收這些欄位中的資料,您可套用擷取時間轉換 (例如 "project-away") 予以卸除。
新的輔助記錄保留計劃 (預覽)
Log Analytics 資料表的新輔助記錄保留計劃可讓您以較低的成本來擷取大量具有安全性補充價值的高容量記錄。 輔助記錄可供互動式保留 30 天,您可以在其中執行簡單的單一資料表查詢,例如摘要和彙總資料。 在該 30 天期間之後,輔助記錄資料會進行長期保留,您可以極低的成本定義長達 12 年的長期保留。 此計劃也可讓您對長期保留的資料執行搜尋作業,只將您想要的記錄擷取到新資料表,您可以將新資料表視作一般 Log Analytics 資料表,並具備完整的查詢功能。
若要深入了解輔助記錄並與 Analytics 記錄進行比較,請參閱 Microsoft Sentinel 中的記錄保留計劃。
如需不同記錄管理計劃的詳細資訊,請參閱 Azure 監視器文件中 Azure 監視器記錄概觀文章中的資料表計劃。
在 Microsoft Sentinel 中建立大量資料集的摘要規則 (預覽)
Microsoft Sentinel 現在可讓您使用 Azure 監視器摘要規則來建立動態摘要,其彙總背景中的大量資料集,以在所有記錄層之間取得更順暢的安全性作業體驗。
- 透過 Kusto 查詢語言 (KQL),跨偵測、調查、搜捕和報告活動存取摘要規則結果。
- 對摘要資料執行高效能 Kusto 查詢語言 (KQL) 查詢。
- 在調查、搜捕和合規性活動中,使用摘要規則結果較長的時間。
如需詳細資訊,請參閱使用摘要規則彙總 Microsoft Sentinel 資料。