Megosztás a következőn keresztül:

A Microsoft Sentinel újdonságai

  • Cikk

Ez a cikk a Microsoft Sentinelhez újonnan hozzáadott funkciókat, valamint a kapcsolódó szolgáltatások új funkcióit sorolja fel, amelyek továbbfejlesztett felhasználói élményt nyújtanak a Microsoft Sentinelben. A Microsoft egyesített biztonsági műveleteinek (SecOps) platformjának új funkcióit az egyesített SecOps-platform dokumentációjában találja.

A felsorolt funkciók az elmúlt három hónapban jelentek meg. A korábbi szolgáltatásokról a Tech Community blogjaiban talál további információt.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

2025. január

A fenyegetésintelligencia-hírcsatornák optimalizálása betöltési szabályokkal

Optimalizálhatja a fenyegetésintelligencia-hírcsatornákat az objektumok szűrésével és továbbfejlesztésével, mielőtt azok a munkaterületre érkeznének. A betöltési szabályok frissítik a fenyegetés intel objektumattribútumait, vagy kiszűrik az objektumokat. Tekintse meg a blog közleményét itt!

További információ: A fenyegetésintelligencia-betöltési szabályok ismertetése.

Általánosan elérhető az egyező elemzési szabály (GA)

A Microsoft a Mostantól általánosan elérhető Defender Threat Intelligence elemzési szabályon keresztül hozzáférést biztosít a prémium szintű fenyegetésfelderítéshez. A magas megbízhatósági riasztásokat és incidenseket generáló szabály előnyeinek kihasználásáról további információt a fenyegetések észlelésére szolgáló egyező elemzések használata című témakörben talál.

A fenyegetésintelligencia-kezelő felület át lett helyezve

Megváltozott a Microsoft Sentinel fenyegetésfelderítése a Defender portálon! Átneveztük az Intel felügyeleti lapját, és más fenyegetésfelderítési munkafolyamatokkal áthelyeztük. Az Azure-élményben a Microsoft Sentinelt használó ügyfelek nem változnak.

Képernyőkép a Microsoft Sentinel fenyegetésintelligencia új menüjének elhelyezéséről.

A fenyegetésfelderítési képességek fejlesztései mindkét Microsoft Sentinel-élményt használó ügyfelek számára elérhetők. A felügyeleti felület leegyszerűsíti a fenyegetéskezelést és a fenyegetéskezelést az alábbi főbb funkciókkal:

  • Új STIX-objektumok létrehozásakor definiáljon kapcsolatokat.
  • A meglévő fenyegetésintelligencia-felderítést az új kapcsolatszerkesztővel kell lekontálni.
  • Hozzon létre gyorsan több objektumot egy új vagy meglévő TI-objektum gyakori metaadatainak másolásával duplikálási funkcióval.
  • Speciális kereséssel rendezheti és szűrheti a fenyegetésintelligencia-objektumokat anélkül, hogy Log Analytics-lekérdezést írana.

További információért tekintse át az alábbi cikkeket:

Az új STIX-objektumokkal végzett speciális vadászat zárolásának feloldása új fenyegetésintelligencia-táblák engedélyezésével

Az új STIX objektumsémát támogató táblák nem érhetők el nyilvánosan. Ha a KQL-vel szeretné lekérdezni az STIX-objektumok fenyegetésintelligencia-intelligenciáját, és feloldani az őket használó vadászmodellt, kérje az űrlap használatát. A fenyegetésintelligencia betöltése az új táblákba és ThreatIntelIndicatorThreatIntelObjects az aktuális táblázat mellett vagy helyett, ThreatIntelligenceIndicatorezzel a bejelentkezési folyamattal.

További információt a Microsoft Sentinel új STIX-objektumairól szóló blogbejegyzésben talál.

A fenyegetésintelligencia-feltöltési API mostantól több STIX-objektumot támogat

A fenyegetésintelligencia-platformok kihasználása, amikor a Feltöltési API-val csatlakoztatja őket a Microsoft Sentinelhez. Most már több objektumot is betölthet, mint csak a jelzőket, ami a rendelkezésre álló különböző fenyegetésintelligencia-információkat tükrözi. A feltöltési API a következő STIX-objektumokat támogatja:

  • indicator
  • attack-pattern
  • identity
  • threat-actor
  • relationship

További információért tekintse át az alábbi cikkeket:

Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötők már általánosan elérhetők (GA)

A prémium és a standard Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötők mostantól általánosan elérhetők a tartalomközpontban. További információért tekintse át az alábbi cikkeket:

Bicep-sablon támogatása adattárakhoz (előzetes verzió)

A Bicep sablonok használata az ARM JSON sablonok mellett vagy helyett a Microsoft Sentinel tárolókban. A Bicep intuitív módon készít sablonokat Azure-erőforrásokból és Microsoft Sentinel-tartalomelemekből. A Bicep nemcsak az új tartalomelemek fejlesztését teszi egyszerűbbé, hanem a microsoftos Sentinel-tartalmak folyamatos integrációjának és kézbesítésének részét képező felhasználók számára is egyszerűbbé teszi a tartalmak áttekintését és frissítését.

További információ: Az adattár tartalmának megtervezve.

SOC-optimalizálási frissítések az egységes lefedettségkezeléshez

Az egységes biztonsági műveletekhez engedélyezett munkaterületeken az SOC-optimalizálás mostantól támogatja az SIEM- és az XDR-adatokat is, a Microsoft Defender-szolgáltatásokból származó észlelési lefedettséggel.

A Defender portálon az SOC-optimalizálás ésa MITRE ATT&CK-lapok mostantól további funkciókat is biztosítanak a fenyegetésalapú lefedettség-optimalizáláshoz, így könnyebben megértheti a javaslatok környezetre gyakorolt hatását, és könnyebben rangsorolhatja, hogy melyiket kell először implementálnia.

A továbbfejlesztések között található:

Terület Részletek
SOC-optimalizálás – áttekintési oldal - Az aktuális észlelési lefedettség magas, közepes vagy alacsony pontszáma. Ez a fajta pontozás segíthet eldönteni, hogy mely javaslatok rangsorolhatók egy pillantással.

– Az összes elérhető termék közül az aktív Microsoft Defender-termékek (szolgáltatások) számának jelzése. Ez segít megérteni, hogy egy teljes termék hiányzik-e a környezetéből.
Optimalizálási részletek oldalpanel,
jelenik meg, amikor lehatolást mutat egy adott optimalizálásra		 – Részletes lefedettségelemzés, beleértve a felhasználó által definiált észlelések, válaszműveletek és aktív termékek számát.

- Részletes pókdiagramok, amelyek különböző fenyegetéskategóriákban jelenítik meg a lefedettséget, mind a felhasználó által meghatározott, mind a beépített észlelésekhez.

– Lehetőség arra, hogy a MITRE ATT&CK oldalon az adott veszélyforrás-forgatókönyvre ugorjon ahelyett, hogy csak az oldalsó panelen tekinti meg a MITRE ATT&CK lefedettségét.

– A teljes veszélyforrás-forgatókönyv megtekintésére szolgáló lehetőség, amely részletesebben is részletezi az elérhető biztonsági termékeket és észleléseket a környezet biztonsági lefedettségének biztosításához.
MITRE ATT&CK oldal – Új kapcsoló a lefedettség fenyegetéses forgatókönyv szerinti megtekintéséhez. Ha a MITRE ATT&CK lapra ugrott egy javaslat részleteinek oldalán vagy a Teljes fenyegetés forgatókönyvének megtekintése lapon, a MITRE ATT&CK lap előre szűrve lesz a fenyegetési forgatókönyvre.

- A technika részletei panel, amely egy adott MITRE ATT&CK-technika kiválasztásakor jelenik meg az oldalon, most az aktív detektálások számát jeleníti meg az adott technika összes elérhető észlelése közül.

További információ: A biztonsági műveletek optimalizálása és a MITRE ATT&CK keretrendszer biztonsági lefedettségének ismertetése.

Részletes megoldástartalom megtekintése a Microsoft Sentinel tartalomközpontban

Most már megtekintheti az adott megoldásban elérhető egyes tartalmakat közvetlenül a Tartalomközpontból, még a megoldás telepítése előtt. Ez az új láthatóság segít megérteni az Ön számára elérhető tartalmakat, és könnyebben azonosíthatja, megtervezheti és telepítheti a szükséges megoldásokat.

Bontsa ki az egyes megoldásokat a Tartalomközpontban a belefoglalt biztonsági tartalmak megtekintéséhez. Példa:

Képernyőkép a részletes tartalom megjelenítéséről.

A részletes megoldástartalom-frissítések közé tartozik egy generatív AI-alapú keresőmotor is, amely segít robusztusabb keresések futtatásában, a megoldás tartalmának mélyebb feltárásában és hasonló kifejezések eredményeinek visszaadásában.

További információ: Tartalom felfedezése.

2024. december

Új SOC-optimalizálási javaslat hasonló szervezetek alapján (előzetes verzió)

Az SOC-optimalizálás mostantól új javaslatokat is tartalmaz az adatforrások munkaterülethez való hozzáadásához a hasonló iparágakban és ágazatokban lévő más ügyfelek biztonsági helyzetének és a hasonló adatbetöltési mintáknak megfelelően. Adja hozzá az ajánlott adatforrásokat a szervezet biztonsági lefedettségének javítása érdekében.

További információkért lásd a javaslatok SOC-optimalizálási referenciáját.

Ügynök nélküli üzembe helyezés SAP-alkalmazásokhoz (korlátozott előzetes verzió)

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás mostantól támogatja az ügynök nélküli üzembe helyezést, és az SAP saját felhőplatform-funkcióival egyszerűbb, ügynök nélküli üzembe helyezést és kapcsolatot biztosít. Virtuális gép és tárolóalapú ügynök üzembe helyezése helyett használja az SAP Cloud Connectort és a meglévő kapcsolatait háttérbeli ABAP-rendszerekhez az SAP-rendszer Microsoft Sentinelhez való csatlakoztatásához.

Az ügynök nélküli megoldás az SAP Cloud Connectort és az SAP Integration Suite-t használja, amely a legtöbb SAP-ügyfél számára már ismerős. Ez jelentősen csökkenti az üzembehelyezési időket, különösen azok számára, akik kevésbé ismerik a Dockert, a Kubernetes-t és a Linux-felügyeletet. Az SAP Cloud Connector használatával a megoldás profitot termel a már meglévő beállításokból és a létrehozott integrációs folyamatokból. Ez azt jelenti, hogy nem kell többé foglalkoznia a hálózati kihívásokkal, mivel az SAP Cloud Connectort futtató személyek már végighaladtak ezen a folyamaton.

Az ügynök nélküli megoldás kompatibilis az SAP S/4HANA Cloud, a Private Edition RISE és a helyszíni SAP S/4HANA és az SAP ERP Central Component (ECC) szolgáltatással, így biztosítva a meglévő biztonsági tartalmak, többek között az észlelések, munkafüzetek és forgatókönyvek folyamatos működését.

Fontos

A Microsoft Sentinel ügynök nélküli megoldása előzetes kiadású termékként korlátozott előzetes verzióban érhető el, amely a kereskedelmi forgalomba kerülése előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan. Az ügynök nélküli megoldáshoz való hozzáférés regisztrációt is igényel, és csak a jóváhagyott ügyfelek és partnerek számára érhető el az előzetes verzió időtartama alatt.

További információk:

A Microsoft Sentinel-munkafüzetek mostantól közvetlenül a Microsoft Defender portálon tekinthetők meg

A Microsoft Sentinel-munkafüzetek mostantól közvetlenül a Microsoft Defender portálon tekinthetők meg egységes biztonsági műveletekhez (SecOps). A Defender portálon a Microsoft Sentinel > fenyegetéskezelési> munkafüzetek kiválasztásakor aHelyett, hogy új lap nyílik meg az Azure Portal munkafüzetei számára, a Defender portálon marad. Csak akkor folytassa a lapozást az Azure Portalon, ha szerkesztenie kell a munkafüzeteket.

A Microsoft Sentinel-munkafüzetek Azure Monitor-munkafüzeteken alapulnak, és segítenek a Microsoft Sentinelbe betöltött adatok vizualizációjában és monitorozásában. A munkafüzetek táblákat és diagramokat adnak hozzá a naplók és lekérdezések elemzésével a már elérhető eszközökhöz.

További információ: Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben , és a Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez.

Egyesített Microsoft Sentinel-megoldás a Microsoft Business Appshez

A Microsoft Sentinel mostantól egységes megoldást kínál a Microsoft Power Platform, a Microsoft Dynamics 365 Customer Engagement és a Microsoft Dynamics 365 Finance and Operations számára. A megoldás minden platformhoz tartalmaz adatösszekötőket és biztonsági tartalmakat.

A frissített megoldás eltávolítja a Dynamics 365 CE Apps és a Dynamics 365 Finance and Operations megoldásokat a Microsoft Sentinel Tartalomközpontból. A meglévő ügyfelek láthatják, hogy ezek a megoldások a Microsoft Business Applications megoldásra lesznek átnevezve.

A frissített megoldás eltávolítja a Power Platform Inventory adatösszekötőt is. Bár a Power Platform Inventory adatösszekötő továbbra is támogatott azon munkaterületeken, ahol már üzembe helyezték, más munkaterületeken nem érhető el új üzembe helyezésekhez.

További információk:

A Microsoft egyesített biztonsági üzemeltetési platformjának új dokumentációs tára

Központosított dokumentációt találhat a Microsoft egyesített SecOps platformjáról a Microsoft Defender portálon. A Microsoft egyesített SecOps platformja a Microsoft Sentinel, a Microsoft Defender XDR, a Microsoft Security Exposure Management és a generatív AI teljes képességeit egyesíti a Defender portálon. Ismerje meg a Microsoft egységes SecOps platformján elérhető funkciókat és funkciókat, majd kezdje el megtervezni az üzembe helyezést.

Új S3-alapú adatösszekötő az Amazon Web Services WAF-naplóihoz (előzetes verzió)

Naplók betöltése az Amazon Web Services webalkalmazási tűzfalából (WAF) a Microsoft Sentinel új S3-alapú összekötőjével. Ez az összekötő első alkalommal kínál gyors és egyszerű automatikus beállítást, és az AWS CloudFormation sablonokat használja az erőforrások létrehozásához. Küldje el az AWS WAF-naplóit egy S3-gyűjtőbe, ahol az adatösszekötő lekéri és betölti őket.

További részletekért és telepítési utasításokért lásd: A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS WAF-naplók betöltéséhez.

2024. november

A Microsoft Sentinel elérhetősége a Microsoft Defender portálon

Korábban bejelentettük, hogy a Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon.

Most előzetes verzióban a Microsoft Sentinel elérhető a Defender portálon még Microsoft Defender XDR vagy Microsoft 365 E5 licenc nélkül is. További információk:

2024. október

A Microsoft Power PlatformHoz készült Microsoft Sentinel-megoldás frissítései

2024. október 17-től a Rendszer a Power Apps, a Power Platform DLP és a Power Platform-összekötők naplózási adatait irányítja a PowerPlatformAdminActivity táblához a PowerAppsActivitytáblák PowerPlatformDlpActivity helyett PowerPlatformConnectorActivity .

A Microsoft Power PlatformHoz készült Microsoft Sentinel-megoldás biztonsági tartalma frissül a Power Apps, a Power Platform DLP és a Power Platform-összekötők új táblázatával és sémáival. Javasoljuk, hogy frissítse a munkaterületen található Power Platform-megoldást a legújabb verzióra, és alkalmazza a frissített elemzési szabálysablonokat a módosítások előnyeinek kihasználásához. További információ: Tartalom telepítése vagy frissítése.

A Power Appshez, a Power Platform DLP-hez és a Power Platform-összekötőkhöz elavult adatösszekötőket használó ügyfelek biztonságosan leválaszthatják és eltávolíthatják ezeket az összekötőket a Microsoft Sentinel-munkaterületükről. Az összes társított adatfolyam a Power Platform felügyeleti tevékenység-összekötőjével van betöltve.

További információ: Üzenetközpont.

2024. szeptember

Sémaleképezés hozzáadva a SIEM migrálási felületéhez

Mivel a SIEM migrálási felülete 2024 májusában általánosan elérhetővé vált, folyamatos fejlesztések történtek a biztonsági monitorozás Splunkból való migrálásához. Az alábbi új funkciók lehetővé teszik az ügyfelek számára a Splunk-környezettel és -használattal kapcsolatos részletesebb információkat a Microsoft Sentinel SIEM Migration fordítási motorjának:

  • Séma-hozzárendelés
  • Splunk makrók támogatása fordításban
  • Splunk-keresések támogatása a fordításban

A frissítésekről további információt a SIEM migrálási felületében talál.

A SIEM migrálási felületével kapcsolatos további információkért tekintse meg az alábbi cikkeket:

2025 februárjában kivonandó külső bővítő widgetek

Azonnali hatállyal többé nem engedélyezheti a funkciót olyan bővítő widgetek létrehozására, amelyek külső, külső adatforrásokból kérnek le adatokat. Ezek a widgetek a Microsoft Sentinel entitásoldalain és más helyeken jelennek meg, ahol az entitásadatok megjelennek. Ez a változás azért történik, mert már nem tudja létrehozni a külső adatforrásokhoz való hozzáféréshez szükséges Azure-kulcstartót.

Ha már használ harmadik féltől származó bővítő widgeteket, vagyis ha ez a kulcstartó már létezik, akkor is konfigurálhatja és használhat olyan widgeteket, amelyeket korábban nem használt, bár ezt nem javasoljuk.

2025 februárjától a külső forrásokból adatokat lekérő meglévő bővítő widgetek nem jelennek meg entitásoldalakon vagy bárhol máshol.

Ha a szervezet külső bővítő widgeteket használ, javasoljuk, hogy előzetesen tiltsa le őket, ha törli az erre a célra létrehozott kulcstartót az erőforráscsoportból. A kulcstartó neve "widgetekkel" kezdődik.

A belső adatforrásokon alapuló bővítési vezérlőket ez a változás nem érinti, és továbbra is a korábbiakhoz hasonlóan fog működni. A "belső adatforrások" közé tartoznak azok az adatok, amelyeket külső forrásokból már betöltöttek a Microsoft Sentinelbe – vagyis a Log Analytics-munkaterület tábláiban lévő összes adatot – és Microsoft Defender Intelligens veszélyforrás-felderítés.

Már elérhetőek előzetes vásárlási csomagok a Microsoft Sentinelhez

Az elővásárlási csomagok az Azure-foglalások egy típusa. Az elővásárlási csomag megvásárlásakor a véglegesítési egységeket (CU-kat) kedvezményes szinteken kapja meg egy adott termékhez. A Microsoft Sentinel véglegesítési egységei (SCU-k) a munkaterület elszámolható költségeire vonatkoznak. Ha kiszámítható költségekkel rendelkezik, a megfelelő elővásárlási csomag kiválasztása pénzt takarít meg!

További információ: Költségek optimalizálása elővásárlási csomaggal.

Általánosan elérhető az automatizálási szabályok importálása/exportálása (GA)

Az automatizálási szabályok JSON formátumú Azure Resource Manager-(ARM-) sablonokba való exportálása és ARM-sablonokból való importálása mostantól általánosan elérhető rövid előzetes verzió után.

További információ az automatizálási szabályok exportálásáról és importálásáról.

A Google Cloud Platform adatösszekötői általánosan elérhetők (GA)

A Microsoft Sentinel Google Cloud Platform (GCP) adatösszekötői a Kód nélküli összekötő platform ( CCP) alapján már általánosan elérhetők. Ezekkel az összekötőkkel a GCP-környezet naplóit a GCP Pub/Sub funkcióval lehet betöltésre:

  • A Google Cloud Platform (GCP) Pub/Sub Audit Logs összekötő a GCP-erőforrásokhoz való hozzáférés naplózási naplóit gyűjti össze. Az elemzők figyelhetik ezeket a naplókat, hogy nyomon követhessék az erőforrás-hozzáférési kísérleteket, és észlelhessék a lehetséges fenyegetéseket a GCP-környezetben.

  • A Google Cloud Platform (GCP) Security Command Center összekötője a Google Cloud robusztus biztonsági és kockázatkezelési platformjának, a Google Security Command Centernek az eredményeit gyűjti össze. Az elemzők megtekinthetik ezeket az eredményeket, hogy betekintést nyerjenek a szervezet biztonsági helyzetébe, beleértve az eszközleltárat és -felderítést, a biztonsági rések és fenyegetések észlelését, valamint a kockázatcsökkentést és a szervizelést.

További információ ezekről az összekötőkről: Ingest Google Cloud Platform log data into Microsoft Sentinel.

A Microsoft Sentinel mostantól általánosan elérhető az Azure Israel Centralban

A Microsoft Sentinel mostantól elérhető az Izrael középső Azure-régiójában, és ugyanazzal a funkcióval rendelkezik, mint az összes többi Azure Kereskedelmi régió.

További információkért tekintse meg a Microsoft Sentinel szolgáltatástámogatását az Azure kereskedelmi/egyéb felhőihez , valamint a Microsoft Sentinel földrajzi elérhetőségéhez és adattárolásához.

2024. augusztus

A Log Analytics-ügynök kivonása

2024. augusztus 31-étől a Log Analytics-ügynök (MMA/OMS) megszűnik.

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel-üzemelő példányban, javasoljuk, hogy migráljon az Azure Monitor-ügynökbe (AMA).

További információk:

Automatizálási szabályok exportálása és importálása (előzetes verzió)

A Microsoft Sentinel automatizálási szabályainak kezelése kódként! Mostantól exportálhatja az automatizálási szabályokat az Azure Resource Manager-sablonfájlokba, és a program részeként importálhat szabályokat ezekből a fájlokból a Microsoft Sentinel-környezetek kódként való kezeléséhez és szabályozásához. Az exportálási művelet létrehoz egy JSON-fájlt a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.

Az exportált JSON-fájl munkaterületfüggetlen, így importálható más munkaterületekre és akár más bérlőkre is. Kódként verzióvezérelt, frissíthető és üzembe helyezhető felügyelt CI/CD-keretrendszerben is.

A fájl tartalmazza az automatizálási szabályban definiált összes paramétert. Bármely eseményindító-típus szabályai exportálhatók JSON-fájlba.

További információ az automatizálási szabályok exportálásáról és importálásáról.

Microsoft Sentinel-támogatás a Microsoft Defender több-bérlős felügyeletében (előzetes verzió)

Ha előkészítette a Microsoft Sentinelt a Microsoft egyesített biztonsági üzemeltetési platformjára, a Microsoft Sentinel-adatok mostantól elérhetők a Defender XDR-adatokkal a Microsoft Defender több-bérlős felügyeletében. Bérlőnként jelenleg csak egy Microsoft Sentinel-munkaterület támogatott a Microsoft egyesített biztonsági üzemeltetési platformjában. A Microsoft Defender több-bérlős kezelése tehát bérlőnként egy Microsoft Sentinel-munkaterület biztonsági adatait és eseménykezelési (SIEM) adatait jeleníti meg. További információ: Microsoft Defender több-bérlős felügyelet és Microsoft Sentinel a Microsoft Defender portálon.

Prémium Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötő (előzetes verzió)

Az Microsoft Defender Intelligens veszélyforrás-felderítés (MDTI) prémium licence mostantól lehetővé teszi az összes prémium mutató közvetlen betöltését a munkaterületre. A prémium szintű MDTI-adatösszekötő tovább bővíti a Microsoft Sentinel vadászati és kutatási képességeit.

További információ: A fenyegetésintelligencia ismertetése.

Egyesített AMA-alapú összekötők a syslog-betöltéshez

A Log Analytics-ügynök közelgő kivonásával a Microsoft Sentinel összevonta a syslog, CEF és egyéni formátumú naplóüzenetek gyűjtését és betöltését három többcélú adatösszekötőbe az Azure Monitor Agent (AMA) alapján:

  • Syslog az AMA-on keresztül minden olyan eszköz esetében, amelynek naplói a Log Analytics Syslog táblájába kerülnek.
  • Common Event Format (CEF) az AMA-n keresztül minden olyan eszköz esetében, amelynek naplói a Log Analytics CommonSecurityLog táblájába kerülnek.
  • Újdonság! Egyéni naplók az AMA-n keresztül (előzetes verzió)15 eszköztípus vagy nem listázatlan eszköz esetén, amelynek naplói egyéni táblákba kerülnek, és a log Analyticsben _CL végződő névvel végződnek.

Ezek az összekötők az eddig létező, az örökölt Log Analytics-ügynökön (más néven MMA vagy OMS) vagy az aktuális Azure Monitor-ügynökön alapuló egyes eszköz- és berendezéstípusok szinte összes meglévő összekötőjét lecserélik. A tartalomközpontban az összes ilyen eszközhöz és berendezéshez biztosított megoldások mostantól tartalmazzák a megoldásnak megfelelő három összekötőt.* A lecserélt összekötők mostantól "Elavultként" vannak megjelölve az adatösszekötő katalógusában.

Az egyes eszközök összekötőoldalán korábban talált adatbetöltési grafikonok mostantól az egyes eszközök megoldásához csomagolt eszközspecifikus munkafüzetekben találhatók.

* Amikor telepíti a megoldást bármelyik alkalmazáshoz, eszközhöz vagy berendezéshez, a kapcsolódó adatösszekötő telepítésének biztosításához válassza a Telepítés függőségekkel lehetőséget a megoldásoldalon, majd jelölje meg az adatösszekötőt a következő oldalon.

A megoldások telepítésének frissített eljárásait a következő cikkekben találja:

Jobb láthatóság a Windows biztonsági eseményeihez

Bővítettük a Windows biztonság eseményeket üzemeltető SecurityEvent tábla sémáját, és új oszlopokat adtunk hozzá a WindowsHoz készült Azure Monitor-ügynökkel (AMA) való kompatibilitás biztosítása érdekében (1.28.2-es verzió). Ezek a fejlesztések az összegyűjtött Windows-események láthatóságának és átláthatóságának növelésére szolgálnak. Ha nem szeretne adatokat fogadni ezekben a mezőkben, a betöltési idő átalakításával (például projekteltávolítással) elvetheti őket.

Új kiegészítő naplók adatmegőrzési terve (előzetes verzió)

A Log Analytics-táblákhoz készült új kiegészítő naplók megőrzési terve lehetővé teszi, hogy nagy mennyiségű nagy mennyiségű naplót használjon fel kiegészítő értékkel a biztonság érdekében, sokkal alacsonyabb költséggel. A kiegészítő naplók 30 napig interaktív megőrzéssel érhetők el, amelyekben egyszerű, egytáblás lekérdezéseket futtathat rajtuk, például az adatok összegzéséhez és összesítéséhez. A 30 napos időszakot követően a kiegészítő naplóadatok hosszú távú megőrzésre kerülnek, amelyet akár 12 évig is meghatározhat, rendkívül alacsony költséggel. Ezzel a csomaggal keresési feladatokat is futtathat az adatokon hosszú távú megőrzés módban, és csak azokat a rekordokat nyeri ki, amelyeket egy új táblához szeretne használni, amelyeket normál Log Analytics-táblaként kezelhet, teljes lekérdezési képességekkel.

A kiegészítő naplókról és az Elemzési naplókkal való összehasonlításról további információt a Microsoft Sentinel naplómegőrzési csomagjaiban talál.

A különböző naplókezelési tervekkel kapcsolatos részletesebb információkért tekintse meg az Azure Monitor dokumentációjának táblázatos terveit az Azure Monitor naplóinak áttekintési cikkében.

Összefoglaló szabályok létrehozása a Microsoft Sentinelben nagy adatkészletekhez (előzetes verzió)

A Microsoft Sentinel mostantól lehetővé teszi dinamikus összegzések létrehozását az Azure Monitor összesítő szabályaival, amelyek nagy adatkészleteket összesítenek a háttérben, így zökkenőmentesebb biztonsági műveletek lesznek az összes naplószinten.

  • Az összesítő szabály eredményeinek elérése Kusto lekérdezésnyelv (KQL) használatával az észlelési, vizsgálati, vadászati és jelentéskészítési tevékenységek között.
  • Nagy teljesítményű Kusto lekérdezésnyelv (KQL) lekérdezések futtatása összesített adatokon.
  • Használjon összefoglaló szabályeredményeket hosszabb időszakokra a vizsgálatokban, a vadászatban és a megfelelőségi tevékenységekben.

További információ: Microsoft Sentinel-adatok összesítése összefoglaló szabályokkal.

Következő lépések

Fedélzeti Azure Sentinel

A riasztások láthatóságának lekérése