الجديد في Microsoft Sentinel
تسرد هذه المقالة الميزات الحديثة المضافة لـ Microsoft Azure Sentinel، والميزات الجديدة في الخدمات ذات الصلة التي توفر تجربة مستخدم مُحَسنة في Microsoft Azure Sentinel. للحصول على ميزات جديدة في النظام الأساسي لعمليات الأمان الموحدة (SecOps) من Microsoft، راجع وثائق النظام الأساسي SecOps الموحد.
تم إصدار الميزات المدرجة في الأشهر الثلاثة الماضية. للحصول على معلومات حول الميزات السابقة التي تم تسليمها، راجع مدونات مجتمع التكنولوجيا .
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
يناير 2025
- تحسين موجزات التحليل الذكي للمخاطر باستخدام قواعد الاستيعاب
- قاعدة التحليلات المطابقة متاحة الآن بشكل عام (GA)
- تم تحديث واجهة إدارة التحليل الذكي للمخاطر
- إلغاء تأمين التتبع المتقدم باستخدام كائنات STIX الجديدة عن طريق الاشتراك في جداول التحليل الذكي للمخاطر الجديدة
- تدعم واجهة برمجة تطبيقات تحميل التحليل الذكي للمخاطر الآن المزيد من كائنات STIX
- تحليل ذكي للمخاطر في Microsoft Defender موصلات البيانات متاحة الآن بشكل عام (GA)
- دعم قالب Bicep للمستودعات (معاينة)
- تحديثات تحسين SOC لإدارة التغطية الموحدة
- عرض محتوى الحل متعدد المستويات في مركز محتوى Microsoft Sentinel
تحسين موجزات التحليل الذكي للمخاطر باستخدام قواعد الاستيعاب
تحسين موجزات التحليل الذكي للمخاطر عن طريق تصفية العناصر وتحسينها قبل تسليمها إلى مساحة العمل الخاصة بك. تقوم قواعد الاستيعاب بتحديث سمات عنصر intel للمخاطر، أو تصفية العناصر معا. اطلع على إعلان المدونة هنا!
لمزيد من المعلومات، راجع فهم قواعد استيعاب التحليل الذكي للمخاطر.
قاعدة التحليلات المطابقة متاحة الآن بشكل عام (GA)
توفر Microsoft إمكانية الوصول إلى معلوماتها الذكية المتميزة عن التهديدات من خلال قاعدة تحليلات تحليلات التحليل الذكي للمخاطر من Defender المتوفرة الآن بشكل عام (GA). لمزيد من المعلومات حول كيفية الاستفادة من هذه القاعدة، التي تنشئ تنبيهات وحوادث عالية الدقة، راجع استخدام تحليلات مطابقة للكشف عن التهديدات.
تم نقل واجهة إدارة التحليل الذكي للمخاطر
تم تغيير التحليل الذكي للمخاطر ل Microsoft Sentinel في مدخل Defender! لقد قمنا بإعادة تسمية الصفحة إدارة Intel ونقلها مع مهام سير عمل التحليل الذكي للمخاطر الأخرى. لا يوجد تغيير للعملاء الذين يستخدمون Microsoft Sentinel في تجربة Azure.
تتوفر تحسينات على قدرات التحليل الذكي للمخاطر للعملاء الذين يستخدمون كل من تجارب Microsoft Sentinel. تعمل واجهة الإدارة على تبسيط إنشاء وتحليل معلومات التهديد باستخدام هذه الميزات الرئيسية:
- تعريف العلاقات أثناء إنشاء كائنات STIX جديدة.
- قم بتنسيق التحليل الذكي للمخاطر الحالي مع منشئ العلاقة الجديد.
- إنشاء كائنات متعددة بسرعة عن طريق نسخ بيانات التعريف الشائعة من كائن TI جديد أو موجود باستخدام ميزة تكرار.
- استخدم البحث المتقدم لفرز عناصر التحليل الذكي للمخاطر وتصفيتها دون حتى كتابة استعلام Log Analytics.
لمزيد من المعلومات، راجع المقالات التالية:
- كائنات STIX الجديدة في Microsoft Sentinel
- فهم التحليل الذكي للمخاطر
- الكشف عن الخصوم باستخدام التحليل الذكي للمخاطر في منصة SecOps الموحدة من Microsoft
إلغاء تأمين التتبع المتقدم باستخدام كائنات STIX الجديدة عن طريق الاشتراك في جداول التحليل الذكي للمخاطر الجديدة
لا تتوفر الجداول التي تدعم مخطط كائن STIX الجديد بشكل عام. للاستعلام عن التحليل الذكي للمخاطر لكائنات STIX باستخدام KQL وإلغاء تأمين نموذج التتبع الذي يستخدمها، اطلب الاشتراك في هذا النموذج. استيعاب التحليل الذكي للمخاطر في الجداول الجديدة، ThreatIntelIndicator جنبا ThreatIntelObjects إلى جنب مع أو بدلا من الجدول الحالي، ThreatIntelligenceIndicatorمع عملية الاشتراك هذه.
لمزيد من المعلومات، راجع إعلان المدونة كائنات STIX الجديدة في Microsoft Sentinel.
تدعم واجهة برمجة تطبيقات تحميل التحليل الذكي للمخاطر الآن المزيد من كائنات STIX
تحقيق أقصى استفادة من الأنظمة الأساسية للتحليل الذكي للمخاطر عند توصيلها ب Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل. الآن يمكنك استيعاب كائنات أكثر من مجرد مؤشرات، مما يعكس التحليل الذكي للمخاطر المتنوعة المتاحة. تدعم واجهة برمجة تطبيقات التحميل كائنات STIX التالية:
indicatorattack-patternidentitythreat-actorrelationship
لمزيد من المعلومات، راجع المقالات التالية:
- توصيل النظام الأساسي للمعلومات عن التهديدات باستخدام واجهة برمجة تطبيقات التحميل (معاينة)
- استيراد التحليل الذكي للمخاطر إلى Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل (معاينة)
- كائنات STIX الجديدة في Microsoft Sentinel
تحليل ذكي للمخاطر في Microsoft Defender موصلات البيانات متاحة الآن بشكل عام (GA)
تتوفر الآن موصلات بيانات تحليل ذكي للمخاطر في Microsoft Defender المتميزة والقياسية بشكل عام (GA) في مركز المحتوى. لمزيد من المعلومات، راجع المقالات التالية:
- استكشاف تراخيص Defender Threat Intelligence
- تمكين موصل بيانات تحليل ذكي للمخاطر في Microsoft Defender
دعم قالب Bicep للمستودعات (معاينة)
استخدم قوالب Bicep جنبا إلى جنب مع قوالب ARM JSON أو كبديل لها في مستودعات Microsoft Sentinel. يوفر Bicep طريقة بديهية لإنشاء قوالب لموارد Azure وعناصر محتوى Microsoft Sentinel. ليس من السهل فقط تطوير عناصر محتوى جديدة، بل يسهل Bicep مراجعة المحتوى وتحديثه لأي شخص يشكل جزءا من التكامل المستمر لمحتوى Microsoft Sentinel وتسليمه.
لمزيد من المعلومات، راجع تخطيط محتوى المستودع.
تحديثات تحسين SOC لإدارة التغطية الموحدة
في مساحات العمل الممكنة لعمليات الأمان الموحدة، تدعم تحسينات SOC الآن كل من بيانات SIEM وXDR، مع تغطية الكشف من جميع خدمات Microsoft Defender.
في مدخل Defender، توفر تحسيناتSOC وصفحات MITRE ATT&CK الآن وظائف إضافية لتحسينات التغطية المستندة إلى التهديدات لمساعدتك على فهم تأثير التوصيات على بيئتك ومساعدتك على تحديد أولويات التنفيذ أولا.
تتضمن التحسينات ما يلي:
| المنطقة | التفاصيل |
|---|---|
| صفحة نظرة عامة على تحسينات SOC |
- درجة عالية أو متوسطة أو منخفضة لتغطية الكشف الحالية. يمكن أن يساعدك هذا النوع من التسجيل في تحديد التوصيات التي يجب تحديد أولوياتها في لمحة. - إشارة إلى عدد منتجات (خدمات) Microsoft Defender النشطة من جميع المنتجات المتوفرة. يساعدك هذا على فهم ما إذا كان هناك منتج كامل مفقود في بيئتك. |
|
الجزء الجانبي تفاصيل التحسين، يظهر عند التنقل لأسفل إلى تحسين معين |
- تحليل تغطية مفصل، بما في ذلك عدد عمليات الكشف المعرفة من قبل المستخدم وإجراءات الاستجابة والمنتجات التي لديك نشطة. - مخططات عنكبوتية مفصلة تظهر التغطية الخاصة بك عبر فئات التهديد المختلفة، لكل من عمليات الكشف المعرفة من قبل المستخدم وخارج الصندوق. - خيار للانتقال إلى سيناريو التهديد المحدد في صفحة MITRE ATT&CK بدلا من عرض تغطية MITRE ATT&CK فقط في الجزء الجانبي. - خيار لعرض سيناريو التهديد الكامل للتنقل وصولا إلى مزيد من التفاصيل حول منتجات الأمان والكشف المتاحة لتوفير تغطية أمنية في بيئتك. |
| صفحة MITRE ATT CK | - تبديل جديد لعرض التغطية حسب سيناريو التهديد. إذا قفزت إلى صفحة MITRE ATT&CK إما من جزء جانبي لتفاصيل التوصية أو من صفحة عرض سيناريو التهديد الكامل، تتم تصفية صفحة MITRE ATT&CK مسبقا لسيناريو التهديد الخاص بك. - يظهر جزء تفاصيل التقنية، الذي يظهر على الجانب عند تحديد تقنية MITRE ATT&CK محددة، الآن عدد عمليات الكشف النشطة من جميع الاكتشافات المتاحة لتلك التقنية. |
لمزيد من المعلومات، راجع تحسين عمليات الأمان وفهم تغطية الأمان بواسطة إطار عمل MITRE ATT&CK.
عرض محتوى الحل متعدد المستويات في مركز محتوى Microsoft Sentinel
يمكنك الآن عرض المحتوى الفردي المتوفر في حل معين مباشرة من مركز المحتوى، حتى قبل تثبيت الحل. تساعدك هذه الرؤية الجديدة على فهم المحتوى المتوفر لك، وتحديد الحلول المحددة التي تحتاج إليها وتخطيطها وتثبيتها بسهولة أكبر.
قم بتوسيع كل حل في مركز المحتوى لعرض محتوى الأمان المضمن. على سبيل المثال:
تتضمن تحديثات محتوى الحل متعدد المستويات أيضا محرك بحث الذكاء الاصطناعي إنشاءي يساعدك على تشغيل عمليات بحث أكثر قوة، والتعمق في محتوى الحل، وإرجاع النتائج لمصطلحات مماثلة.
لمزيد من المعلومات، راجع اكتشاف المحتوى.
ديسمبر 2024
- توصية تحسين SOC جديدة استنادا إلى مؤسسات مماثلة (معاينة)
- النشر بدون عامل لتطبيقات SAP (معاينة محدودة)
- مصنفات Microsoft Sentinel متاحة الآن للعرض مباشرة في مدخل Microsoft Defender
- حل Microsoft Sentinel الموحد لتطبيقات Microsoft Business
- مكتبة وثائق جديدة للنظام الأساسي لعمليات الأمان الموحدة من Microsoft
- موصل بيانات جديد يستند إلى S3 لسجلات Amazon Web Services WAF (معاينة)
توصية تحسين SOC جديدة استنادا إلى مؤسسات مماثلة (معاينة)
يتضمن تحسين SOC الآن توصيات جديدة لإضافة مصادر بيانات إلى مساحة العمل الخاصة بك استنادا إلى الوضع الأمني للعملاء الآخرين في صناعات وقطاعات مماثلة لك، ومع أنماط استيعاب بيانات مماثلة. أضف مصادر البيانات الموصى بها لتحسين تغطية الأمان لمؤسستك.
لمزيد من المعلومات، راجع مرجع تحسين SOC للتوصيات.
النشر بدون عامل لتطبيقات SAP (معاينة محدودة)
يدعم حل Microsoft Sentinel لتطبيقات SAP الآن توزيعا بدون عامل، باستخدام ميزات النظام الأساسي السحابي الخاصة ب SAP لتوفير نشر واتصال مبسط بدون عامل. بدلا من نشر جهاز ظاهري وعامل حاوية، استخدم SAP Cloud Connector واتصالاته الحالية بأنظمة ABAP الخلفية لتوصيل نظام SAP الخاص بك ب Microsoft Sentinel.
يستخدم الحل بدون عامل SAP Cloud Connector وSAP Integration Suite، وهما مألوفان بالفعل لمعظم عملاء SAP. يقلل هذا بشكل كبير من أوقات النشر، خاصة بالنسبة لأولئك الأقل دراية بإدارة Docker وKubernetes وLinux. باستخدام SAP Cloud Connector، يحقق الحل أرباحا من الإعدادات الموجودة بالفعل وعمليات التكامل المنشأة. وهذا يعني أنك لست مضطرا إلى معالجة تحديات الشبكة مرة أخرى، لأن الأشخاص الذين يشغلون SAP Cloud Connector قد مروا بالفعل بهذه العملية.
يتوافق الحل بدون عامل مع SAP S/4HANA Cloud وPrive Edition RISE مع SAP وSAP S/4HANA المحلي ومكون SAP ERP المركزي (ECC)، ما يضمن استمرار وظائف محتوى الأمان الحالي، بما في ذلك الاكتشافات والمصنفات ودلائل المبادئ.
هام
حل Microsoft Sentinel بدون عامل في معاينة محدودة كمنتج تم إصداره مسبقا، والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات صريحة أو ضمنية، فيما يتعلق بالمعلومات المقدمة هنا. يتطلب الوصول إلى الحل Agentless أيضا التسجيل ولا يتوفر إلا للعملاء والشركاء المعتمدين خلال فترة المعاينة.
لمزيد من المعلومات، راجع:
- Microsoft Sentinel ل SAP يصبح بدون عامل
- التسجيل للحصول على المعاينة المحدودة
- حل Microsoft Sentinel لتطبيقات SAP: نظرة عامة على النشر
مصنفات Microsoft Sentinel متاحة الآن للعرض مباشرة في مدخل Microsoft Defender
تتوفر مصنفات Microsoft Sentinel الآن للعرض مباشرة في مدخل Microsoft Defender لعمليات الأمان الموحدة (SecOps). الآن، في مدخل Defender، عند تحديد مصنفات إدارة> المخاطر في Microsoft Sentinel>، ستبقى في مدخل Defender بدلا من علامة تبويب جديدة يتم فتحها للمصنفات في مدخل Microsoft Azure. تابع الانتقال إلى مدخل Microsoft Azure فقط عندما تحتاج إلى تحرير المصنفات.
تستند مصنفات Microsoft Sentinel إلى مصنفات Azure Monitor، وتساعدك على تصور ومراقبة البيانات التي تم تناولها إلى Microsoft Sentinel. تضيف المصنفات جداول ومخططات مع تحليلات للسجلات والاستعلامات إلى الأدوات المتوفرة بالفعل.
لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel وتوصيل Microsoft Sentinel ب Microsoft Defender XDR.
حل Microsoft Sentinel الموحد لتطبيقات Microsoft Business
يوفر Microsoft Sentinel الآن حلا موحدا ل Microsoft Power Platform وMicrosoft Dynamics 365 Customer Engagement وMicrosoft Dynamics 365 Finance and Operations. يتضمن الحل موصلات البيانات ومحتوى الأمان لجميع الأنظمة الأساسية.
يزيل الحل المحدث تطبيقات Dynamics 365 CE وحلول Dynamics 365 Finance and Operations من مركز محتوى Microsoft Sentinel. سيرى العملاء الحاليون إعادة تسمية هذه الحلول إلى حل Microsoft Business Applications .
يزيل الحل المحدث أيضا موصل بيانات مخزون Power Platform. بينما يستمر دعم موصل بيانات مخزون Power Platform في مساحات العمل حيث تم نشره بالفعل، فإنه غير متوفر للنشرات الجديدة في مساحات العمل الأخرى.
لمزيد من المعلومات، راجع:
Microsoft Power Platform وMicrosoft Dynamics 365 Customer Engagement:
Microsoft Dynamics 365 Finance and Operations:
مكتبة وثائق جديدة للنظام الأساسي لعمليات الأمان الموحدة من Microsoft
ابحث عن وثائق مركزية حول النظام الأساسي SecOps الموحد من Microsoft في مدخل Microsoft Defender. تجمع منصة SecOps الموحدة من Microsoft القدرات الكاملة ل Microsoft Sentinel وMicrosoft Defender XDR وإدارة التعرض لمخاطر الأمان من Microsoft الذكاء الاصطناعي التوليدية في مدخل Defender. تعرف على الميزات والوظائف المتوفرة مع النظام الأساسي SecOps الموحد من Microsoft، ثم ابدأ في التخطيط للتوزيع.
موصل بيانات جديد يستند إلى S3 لسجلات Amazon Web Services WAF (معاينة)
استيعاب السجلات من جدار حماية تطبيق ويب Amazon Web Services (WAF) باستخدام موصل Microsoft Sentinel الجديد المستند إلى S3. يتميز هذا الموصل، للمرة الأولى، بإعداد تلقائي سريع وسهل، والاستفادة من قوالب AWS CloudFormation لإنشاء الموارد. أرسل سجلات AWS WAF إلى مستودع S3، حيث يقوم موصل البيانات باستردادها واستيعابها.
لمزيد من التفاصيل وإرشادات الإعداد، راجع توصيل Microsoft Sentinel بخدمات ويب Amazon لاستيعاب سجلات AWS WAF.
نوفمبر 2024
توفر Microsoft Sentinel في مدخل Microsoft Defender
أعلنا سابقا أن Microsoft Sentinel متوفر بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender.
الآن، في المعاينة، يتوفر Microsoft Sentinel في مدخل Defender حتى بدون Microsoft Defender XDR أو ترخيص Microsoft 365 E5. لمزيد من المعلومات، راجع:
أكتوبر 2024
تحديثات حل Microsoft Sentinel ل Microsoft Power Platform
بدءا من 17 أكتوبر 2024، يتم توجيه بيانات تسجيل التدقيق ل Power Apps وPower Platform DLP وموصلات Power Platform إلى PowerPlatformAdminActivity الجدول بدلا من PowerAppsActivityPowerPlatformDlpActivity الجداول و.PowerPlatformConnectorActivity
يتم تحديث محتوى الأمان في حل Microsoft Sentinel ل Microsoft Power Platform بالجدول والمخططات الجديدة لموصلات Power Apps وPower Platform DLP وPower Platform. نوصي بتحديث حل Power Platform في مساحة العمل إلى أحدث إصدار وتطبيق قوالب قواعد التحليلات المحدثة للاستفادة من التغييرات. لمزيد من المعلومات، راجع تثبيت المحتوى أو تحديثه.
يمكن للعملاء الذين يستخدمون موصلات بيانات مهملة ل Power Apps وPower Platform DLP وموصلات Power Platform قطع اتصال هذه الموصلات وإزالتها بأمان من مساحة عمل Microsoft Sentinel الخاصة بهم. يتم استيعاب جميع تدفقات البيانات المقترنة باستخدام موصل نشاط مسؤول Power Platform.
لمزيد من المعلومات، راجع مركز الرسائل.
سبتمبر 2024
- تمت إضافة تعيين المخطط إلى تجربة ترحيل SIEM
- سيتم إيقاف عناصر واجهة مستخدم الإثراء التابعة لجهة خارجية في فبراير 2025
- تحتوي حجوزات Azure الآن على خطط الشراء المسبق المتوفرة ل Microsoft Sentinel
- استيراد/تصدير قواعد الأتمتة المتاحة الآن بشكل عام (GA)
- تتوفر الآن موصلات بيانات Google Cloud Platform بشكل عام (GA)
- يتوفر Microsoft Sentinel الآن بشكل عام (GA) في Azure إسرائيل Central
تمت إضافة تعيين المخطط إلى تجربة ترحيل SIEM
منذ أن أصبحت تجربة ترحيل SIEM متاحة بشكل عام في مايو 2024، تم إجراء تحسينات ثابتة للمساعدة في ترحيل مراقبة الأمان من Splunk. تتيح الميزات الجديدة التالية للعملاء توفير مزيد من التفاصيل السياقية حول بيئة Splunk الخاصة بهم واستخدامهم لمحرك ترجمة ترحيل MICROSOFT Sentinel SIEM:
- تعيين المخطط
- دعم وحدات ماكرو Splunk في الترجمة
- دعم عمليات بحث Splunk في الترجمة
لمعرفة المزيد حول هذه التحديثات، راجع تجربة ترحيل SIEM.
لمزيد من المعلومات حول تجربة ترحيل SIEM، راجع المقالات التالية:
سيتم إيقاف عناصر واجهة مستخدم الإثراء التابعة لجهة خارجية في فبراير 2025
فعالة على الفور، لم يعد بإمكانك تمكين الميزة لإنشاء عناصر واجهة مستخدم الإثراء التي تسترد البيانات من مصادر بيانات خارجية تابعة لجهة خارجية. يتم عرض عناصر واجهة المستخدم هذه على صفحات كيان Microsoft Sentinel وفي مواقع أخرى حيث يتم تقديم معلومات الكيان. يحدث هذا التغيير لأنه لم يعد بإمكانك إنشاء مخزن مفاتيح Azure المطلوب للوصول إلى مصادر البيانات الخارجية هذه.
إذا كنت تستخدم بالفعل أي عناصر واجهة مستخدم إثراء تابعة لجهة خارجية، أي إذا كان مخزن المفاتيح هذا موجودا بالفعل، فلا يزال بإمكانك تكوين واستخدام عناصر واجهة المستخدم التي لم تكن تستخدمها من قبل، على الرغم من أننا لا نوصي بالقيام بذلك.
اعتبارا من فبراير 2025، ستتوقف أي عناصر واجهة مستخدم للإثراء تقوم باسترداد البيانات من مصادر خارجية، على صفحات الكيان أو في أي مكان آخر.
إذا كانت مؤسستك تستخدم عناصر واجهة مستخدم إثراء تابعة لجهة خارجية، نوصي بتعطيلها مسبقا، عن طريق حذف مخزن المفاتيح الذي أنشأته لهذا الغرض من مجموعة الموارد الخاصة بها. يبدأ اسم key vault ب "عناصر واجهة المستخدم".
لا تتأثر عناصر واجهة مستخدم الإثراء المستندة إلى مصادر بيانات الطرف الأول بهذا التغيير، وستستمر في العمل كما كان من قبل. تتضمن "مصادر بيانات الطرف الأول" أي بيانات تم استيعابها بالفعل في Microsoft Sentinel من مصادر خارجية - بمعنى آخر، أي شيء في الجداول في مساحة عمل Log Analytics الخاصة بك - تحليل ذكي للمخاطر في Microsoft Defender.
تتوفر خطط الشراء المسبق الآن ل Microsoft Sentinel
خطط الشراء المسبق هي نوع من حجز Azure. عند شراء خطة ما قبل الشراء، تحصل على وحدات الالتزام (CUs) في مستويات مخفضة لمنتج معين. تنطبق وحدات تثبيت Microsoft Sentinel (SCUs) على التكاليف المؤهلة في مساحة العمل الخاصة بك. عندما يكون لديك تكاليف يمكن التنبؤ بها، فإن اختيار خطة الشراء المسبق المناسبة يوفر لك المال!
لمزيد من المعلومات، راجع تحسين التكاليف باستخدام خطة ما قبل الشراء.
استيراد/تصدير قواعد الأتمتة المتاحة الآن بشكل عام (GA)
تتوفر الآن القدرة على تصدير قواعد التنفيذ التلقائي إلى قوالب Azure Resource Manager (ARM) بتنسيق JSON، واستيرادها من قوالب ARM، بشكل عام بعد فترة معاينة قصيرة.
تعرف على المزيد حول تصدير قواعد التشغيل التلقائي واستيرادها.
تتوفر الآن موصلات بيانات Google Cloud Platform بشكل عام (GA)
تتوفر الآن بشكل عام موصلات بيانات Google Cloud Platform (GCP) الخاصة ب Microsoft Sentinel، استنادا إلى النظام الأساسي للموصل بدون تعليمات برمجية (CCP). باستخدام هذه الموصلات، يمكنك استيعاب السجلات من بيئة GCP باستخدام إمكانية GCP Pub/Sub:
يجمع موصل سجلات التدقيق الفرعية/Pub في Google Cloud Platform (GCP) مسارات التدقيق للوصول إلى موارد GCP. يمكن للمحللين مراقبة هذه السجلات لتتبع محاولات الوصول إلى الموارد واكتشاف التهديدات المحتملة عبر بيئة GCP.
يجمع موصل مركز أوامر أمان Google Cloud Platform (GCP) النتائج من مركز أوامر أمان Google، وهو نظام أساسي قوي لإدارة المخاطر والأمان ل Google Cloud. يمكن للمحللين الاطلاع على هذه النتائج للحصول على رؤى حول الوضع الأمني للمؤسسة، بما في ذلك مخزون الأصول واكتشافها، والكشف عن نقاط الضعف والتهديدات، وتخفيف المخاطر ومعالجتها.
لمزيد من المعلومات حول هذه الموصلات، راجع استيعاب بيانات سجل Google Cloud Platform في Microsoft Sentinel.
يتوفر Microsoft Sentinel الآن بشكل عام (GA) في Azure إسرائيل Central
يتوفر Microsoft Sentinel الآن في منطقة Azure الوسطى في إسرائيل، مع نفس مجموعة الميزات مثل جميع مناطق Azure التجارية الأخرى.
لمزيد من المعلومات، راجع كدعم ميزة Microsoft Sentinel للسحب التجارية/الأخرى ل Azure والتوفر الجغرافي وإقامة البيانات في Microsoft Sentinel.
أغسطس 2024
- إيقاف عامل Log Analytics
- قواعد أتمتة التصدير والاستيراد (معاينة)
- دعم Microsoft Sentinel في إدارة متعددة المستأجرين في Microsoft Defender (معاينة)
- موصل بيانات تحليل ذكي للمخاطر في Microsoft Defender Premium (معاينة)
- الموصلات الموحدة المستندة إلى AMA لاستيعاب سجل النظام
- رؤية أفضل لأحداث أمان Windows
- خطة استبقاء السجلات الإضافية الجديدة (معاينة)
- إنشاء قواعد ملخص لمجموعات كبيرة من البيانات (معاينة)
إيقاف عامل Log Analytics
اعتبارا من 31 أغسطس 2024، تم إيقاف عامل Log Analytics (MMA/OMS).
يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. إذا كنت تستخدم عامل Log Analytics في نشر Microsoft Sentinel، نوصي بالترحيل إلى عامل Azure Monitor (AMA).
لمزيد من المعلومات، راجع:
- البحث عن موصل بيانات Microsoft Azure Sentinel
- الترحيل إلى عامل Azure Monitor من عامل Log Analytics
- ترحيل AMA ل Microsoft Sentinel
- المدونات:
قواعد أتمتة التصدير والاستيراد (معاينة)
إدارة قواعد أتمتة Microsoft Sentinel كتعليل برمجي! يمكنك الآن تصدير قواعد التشغيل التلقائي إلى ملفات قالب Azure Resource Manager (ARM)، واستيراد القواعد من هذه الملفات، كجزء من برنامجك لإدارة عمليات نشر Microsoft Sentinel والتحكم فيها كتعلم برمجي. سيؤدي إجراء التصدير إلى إنشاء ملف JSON في موقع تنزيلات المستعرض، يمكنك بعد ذلك إعادة تسميته ونقله والتعامل معه مثل أي ملف آخر.
ملف JSON الذي تم تصديره مستقل عن مساحة العمل، لذلك يمكن استيراده إلى مساحات العمل الأخرى وحتى المستأجرين الآخرين. كتعليمة برمجية، يمكن أيضًا التحكم في الإصدار وتحديثه ونشره في إطار CI/CD مُدار.
يتضمن الملف جميع المعلمات المحددة في قاعدة التنفيذ التلقائي. يمكن تصدير القواعد من أي نوع مشغل إلى ملف JSON.
تعرف على المزيد حول تصدير قواعد التشغيل التلقائي واستيرادها.
دعم Microsoft Sentinel في إدارة متعددة المستأجرين في Microsoft Defender (معاينة)
إذا قمت بإلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة من Microsoft، فإن بيانات Microsoft Sentinel متوفرة الآن مع بيانات Defender XDR في إدارة Microsoft Defender متعددة المستأجرين. مساحة عمل Microsoft Sentinel واحدة فقط لكل مستأجر مدعومة حاليا في النظام الأساسي لعمليات الأمان الموحدة من Microsoft. لذلك، تعرض الإدارة متعددة المستأجرين من Microsoft Defender معلومات الأمان وبيانات إدارة الأحداث (SIEM) من مساحة عمل واحدة من Microsoft Sentinel لكل مستأجر. لمزيد من المعلومات، راجع إدارة Microsoft Defender متعددة المستأجرين وMicrosoft Sentinel في مدخل Microsoft Defender.
موصل بيانات تحليل ذكي للمخاطر في Microsoft Defender Premium (معاينة)
يعمل ترخيصك المتميز تحليل ذكي للمخاطر في Microsoft Defender (MDTI) الآن على إلغاء تأمين القدرة على استيعاب جميع المؤشرات المتميزة مباشرة في مساحة العمل الخاصة بك. يضيف موصل بيانات MDTI المتميز المزيد إلى قدرات التتبع والبحث داخل Microsoft Sentinel.
لمزيد من المعلومات، راجع فهم التحليل الذكي للمخاطر.
الموصلات الموحدة المستندة إلى AMA لاستيعاب سجل النظام
مع الإيقاف الوشيك لعامل Log Analytics، قامت Microsoft Sentinel بدمج جمع واستيعاب رسائل سجل syslog وCEF ورسائل السجل ذات التنسيق المخصص في ثلاثة موصلات بيانات متعددة الأغراض استنادا إلى عامل Azure Monitor (AMA):
- Syslog عبر AMA، لأي جهاز يتم إدخال سجلاته في جدول Syslog في Log Analytics.
- تنسيق الحدث الشائع (CEF) عبر AMA، لأي جهاز يتم إدخال سجلاته في جدول CommonSecurityLog في Log Analytics.
- جديد! سجلات مخصصة عبر AMA (معاينة)، لأي نوع من أنواع الأجهزة ال 15، أو أي جهاز غير مدرج، يتم إدخال سجلاته في جداول مخصصة بأسماء تنتهي _CL في Log Analytics.
تحل هذه الموصلات محل جميع الموصلات الموجودة تقريبا لأنواع الأجهزة والأجهزة الفردية التي كانت موجودة حتى الآن، والتي كانت تستند إما إلى عامل Log Analytics القديم (المعروف أيضا باسم MMA أو OMS) أو عامل Azure Monitor الحالي. تتضمن الحلول المتوفرة في مركز المحتوى لجميع هذه الأجهزة والأجهزة الآن أيا من هذه الموصلات الثلاثة المناسبة للحل.* يتم الآن وضع علامة "مهمل" على الموصلات التي تم استبدالها في معرض موصلات البيانات.
يمكن الآن العثور على الرسوم البيانية لاستيعاب البيانات التي تم العثور عليها مسبقا في صفحة موصل كل جهاز في المصنفات الخاصة بالجهاز المحزمة مع حل كل جهاز.
* عند تثبيت الحل لأي من هذه التطبيقات أو الأجهزة أو الأجهزة، للتأكد من تثبيت موصل البيانات المصاحب، يجب تحديد تثبيت مع التبعيات على صفحة الحل، ثم وضع علامة على موصل البيانات في الصفحة التالية.
للاطلاع على الإجراءات المحدثة لتثبيت هذه الحلول، راجع المقالات التالية:
- CEF عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel
- Syslog عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel
- سجلات مخصصة عبر موصل بيانات AMA - تكوين استيعاب البيانات إلى Microsoft Sentinel من تطبيقات معينة
رؤية أفضل لأحداث أمان Windows
لقد قمنا بتحسين مخطط جدول SecurityEvent الذي يستضيف أمن Windows الأحداث، وأضفنا أعمدة جديدة لضمان التوافق مع عامل Azure Monitor (AMA) لنظام التشغيل Windows (الإصدار 1.28.2). تم تصميم هذه التحسينات لزيادة رؤية أحداث Windows المجمعة وشفافيتها. إذا لم تكن مهتما بتلقي البيانات في هذه الحقول، يمكنك تطبيق تحويل وقت الاستيعاب ("خارج المشروع" على سبيل المثال) لإسقاطها.
خطة استبقاء السجلات الإضافية الجديدة (معاينة)
تتيح لك خطة استبقاء السجلات الإضافية الجديدة لجداول Log Analytics استيعاب كميات كبيرة من السجلات ذات الحجم الكبير بقيمة تكميلية للأمان بتكلفة أقل بكثير. تتوفر السجلات الإضافية مع الاستبقاء التفاعلي لمدة 30 يوما، حيث يمكنك تشغيل استعلامات بسيطة من جدول واحد عليها، مثل تلخيص البيانات وتجميعها. بعد فترة ال 30 يوما هذه، تنتقل بيانات السجل المساعدة إلى الاستبقاء طويل الأجل، والذي يمكنك تحديده لمدة تصل إلى 12 عاما، بتكلفة منخفضة للغاية. تسمح لك هذه الخطة أيضا بتشغيل مهام البحث على البيانات في الاحتفاظ طويل الأجل، واستخراج السجلات التي تريدها فقط إلى جدول جديد يمكنك التعامل معه مثل جدول Log Analytics عادي، مع قدرات الاستعلام الكاملة.
لمعرفة المزيد حول السجلات الإضافية والمقارنة مع سجلات التحليلات، راجع خطط استبقاء السجل في Microsoft Sentinel.
لمزيد من المعلومات المتعمقة حول خطط إدارة السجل المختلفة، راجع مقالة Table plans في مقالة نظرة عامة على سجلات Azure Monitor من وثائق Azure Monitor.
إنشاء قواعد ملخص في Microsoft Sentinel لمجموعات كبيرة من البيانات (معاينة)
يوفر Microsoft Sentinel الآن القدرة على إنشاء ملخصات ديناميكية باستخدام قواعد ملخص Azure Monitor، والتي تجمع مجموعات كبيرة من البيانات في الخلفية للحصول على تجربة عمليات أمان أكثر سلاسة عبر جميع طبقات السجل.
- الوصول إلى نتائج قاعدة ملخص عبر لغة استعلام Kusto (KQL) عبر أنشطة الكشف والتحقيق والتتبع وإعداد التقارير.
- تشغيل استعلامات Kusto Query Language (KQL) عالية الأداء على البيانات الملخصة.
- استخدم نتائج قاعدة التلخيص لفترات أطول في أنشطة التحقيق والتتبع والتوافق.
لمزيد من المعلومات، راجع تجميع بيانات Microsoft Sentinel باستخدام قواعد الملخص.