Novidades no Microsoft Sentinel

  • Artigo

Este artigo mostra os recursos adicionados ao Microsoft Sentinel recentemente, além de novos recursos em serviços relacionados que fornecem uma experiência de usuário aprimorada no Microsoft Sentinel.

Os recursos listados foram lançados nos últimos três meses. Para saber mais sobre os recursos oferecidos anteriormente, confira nossos blogs da Tech Community.

receba uma notificação quando esta página for atualizada copiando e colando a seguinte URL em seu leitor de feeds: https://aka.ms/sentinel/rss

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Setembro de 2024

Mapeamento de esquema adicionado à experiência de migração do SIEM

Desde que a experiência de migração do SIEM ficou disponível para o público geral em maio de 2024, foram feitas melhorias constantes para ajudar a migrar o monitoramento de segurança do Splunk. Os novos recursos a seguir permitem que os clientes forneçam mais detalhes contextuais sobre o ambiente e o uso do Splunk para o mecanismo de tradução de migração de SIEM do Microsoft Sentinel:

  • Mapeamento de esquema
  • Suporte para macros do Splunk na tradução
  • Suporte para pesquisas do Splunk na tradução

Para saber mais sobre essas atualizações, confira a experiência de migração do SIEM.

Para obter mais informações sobre a experiência de migração do SIEM, consulte os seguintes artigos:

Widgets de enriquecimento de terceiros serão descontinuados em fevereiro de 2025

A partir de agora, você não poderá mais habilitar o recurso para criar widgets de enriquecimento que recuperam dados de fontes de dados externas de terceiros. Esses widgets são exibidos nas páginas de entidades do Microsoft Sentinel e em outros locais onde as informações da entidade são apresentadas. Essa alteração está acontecendo porque você não pode mais criar o Azure Key Vault necessário para acessar essas fontes de dados externas.

Se você já usa widgets de enriquecimento de terceiros, ou seja, se esse cofre de chaves já existir, você ainda poderá configurar e usar widgets que não estava usando antes, embora não recomendemos fazer isso.

A partir de fevereiro de 2025, todos os widgets de enriquecimento existentes que recuperam dados de fontes de terceiros deixarão de ser exibidos em páginas de entidades ou em qualquer outro lugar.

Se sua organização usa widgets de enriquecimento de terceiros, recomendamos desabilitá-los com antecedência, excluindo o cofre de chaves que você criou para essa finalidade do grupo de recursos. O nome do cofre de chaves começa com "widgets".

Widgets de enriquecimento baseados em fontes de dados primárias não são afetados por essa alteração e continuarão funcionando como antes. "Fontes de dados primários" incluem quaisquer dados que já foram ingeridos no Microsoft Sentinel de fontes externas—em outras palavras, qualquer coisa em tabelas no seu espaço de trabalho do Log Analytics—e o Microsoft Defender Threat Intelligence.

Planos de pré-compra agora disponíveis para o Microsoft Sentinel

Os planos de pré-compra são um tipo de reserva do Azure. Ao comprar um plano de pré-compra, você obtém CUs (unidades de confirmação) em camadas com desconto para um produto específico. As SCUs (unidades de confirmação) do Microsoft Sentinel se aplicam a custos qualificados em seu workspace. Quando você tem custos previsíveis, escolher o plano de pré-compra certo economiza dinheiro!

Para obter mais informações, consulte Otimizar custos com um plano de pré-compra.

Importação/exportação de regras de automação agora disponíveis para o público em geral (GA)

A capacidade de exportar regras de automação para modelos do Azure Resource Manager (ARM) no formato JSON e importá-las de modelos ARM agora está disponível para o público em geral após um curto período de visualização.

Saiba mais sobre regras de automação de exportação e importação.

Os conectores de dados do Google Cloud Platform agora estão em disponibilidade geral (GA)

Os conectores de dados do Google Cloud Platform (GCP) do Microsoft Sentinel, com base na Plataforma de Conector Sem Código (CCP) do Microsoft Sentinel, agora estão em disponibilidade geral. Com esses conectores, você pode ingerir logs do seu ambiente do GCP usando a funcionalidade Pub/Sub do GCP:

  • O conector da GCP (Google Cloud Platform) Pub/Sub Audit Logs coleta trilhas de auditoria de acesso aos recursos da GCP. Os analistas podem monitorar esses logs para acompanhar as tentativas de acesso a recursos e detectar possíveis ameaças em todo o ambiente da GCP.

  • O conector da Central de Comandos de Segurança da GCP (Google Cloud Platform) coleta descobertas do Google Security Command Center, uma plataforma robusta de gerenciamento de riscos e segurança para o Google Cloud. Os analistas podem ver essas descobertas para obter insights sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, detecções de vulnerabilidades e ameaças e mitigação e correção de riscos.

Para obter mais informações sobre esses conectores, confira Ingerir dados de log do Google Cloud Platform no Microsoft Sentinel.

O Microsoft Sentinel agora está em disponibilidade geral (GA) no Azure Israel Central

O Microsoft Sentinel agora está disponível na região do Azure Israel Central, com o mesmo conjunto de recursos de todas as outras regiões comerciais do Azure.

Para obter mais informações, consulte Suporte a recursos do Microsoft Sentinel para nuvens comerciais/outras do Azure e Disponibilidade geográfica e residência de dados no Microsoft Sentinel.

Agosto de 2024

Desativação do agente do Log Analytics

A partir de 31 de agosto de 2024, o Agente do Log Analytics (MMA/OMS) será desativado.

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos migrar para o AMA (Agente do Azure Monitor).

Para saber mais, veja:

Regras de automação de exportação e importação (Visualização)

Gerencie suas regras de automação do Microsoft Sentinel como código. Agora você pode exportar suas regras de automação para arquivos de modelo do ARM (Azure Resource Manager) e importar regras desses arquivos, como parte do programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação criará um arquivo JSON no local de downloads do navegador, que você poderá renomear, mover e manipular como qualquer outro arquivo.

O arquivo JSON exportado pode ser importado para outros espaços de trabalho, pois é independente deles, e até mesmo para outros locatários. Como código, ele também pode passar por controle do código-fonte, atualização e implantação em uma estrutura de CI/CD gerenciada.

O arquivo inclui todos os parâmetros definidos na regra de automação. As regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.

Saiba mais sobre regras de automação de exportação e importação.

Suporte do Microsoft Sentinel no gerenciamento multilocatário do Microsoft Defender (Visualização)

Se você integrou o Microsoft Sentinel à plataforma de operações de segurança unificada da Microsoft, os dados do Microsoft Sentinel agora estão disponíveis com dados do Defender XDR no gerenciamento multilocatário do Microsoft Defender. Atualmente, há suporte para apenas um espaço de trabalho do Microsoft Sentinel por locatário na plataforma de operações de segurança unificada. Portanto, o gerenciamento multilocatário do Microsoft Defender mostra dados de SIEM (gerenciamento de eventos e informações de segurança) de um espaço de trabalho do Microsoft Sentinel por locatário. Para obter mais informações, consulte Gerenciamento multilocatário do Microsoft Defender e Microsoft Sentinel no portal do Microsoft Defender.

Conector de dados de Inteligência contra Ameaças do Microsoft Defender Premium (Versão prévia)

Sua licença premium para as Informações sobre Ameaças do Microsoft Defender (MDTI) agora desbloqueia a capacidade de ingerir todos os indicadores premium diretamente em seu workspace. O conector de dados MDTI premium adiciona mais aos recursos de pesquisa e busca no Microsoft Sentinel.

Para obter mais informações, consulte Entender a inteligência contra ameaças.

Conectores unificados baseados no AMA para ingestão de syslog

Com a desativação iminente do Agente do Log Analytics, o Microsoft Sentinel consolidou a coleta e a ingestão de mensagem de log em syslog, CEF e formato personalizado em três conectores de dados multifuncionais com base no AMA (agente do Azure Monitor):

  • Syslog via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela Syslog no Log Analytics.
  • CEF (Formato Comum de Evento) via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela CommonSecurityLog no Log Analytics.
  • Novo! Logs personalizados via AMA (versão prévia), para qualquer um dos 15 tipos de dispositivos ou dispositivos não listado, cujos logs são ingeridos em tabelas personalizadas com nomes que terminam em _CL no Log Analytics.

Esses novos conectores substituem quase todos os conectores antigos para tipos individuais de dispositivos que usavam o agente herdado do Log Analytics (também conhecido como MMA ou OMS) ou o atual agente do Azure Monitor. Agora, as soluções fornecidas no hub de conteúdo para todos esses dispositivos incluem qualquer um desses três conectores apropriados para a solução.* Os conectores substituídos (antigos) agora estão marcados como "Preteridos" na galeria de conectores de dados.

Os gráficos de ingestão de dados que antes estavam disponíveis na página do conector de cada dispositivo agora podem ser encontrados em pastas de trabalho específicas do dispositivo, que acompanham a solução de cada dispositivo.

* Ao instalar a solução para qualquer um desses aplicativos ou dispositivos, para garantir que o conector de dados correspondente seja instalado, selecione Instalar com dependências na página da solução e marque o conector de dados na página seguinte.

Para conferir os procedimentos atualizados para a instalação dessas soluções, acesse os artigos a seguir:

Melhor visibilidade para eventos de segurança do Windows

Aprimoramos o esquema da tabela SecurityEvent, que hospeda eventos de segurança do Windows, e adicionamos novas colunas para garantir a compatibilidade com o AMA (agente do Azure Monitor) para Windows (versão 1.28.2). Essas melhorias visam aumentar a visibilidade e a transparência dos eventos do Windows coletados. Se você não quiser receber dados nesses novos campos, pode aplicar uma transformação no momento da ingestão ("project-away", por exemplo) para descartá-los.

Novo plano de retenção de logs Auxiliares (Versão Prévia)

O novo Plano de retenção de logs Auxiliares para tabelas do Log Analytics lhe permite ingerir grandes quantidades de logs de alto volume com um valor complementar para a segurança a um custo muito mais baixo. Os logs Auxiliares estão disponíveis com retenção interativa por 30 dias, durante os quais você pode executar consultas simples, de uma única tabela, como resumir e agregar os dados de um log. Após esse período de 30 dias, os dados de log auxiliares são transferidos para a retenção de longo prazo, cuja duração você pode definir para até 12 anos, a um custo ultra baixo. Esse plano também permite que você execute trabalhos de pesquisa nos dados da retenção de longo prazo, extraindo apenas os registros que você quiser para uma nova tabela que você pode tratar como uma tabela normal do Log Analytics, com recursos completos de consulta.

Para saber mais sobre logs Auxiliares e compará-los com logs de Analytics, confira os Planos de retenção de logs no Microsoft Sentinel.

Para obter informações mais detalhadas sobre os diferentes planos de gerenciamento de logs, confira os Planos de tabelas no artigo Visão geral dos Logs do Azure Monitor na documentação do Azure Monitor.

Criar regras de resumo no Microsoft Sentinel para grandes conjuntos de dados (versão prévia)

O Microsoft Sentinel agora oferece a capacidade de criar resumos dinâmicos usando regras de resumo do Azure Monitor, que agregam grandes conjuntos de dados em segundo plano para uma experiência de operações de segurança mais suave em todas as camadas de log.

  • Acesse os resultados das regras de resumo por meio da Linguagem de Consulta Kusto (KQL) em atividades de detecção, investigação, busca e geração de relatórios.
  • Execute consultas de alto desempenho da Linguagem de Consulta Kusto (KQL) em dados resumidos.
  • Use os resultados das regras resumidas por mais tempo nas atividades de investigação, busca e conformidade.

Para mais informações, consulte o artigo Agregação de dados do Microsoft Sentinel com regras de resumo.

Julho de 2024

As otimizações de SOC agora estão em disponibilidade geral

A experiência de otimização do SOC nos portais do Azure e do Defender agora está disponível para todos os clientes do Microsoft Sentinel, incluindo o valor dos dados e as recomendações baseadas em ameaças.

  • Use recomendações de valor de dados para aprimorar o uso de dados de logs faturáveis ingeridos, obter visibilidade dos logs subutilizados e descobrir as detecções corretas para esses logs ou os ajustes certos na camada de log ou ingestão.

  • Use recomendações baseadas em ameaças para ajudar a identificar lacunas na cobertura contra ataques específicos com base na pesquisa da Microsoft e atenuá-los ingerindo os logs recomendados e adicionando detecções recomendadas.

A API recommendations ainda está em versão prévia.

Para saber mais, veja:

O conector da SAP Business Technology Platform (BTP) agora está em disponibilidade geral (GA)

A solução do Microsoft Sentinel para SAP BTP agora está em disponibilidade geral (GA). Essa solução fornece visibilidade do seu ambiente SAP BTP e ajuda você a detectar e responder às ameaças e atividades suspeitas.

Para saber mais, veja:

A plataforma de segurança unificada da Microsoft agora está disponível para todos

O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. A plataforma de operações de segurança unificada da Microsoft reúne todos os recursos do Microsoft Sentinel, do Microsoft Defender XDR e do Microsoft Copilot no Microsoft Defender. Para saber mais, consulte os recursos a seguir:

Junho de 2024

A Plataforma de Conector sem Código agora está em disponibilidade geral

A Plataforma de Conector sem Código (CCP) agora está em disponibilidade geral (GA) Confira a postagem de blog do comunicado.

Para obter mais informações sobre os aprimoramentos e funcionalidades da CCP, confira Criar um conector sem código para o Microsoft Sentinel.

Funcionalidade de pesquisa de indicador de ameaça avançada disponível

Os recursos de pesquisa e filtragem de inteligência contra ameaças foram aprimorados e a experiência agora tem paridade nos portais do Microsoft Sentinel e do Microsoft Defender. A pesquisa dá suporte a no máximo dez condições com cada uma contendo até três subcláusulas.

Para obter mais informações, consulte a captura de tela atualizada em Exibir e gerenciar seus indicadores de ameaça.

Próximas etapas

Integração do Azure Sentinel

Obtenha visibilidade sobre os alertas