Novità di Microsoft Sentinel

  • Articolo

Questo articolo elenca le funzionalità recenti aggiunte per Microsoft Sentinel e le nuove funzionalità nei servizi correlati che offrono un'esperienza utente avanzata in Microsoft Sentinel.

Le funzionalità elencate sono state rilasciate negli ultimi tre mesi. Per informazioni sulle funzionalità precedenti fornite, vedere i blog della community tecnica.

per ricevere una notifica quando questa pagina viene aggiornata, copiare e incollare l'URL seguente nel lettore di feed: https://aka.ms/sentinel/rss

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Settembre 2024

Mapping dello schema aggiunto all'esperienza di migrazione SIEM

Dal momento che l'esperienza di migrazione SIEM è diventata disponibile a livello generale nel maggio 2024, sono stati apportati miglioramenti costanti per facilitare la migrazione del monitoraggio della sicurezza da Splunk. Le nuove funzionalità seguenti consentono ai clienti di fornire dettagli più contestuali sull'ambiente Splunk e sull'utilizzo per il motore di traduzione delle migrazioni SIEM di Microsoft Sentinel:

  • Mapping dello schema
  • Supporto per le macro Splunk nella traduzione
  • Supporto per Splunk Lookups nella traduzione

Per altre informazioni su questi aggiornamenti, vedere Esperienza di migrazione SIEM.

Per altre informazioni sull'esperienza di migrazione SIEM, vedere gli articoli seguenti:

Widget di arricchimento di terze parti da ritirare nel mese di febbraio 2025

A partire da ora, non è più possibile abilitare la funzionalità per creare widget di arricchimento che recuperano dati da origini dati esterne di terze parti. Questi widget vengono visualizzati nelle pagine delle entità di Microsoft Sentinel e in altre posizioni in cui vengono presentate le informazioni sulle entità. Questa modifica è da ascrivere al fatto che non è più possibile creare l'insieme di credenziali delle chiavi di Azure necessario per accedere a queste origini dati esterne.

Se si usano già widget di arricchimento di terze parti, ovvero se questo insieme di credenziali delle chiavi esiste già, è comunque possibile configurare e usare widget che non si usavano in precedenza, anche se non è consigliabile farlo.

A partire da febbraio 2025, i widget di arricchimento esistenti che recuperano dati da origini di terze parti smetteranno di essere visualizzati, nelle pagine delle entità o in qualsiasi altra posizione.

Se l'organizzazione usa widget di arricchimento di terze parti, è consigliabile disabilitarli in anticipo eliminando l'insieme di credenziali delle chiavi creato a questo scopo dal relativo gruppo di risorse. Il nome dell'insieme di credenziali delle chiavi inizia con "widget".

I widget di arricchimento basati su origini dati proprietarie non sono interessati da questa modifica e continueranno a funzionare come prima. Le "origini dati proprietarie" includono tutti i dati già inseriti in Microsoft Sentinel da origini esterne—ossia qualsiasi elemento contenuto nelle tabelle nell'area di lavoro Log Analytics—e in Microsoft Defender Threat Intelligence.

Piani di preacquisto ora disponibili per Microsoft Sentinel

I piani di preacquisto sono un tipo di prenotazione di Azure. Quando si acquista un piano di preacquisto, si ottengono unità di commit a livelli con sconti per un prodotto specifico. Le unità di commit di Microsoft Sentinel si applicano ai costi idonei nell'area di lavoro. Quando si hanno costi prevedibili, la scelta del piano di preacquisto corretto consente di risparmiare denaro.

Per altre informazioni, vedere Ottimizzare i costi con un piano di preacquisto.

Importazione/esportazione delle regole di automazione ora disponibili a livello generale

La capacità di esportare le regole di automazione nei modelli di Azure Resource Manager (ARM) in formato JSON e di importarli dai modelli ARM, è ora disponibile a livello generale dopo un breve periodo di anteprima.

Altre informazioni sull'esportazione e l'importazione di regole di automazione.

I connettori dati di Google Cloud Platform godono ora della disponibilità generale

I connettori dati di Google Cloud Platform (GCP) di Microsoft Sentinel, basati sulla piattaforma CCP (Codeless Connector Platform) godono ora della disponibilità generale. Con questi connettori, è possibile inserire i log dall'ambiente GCP usando la funzionalità Pub/Sub GCP:

  • Il connettore Log di Audit GCP pub/sub di Google Cloud Platform (GCP) raccoglie audit trail per l'accesso alle risorse GCP. Gli analisti possono monitorare questi log per tenere traccia dei tentativi di accesso alle risorse e rilevare potenziali minacce nell'ambiente GCP.

  • Il connettore Security Command Center di Google Cloud Platform (GCP) raccoglie i risultati ottenuti dal Security Command Center di Google, una solida piattaforma di gestione dei rischi e sicurezza per Google Cloud. Gli analisti possono visualizzare questi risultati per ottenere informazioni dettagliate sul comportamento di sicurezza dell'organizzazione, tra cui inventario e individuazione degli asset, rilevamenti di vulnerabilità e minacce e mitigazione e correzione dei rischi.

Per altre informazioni su questi connettori, vedere Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel.

Microsoft Sentinel è ora disponibile a livello generale in Israele centrale di Azure

Microsoft Sentinel è ora disponibile nell'area di Azure Israele centrale, con lo stesso set di funzionalità di tutte le altre aree commerciali di Azure.

Per altre informazioni, vedere Supporto delle funzionalità di Microsoft Sentinel per cloud commerciali/altri cloud di Azure e Disponibilità geografica e residenza dei dati in Microsoft Sentinel.

Agosto 2024

Ritiro dell'agente di Log Analytics

A partire dal 31 agosto 2024, l'Agente di Log Analytics (MMA/OMS) è stato ritirato.

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Se si è usato l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile eseguire la migrazione all'agente di Monitoraggio di Azure.

Per altre informazioni, vedi:

Esportare e importare regole di automazione (anteprima)

Gestione delle regole di automazione di Microsoft Sentinel come codice. È ora possibile esportare le regole di automazione nei file modello di Azure Resource Manager (ARM) e importare regole da questi file, come parte del programma per gestire e controllare le distribuzioni di Microsoft Sentinel come codice. Con l’esportazione, verrà creato un file JSON nel percorso di download del browser, che sarà poi possibile rinominare, spostare e gestire diversamente, come qualunque altro file.

Il file JSON esportato è indipendente dall'area di lavoro, pertanto può essere importato in altre aree di lavoro e anche in altri tenant. Come codice, può anche essere controllato dalla versione, aggiornato e distribuito in un framework CI/CD gestito.

Il file include tutti i parametri definiti nella regola di automazione. Le regole di qualsiasi tipo di trigger possono essere esportate in un file JSON.

Altre informazioni sull'esportazione e l'importazione di regole di automazione.

Il supporto di Microsoft Sentinel nella gestione multi-tenant di Microsoft Defender (anteprima)

Se è stato eseguito l'onboarding di Microsoft Sentinel nella piattaforma operativa di sicurezza unificata Microsoft, i dati di Microsoft Sentinel sono ora disponibili con i dati XDR di Defender nella gestione multi-tenant di Microsoft Defender. Nella piattaforma operativa di sicurezza unificata Microsoft è attualmente supportata una sola area di lavoro di Microsoft Sentinel per tenant. Pertanto, la gestione multi-tenant di Microsoft Defender mostra i dati delle informazioni di sicurezza e gestione degli eventi (SIEM) da un'area di lavoro di Microsoft Sentinel per tenant. Per maggiori informazioni, vedere Gestione multi-tenant di Microsoft Defender e Microsoft Sentinel nel portale di Microsoft Defender.

Connettore dati Microsoft Defender Threat Intelligence Premium (anteprima)

La licenza premium per Microsoft Defender Threat Intelligence (MDTI) consente ora di inserire tutti gli indicatori premium direttamente nell'area di lavoro. Il connettore dati MDTI Premium aggiunge altre funzionalità di esplorazione e ricerca all'interno di Microsoft Sentinel.

Per maggiori informazioni, vedere Informazioni su intelligence sulle minacce.

Connettori basati su AMA unificato per l'inserimento syslog

Con il ritiro imminente dell'agente di Log Analytics, Microsoft Sentinel ha consolidato la raccolta e l'inserimento di messaggi di syslog, CEF e log in formato personalizzato in tre connettori dati multi-scopo basati sull'agente di Monitoraggio di Azure (AMA):

  • Syslog tramite AMA, per qualsiasi dispositivo i cui log vengono inseriti nella tabella Syslog in Log Analytics.
  • Common Event Format (CEF) tramite AMA, per qualsiasi dispositivo i cui log vengono inseriti nella tabella CommonSecurityLog in Log Analytics.
  • Novità! Log personalizzati tramite AMA (anteprima), per uno qualsiasi dei 15 tipi di dispositivo o di qualsiasi dispositivo non elencato, i cui log vengono inseriti in tabelle personalizzate con nomi che terminano in _CL in Log Analytics.

Questi connettori sostituiscono quasi tutti i connettori esistenti per singoli tipi di dispositivo e appliance esistenti fino ad ora, basati sull'agente di Log Analytics legacy (noto anche come MMA o OMS) o sull'agente di Monitoraggio di Azure corrente. Le soluzioni fornite nell'hub del contenuto per tutti questi dispositivi e appliance includono ora i connettori che tra questi tre siano appropriati per la soluzione.* I connettori sostituiti sono ora contrassegnati come "Deprecati" nella raccolta di connettori dati.

I grafici di inserimento dati trovati in precedenza nella pagina del connettore di ogni dispositivo sono ora disponibili nelle cartelle di lavoro specifiche del dispositivo incluse nella soluzione di ogni dispositivo.

* Quando si installa la soluzione per una di queste applicazioni, dispositivi o appliance, per assicurarsi che il connettore dati associato sia installato, è necessario selezionare Installa con dipendenze nella pagina della soluzione e quindi contrassegnare il connettore dati nella pagina seguente.

Per le procedure aggiornate per l'installazione di queste soluzioni, vedere gli articoli seguenti:

Maggiore visibilità per gli eventi di sicurezza di Windows

È stato migliorato lo schema della tabella SecurityEvent che ospita gli eventi di sicurezza di Windows e sono state aggiunte nuove colonne per garantire la compatibilità con l'agente di Monitoraggio di Azure (AMA) per Windows (versione 1.28.2). Questi miglioramenti sono progettati per aumentare la visibilità e la trasparenza degli eventi di Windows raccolti. Se non si desidera ricevere dati in questi campi, si può applicare una trasformazione in fase di inserimento (come, ad esempio, "project-away") per rimuoverli.

Nuovo piano di conservazione dei log ausiliari (anteprima)

Il nuovo piano di conservazione dei log ausiliari per le tabelle di Log Analytics consente di inserire grandi quantità di log dai volumi elevati con un valore supplementare per la sicurezza a un costo molto inferiore. I log ausiliari sono disponibili con conservazione interattiva per 30 giorni, in cui è possibile eseguire semplici query a tabella singola, ad esempio per riepilogare e aggregare i dati. Dopo il periodo di 30 giorni, i dati del log ausiliario passano alla conservazione a lungo termine, che è possibile definire per un massimo di 12 anni, a un costo estremamente basso. Questo piano consente anche di eseguire processi di ricerca sui dati nella conservazione a lungo termine, estraendo solo i record che si desiderano in una nuova tabella che è possibile gestire come una normale tabella di Log Analytics, con funzionalità di query complete.

Per altre informazioni sui log ausiliari e sul confronto con i log di Analytics, vedere Piani di conservazione dei log in Microsoft Sentinel.

Per informazioni più approfondite sui differenti piani di gestione dei log, vedere Piani di tabella nell'articolo Panoramica dei log di Monitoraggio di Azure nella documentazione di Monitoraggio di Azure.

Creare regole di riepilogo in Microsoft Sentinel per set di dati di grandi dimensioni (anteprima)

Microsoft Sentinel offre ora la possibilità di creare riepiloghi dinamici usando le regoledi riepilogo di Monitoraggio di Azure, che aggregano set di dati di grandi dimensioni in background per un'esperienza di operazioni di sicurezza più fluida in tutti i livelli di log.

  • Accedere ai risultati delle regole di riepilogo tramite KQL (Kusto Query Language) tra le attività di rilevamento, indagine, ricerca e creazione di report.
  • Eseguire query Kusto Query Language (KQL) con prestazioni elevate sui dati riepilogati.
  • Usare i risultati delle regole di riepilogo per periodi più lunghi nelle attività di ricerca, ricerca e conformità.

Per altre informazioni, vedere Aggregare i dati di Microsoft Sentinel con regoledi riepilogo.

2024 luglio 2022

Ottimizzazioni SOC ora disponibili a livello generale

L'esperienza di ottimizzazione SOC nei portali di Azure e Defender è ora disponibile a livello generale per tutti i clienti di Microsoft Sentinel, inclusi i valori dei dati e le raccomandazioni basate sulle minacce.

  • Usare i consigli sui valori dei dati per migliorare l'utilizzo dei dati dei log fatturabili inseriti, ottenere visibilità sui log sottoutilizzati e individuare i rilevamenti corretti per tali log o le corrette modifiche al livello di log o inserimento.

  • Usare le raccomandazioni basate sulle minacce per identificare le lacune nella copertura contro attacchi specifici basati sulla ricerca Microsoft e attenuarle inserendo i log consigliati e aggiungendo rilevamenti consigliati.

L'API recommendations è ancora in anteprima.

Per altre informazioni, vedi:

Connettore SAP Business Technology Platform (BTP) ora disponibile a livello generale

La soluzione Microsoft Sentinel per SAP BTP è ora disponibile a livello generale. Questa soluzione offre visibilità nell'ambiente SAP BTP e consente di rilevare e rispondere alle minacce e alle attività sospette.

Per altre informazioni, vedi:

Piattaforma di sicurezza unificata Microsoft ora disponibile a livello generale

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. La piattaforma per le operazioni di sicurezza unificata Microsoft riunisce le funzionalità complete di Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot in Microsoft Defender. Per ulteriori informazioni, vedi le seguenti risorse:

Giugno 2024

Codeless Connector Platform ora disponibile a livello generale

La piattaforma CCP (Codeless Connector Platform) è ora disponibile a livello generale. Vedere il post di blog dell'annuncio.

Per altre informazioni sui miglioramenti e sulle funzionalità CCP, vedere Creare un connettore senza codice per Microsoft Sentinel.

Funzionalità di ricerca degli indicatori di minaccia avanzata disponibile

Le funzionalità di ricerca e filtro delle minacce sono state migliorate e l'esperienza ha ora parità tra i portali di Microsoft Sentinel e Microsoft Defender. La ricerca supporta un massimo di 10 condizioni, ognuna contenente fino a 3 sottoclausole.

Per altre informazioni, vedere lo screenshot aggiornato in Visualizzare e gestire gli indicatori di minaccia.

Passaggi successivi

Caricare dati in Azure Sentinel

Ottenere visibilità sugli avvisi