O que há de novo no Microsoft Sentinel

Este artigo lista os recursos recentes adicionados ao Microsoft Sentinel e os novos recursos em serviços relacionados que fornecem uma experiência de usuário aprimorada no Microsoft Sentinel.

Os recursos listados foram lançados nos últimos três meses. Para obter informações sobre os recursos anteriores fornecidos, consulte nossos blogs da Comunidade Técnica.

Seja notificado quando esta página for atualizada copiando e colando o seguinte URL no seu leitor de feeds: https://aka.ms/sentinel/rss

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Setembro de 2024

Mapeamento de esquema adicionado à experiência de migração do SIEM

Desde que a experiência de migração do SIEM se tornou disponível em maio de 2024, melhorias constantes foram feitas para ajudar a migrar seu monitoramento de segurança do Splunk. Os novos recursos a seguir permitem que os clientes forneçam mais detalhes contextuais sobre seu ambiente Splunk e uso para o mecanismo de tradução Microsoft Sentinel SIEM Migration:

  • Mapeamento de Esquema
  • Suporte para Splunk Macros na tradução
  • Suporte para Splunk Lookups na tradução

Para saber mais sobre essas atualizações, consulte Experiência de migração SIEM.

Para obter mais informações sobre a experiência de migração do SIEM, consulte os seguintes artigos:

Widgets de enriquecimento de terceiros serão desativados em fevereiro de 2025

Com efeito imediato, você não pode mais habilitar o recurso para criar widgets de enriquecimento que recuperam dados de fontes de dados externas de terceiros. Esses widgets são exibidos em páginas de entidades do Microsoft Sentinel e em outros locais onde as informações da entidade são apresentadas. Essa alteração está acontecendo porque você não pode mais criar o cofre de chaves do Azure necessário para acessar essas fontes de dados externas.

Se você já usa widgets de enriquecimento de terceiros, ou seja, se esse cofre de chaves já existe, você ainda pode configurar e usar widgets que não estava usando antes, embora não recomendemos fazê-lo.

A partir de fevereiro de 2025, quaisquer widgets de enriquecimento existentes que recuperem dados de fontes de terceiros deixarão de ser exibidos, em páginas de entidades ou em qualquer outro lugar.

Se sua organização usa widgets de enriquecimento de terceiros, recomendamos desativá-los com antecedência, excluindo o cofre de chaves criado para essa finalidade de seu grupo de recursos. O nome do cofre de chaves começa com "widgets".

Os widgets de enriquecimento baseados em fontes de dados originais não são afetados por essa alteração e continuarão a funcionar como antes. As "fontes de dados originais" incluem todos os dados que já foram ingeridos no Microsoft Sentinel de fontes externas, ou seja, qualquer coisa em tabelas no espaço de trabalho do Log Analytics, e o Microsoft Defender Threat Intelligence.

Planos de pré-compra agora disponíveis para o Microsoft Sentinel

Os planos de pré-compra são um tipo de reserva do Azure. Ao comprar um plano de pré-compra, você obtém unidades de confirmação (CUs) em níveis de desconto para um produto específico. As unidades de confirmação (SCUs) do Microsoft Sentinel aplicam-se aos custos elegíveis no seu espaço de trabalho. Quando você tem custos previsíveis, escolher o plano de pré-compra certo economiza dinheiro!

Para obter mais informações, consulte Otimizar custos com um plano de pré-compra.

Importação/exportação de regras de automação agora disponíveis ao público em geral (GA)

A capacidade de exportar regras de automação para modelos do Azure Resource Manager (ARM) no formato JSON e importá-las de modelos ARM agora está disponível em geral após um curto período de visualização.

Saiba mais sobre como exportar e importar regras de automação.

Os conectores de dados do Google Cloud Platform agora estão disponíveis para o público em geral (GA)

Os conectores de dados do Google Cloud Platform (GCP) do Microsoft Sentinel, baseados em nossa Codeless Connector Platform (CCP), agora estão disponíveis ao público em geral. Com esses conectores, você pode ingerir logs do seu ambiente GCP usando o recurso GCP Pub/Sub:

  • O conector Pub/Sub Audit Logs do Google Cloud Platform (GCP) coleta trilhas de auditoria de acesso aos recursos do GCP. Os analistas podem monitorar esses logs para rastrear tentativas de acesso a recursos e detetar ameaças potenciais em todo o ambiente GCP.

  • O conector do Centro de Comando de Segurança do Google Cloud Platform (GCP) coleta descobertas do Google Security Command Center, uma plataforma robusta de segurança e gerenciamento de riscos para o Google Cloud. Os analistas podem visualizar essas descobertas para obter informações sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, deteções de vulnerabilidades e ameaças e mitigação e remediação de riscos.

Para obter mais informações sobre esses conectores, consulte Ingest Google Cloud Platform log data into Microsoft Sentinel.

Microsoft Sentinel agora disponível ao público em geral (GA) no Azure Israel Central

O Microsoft Sentinel agora está disponível na região do Azure Central de Israel, com o mesmo conjunto de recursos que todas as outras regiões comerciais do Azure.

Para obter mais informações, consulte como Suporte de recursos do Microsoft Sentinel para nuvens comerciais/outras nuvens do Azure e Disponibilidade geográfica e residência de dados no Microsoft Sentinel.

Agosto de 2024

Desativação do agente do Log Analytics

A partir de 31 de agosto de 2024, o Log Analytics Agent (MMA/OMS) é desativado.

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos migrar para o Azure Monitor Agent (AMA).

Para obter mais informações, consulte:

Regras de automação de exportação e importação (Visualização)

Gerencie suas regras de automação do Microsoft Sentinel como código! Agora você pode exportar suas regras de automação para arquivos de modelo do Azure Resource Manager (ARM) e importar regras desses arquivos, como parte do seu programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação criará um arquivo JSON no local de downloads do navegador, que você poderá renomear, mover e manipular como qualquer outro arquivo.

O arquivo JSON exportado é independente do espaço de trabalho, portanto, pode ser importado para outros espaços de trabalho e até mesmo para outros locatários. Como código, ele também pode ser controlado por versão, atualizado e implantado em uma estrutura de CI/CD gerenciada.

O arquivo inclui todos os parâmetros definidos na regra de automação. Regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.

Saiba mais sobre como exportar e importar regras de automação.

Suporte do Microsoft Sentinel no gerenciamento multilocatário do Microsoft Defender (Visualização)

Se você integrou o Microsoft Sentinel à plataforma unificada de operações de segurança da Microsoft, os dados do Microsoft Sentinel agora estão disponíveis com os dados do Defender XDR no gerenciamento multilocatário do Microsoft Defender. Atualmente, apenas um espaço de trabalho do Microsoft Sentinel por locatário é suportado na plataforma de operações de segurança unificada da Microsoft. Assim, o gerenciamento multilocatário do Microsoft Defender mostra informações de segurança e dados de gerenciamento de eventos (SIEM) de um espaço de trabalho do Microsoft Sentinel por locatário. Para obter mais informações, consulte Gerenciamento multilocatário do Microsoft Defender e Microsoft Sentinel no portal do Microsoft Defender.

Conector de dados Premium do Microsoft Defender Threat Intelligence (Visualização)

Sua licença premium para o Microsoft Defender Threat Intelligence (MDTI) agora desbloqueia a capacidade de ingerir todos os indicadores premium diretamente em seu espaço de trabalho. O conector de dados MDTI premium adiciona mais aos seus recursos de busca e pesquisa no Microsoft Sentinel.

Para obter mais informações, consulte Compreender informações sobre ameaças.

Conectores unificados baseados em AMA para ingestão de syslog

Com a iminente desativação do Log Analytics Agent, o Microsoft Sentinel consolidou a coleta e a ingestão de syslog, CEF e mensagens de log de formato personalizado em três conectores de dados multiuso baseados no Azure Monitor Agent (AMA):

  • Syslog via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela Syslog no Log Analytics.
  • Common Event Format (CEF) via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela CommonSecurityLog no Log Analytics.
  • Novo! Logs personalizados via AMA (visualização), para qualquer um dos 15 tipos de dispositivos, ou qualquer dispositivo não listado, cujos logs são ingeridos em tabelas personalizadas com nomes terminados em _CL no Log Analytics.

Esses conectores substituem quase todos os conectores existentes para tipos de dispositivos e dispositivos individuais que existiam até agora, baseados no agente herdado do Log Analytics (também conhecido como MMA ou OMS) ou no Agente de Monitor do Azure atual. As soluções fornecidas no hub de conteúdo para todos esses dispositivos e dispositivos agora incluem qualquer um desses três conectores apropriados para a solução.* Os conectores substituídos agora estão marcados como "Preterido" na galeria de conectores de dados.

Os gráficos de ingestão de dados que eram encontrados anteriormente na página do conector de cada dispositivo agora podem ser encontrados em pastas de trabalho específicas do dispositivo empacotadas com a solução de cada dispositivo.

* Ao instalar a solução para qualquer um desses aplicativos, dispositivos ou aparelhos, para garantir que o conector de dados que o acompanha esteja instalado, você deve selecionar Instalar com dependências na página da solução e, em seguida, marcar o conector de dados na página seguinte.

Para obter os procedimentos atualizados para instalar essas soluções, consulte os seguintes artigos:

Melhor visibilidade para eventos de segurança do Windows

Aprimoramos o esquema da tabela SecurityEvent que hospeda eventos de Segurança do Windows e adicionamos novas colunas para garantir a compatibilidade com o Azure Monitor Agent (AMA) para Windows (versão 1.28.2). Esses aprimoramentos foram projetados para aumentar a visibilidade e a transparência dos eventos do Windows coletados. Se você não estiver interessado em receber dados nesses campos, poderá aplicar uma transformação de tempo de ingestão ("projeto-away", por exemplo) para descartá-los.

Novo plano de retenção de logs auxiliares (visualização)

O novo plano de retenção de logs auxiliares para tabelas do Log Analytics permite que você ingira grandes quantidades de logs de alto volume com valor suplementar para segurança a um custo muito menor. Os logs auxiliares estão disponíveis com retenção interativa por 30 dias, nos quais você pode executar consultas simples de tabela única neles, como para resumir e agregar os dados. Após esse período de 30 dias, os dados de log auxiliares vão para a retenção de longo prazo, que você pode definir por até 12 anos, a um custo ultrabaixo. Esse plano também permite que você execute trabalhos de pesquisa nos dados em retenção de longo prazo, extraindo apenas os registros desejados para uma nova tabela que você pode tratar como uma tabela regular do Log Analytics, com recursos completos de consulta.

Para saber mais sobre logs auxiliares e comparar com logs do Google Analytics, consulte Planos de retenção de logs no Microsoft Sentinel.

Para obter informações mais detalhadas sobre os diferentes planos de gerenciamento de logs, consulte Planos de tabela no artigo Visão geral de Logs do Azure Monitor na documentação do Azure Monitor.

Criar regras de resumo no Microsoft Sentinel para grandes conjuntos de dados (Pré-visualização)

O Microsoft Sentinel agora oferece a capacidade de criar resumos dinâmicos usando regras de resumo do Azure Monitor, que agregam grandes conjuntos de dados em segundo plano para uma experiência de operações de segurança mais suave em todas as camadas de log.

  • Acesse os resultados da regra de resumo por meio da Kusto Query Language (KQL) em atividades de deteção, investigação, caça e relatórios.
  • Execute consultas KQL (Kusto Query Language) de alto desempenho em dados resumidos.
  • Use os resultados da regra de resumo por períodos mais longos em investigações, caça e atividades de conformidade.

Para obter mais informações, consulte Agregar dados do Microsoft Sentinel com regras de resumo.

Julho de 2024

Otimizações SOC agora disponíveis para o público em geral

A experiência de otimização SOC nos portais Azure e Defender agora está disponível para todos os clientes do Microsoft Sentinel, incluindo valor de dados e recomendações baseadas em ameaças.

  • Use recomendações de valor de dados para melhorar o uso de dados de logs faturáveis ingeridos, ganhar visibilidade para logs subutilizados e descobrir as deteções certas para esses logs ou os ajustes certos para sua camada de log ou ingestão.

  • Use recomendações baseadas em ameaças para ajudar a identificar lacunas na cobertura contra ataques específicos com base na pesquisa da Microsoft e mitigá-las ingerindo os logs recomendados e adicionando deteções recomendadas.

A recommendations API ainda está em visualização.

Para obter mais informações, consulte:

Conector SAP Business Technology Platform (BTP) agora disponível para o público em geral (GA)

A Microsoft Sentinel Solution for SAP BTP está agora disponível para o público em geral (GA). Esta solução fornece visibilidade do seu ambiente SAP BTP e ajuda-o a detetar e responder a ameaças e atividades suspeitas.

Para obter mais informações, consulte:

Plataforma de segurança unificada da Microsoft agora disponível para o público em geral

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. A plataforma unificada de operações de segurança da Microsoft reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender. Para obter mais informações, consulte os seguintes recursos:

junho de 2024

Codeless Connector Platform agora disponível para o público em geral

A Codeless Connector Platform (CCP) está agora disponível para o público em geral (GA). Confira a postagem do blog do anúncio.

Para obter mais informações sobre os aprimoramentos e recursos do CCP, consulte Criar um conector sem código para o Microsoft Sentinel.

Capacidade avançada de pesquisa de indicadores de ameaças disponível

Os recursos de pesquisa e filtragem de inteligência de ameaças foram aprimorados, e a experiência agora tem paridade entre os portais Microsoft Sentinel e Microsoft Defender. A pesquisa suporta um máximo de 10 condições, cada uma contendo até 3 subcláusulas.

Para obter mais informações, consulte a captura de tela atualizada em Exibir e gerenciar seus indicadores de ameaça.

Próximos passos