O que há de novo no Microsoft Sentinel

  • Artigo

Este artigo lista os recursos recentes adicionados ao Microsoft Sentinel e os novos recursos em serviços relacionados que fornecem uma experiência de usuário aprimorada no Microsoft Sentinel.

Os recursos listados foram lançados nos últimos três meses. Para obter informações sobre os recursos anteriores fornecidos, consulte nossos blogs da Comunidade Técnica.

Seja notificado quando esta página for atualizada copiando e colando o seguinte URL no seu leitor de feeds: https://aka.ms/sentinel/rss

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Agosto de 2024

Conector de dados Premium do Microsoft Defender Threat Intelligence (Visualização)

Sua licença premium para o Microsoft Defender Threat Intelligence (MDTI) agora desbloqueia a capacidade de ingerir todos os indicadores premium diretamente em seu espaço de trabalho. O conector de dados MDTI premium adiciona mais aos seus recursos de busca e pesquisa no Microsoft Sentinel.

Para obter mais informações, consulte Compreender informações sobre ameaças.

Conectores unificados baseados em AMA para ingestão de syslog

Com a iminente desativação do Log Analytics Agent, o Microsoft Sentinel consolidou a coleta e a ingestão de syslog, CEF e mensagens de log de formato personalizado em três conectores de dados multiuso baseados no Azure Monitor Agent (AMA):

  • Syslog via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela Syslog no Log Analytics.
  • Common Event Format (CEF) via AMA, para qualquer dispositivo cujos logs são ingeridos na tabela CommonSecurityLog no Log Analytics.
  • Novo! Logs personalizados via AMA (visualização), para qualquer um dos 15 tipos de dispositivos, ou qualquer dispositivo não listado, cujos logs são ingeridos em tabelas personalizadas com nomes terminados em _CL no Log Analytics.

Esses conectores substituem quase todos os conectores existentes para tipos de dispositivos e dispositivos individuais que existiam até agora, baseados no agente herdado do Log Analytics (também conhecido como MMA ou OMS) ou no Agente de Monitor do Azure atual. As soluções fornecidas no hub de conteúdo para todos esses dispositivos e dispositivos agora incluem qualquer um desses três conectores apropriados para a solução.* Os conectores substituídos agora estão marcados como "Preterido" na galeria de conectores de dados.

Os gráficos de ingestão de dados que eram encontrados anteriormente na página do conector de cada dispositivo agora podem ser encontrados em pastas de trabalho específicas do dispositivo empacotadas com a solução de cada dispositivo.

* Ao instalar a solução para qualquer um desses aplicativos, dispositivos ou aparelhos, para garantir que o conector de dados que o acompanha esteja instalado, você deve selecionar Instalar com dependências na página da solução e, em seguida, marcar o conector de dados na página seguinte.

Para obter os procedimentos atualizados para instalar essas soluções, consulte os seguintes artigos:

Melhor visibilidade para eventos de segurança do Windows

Aprimoramos o esquema da tabela SecurityEvent que hospeda eventos de Segurança do Windows e adicionamos novas colunas para garantir a compatibilidade com o Azure Monitor Agent (AMA) para Windows (versão 1.28.2). Esses aprimoramentos foram projetados para aumentar a visibilidade e a transparência dos eventos do Windows coletados. Se você não estiver interessado em receber dados nesses campos, poderá aplicar uma transformação de tempo de ingestão ("projeto-away", por exemplo) para descartá-los.

Novo plano de retenção de logs auxiliares (visualização)

O novo plano de retenção de logs auxiliares para tabelas do Log Analytics permite que você ingira grandes quantidades de logs de alto volume com valor suplementar para segurança a um custo muito menor. Os logs auxiliares estão disponíveis com retenção interativa por 30 dias, nos quais você pode executar consultas simples de tabela única neles, como para resumir e agregar os dados. Após esse período de 30 dias, os dados de log auxiliares vão para a retenção de longo prazo, que você pode definir por até 12 anos, a um custo ultrabaixo. Esse plano também permite que você execute trabalhos de pesquisa nos dados em retenção de longo prazo, extraindo apenas os registros desejados para uma nova tabela que você pode tratar como uma tabela regular do Log Analytics, com recursos completos de consulta.

Para saber mais sobre logs auxiliares e comparar com logs do Google Analytics, consulte Planos de retenção de logs no Microsoft Sentinel.

Para obter informações mais detalhadas sobre os diferentes planos de gerenciamento de logs, consulte Planos de tabela no artigo Visão geral de Logs do Azure Monitor na documentação do Azure Monitor.

Criar regras de resumo no Microsoft Sentinel para grandes conjuntos de dados (Pré-visualização)

O Microsoft Sentinel agora oferece a capacidade de criar resumos dinâmicos usando regras de resumo do Azure Monitor, que agregam grandes conjuntos de dados em segundo plano para uma experiência de operações de segurança mais suave em todas as camadas de log.

  • Acesse os resultados da regra de resumo por meio da Kusto Query Language (KQL) em atividades de deteção, investigação, caça e relatórios.
  • Execute consultas KQL (Kusto Query Language) de alto desempenho em dados resumidos.
  • Use os resultados da regra de resumo por mais tempo em investigações, caça e atividades de conformidade.

Para obter mais informações, consulte Agregar dados do Microsoft Sentinel com regras de resumo.

Julho de 2024

Otimizações SOC agora disponíveis para o público em geral

A experiência de otimização SOC nos portais Azure e Defender agora está disponível para todos os clientes do Microsoft Sentinel, incluindo valor de dados e recomendações baseadas em ameaças.

  • Use recomendações de valor de dados para melhorar o uso de dados de logs faturáveis ingeridos, ganhar visibilidade para logs subutilizados e descobrir as deteções certas para esses logs ou os ajustes certos para sua camada de log ou ingestão.

  • Use recomendações baseadas em ameaças para ajudar a identificar lacunas na cobertura contra ataques específicos com base na pesquisa da Microsoft e mitigá-las ingerindo os logs recomendados e adicionando deteções recomendadas.

A recommendations API ainda está em visualização.

Para obter mais informações, consulte:

Conector SAP Business Technology Platform (BTP) agora disponível para o público em geral (GA)

A Microsoft Sentinel Solution for SAP BTP está agora disponível para o público em geral (GA). Esta solução fornece visibilidade do seu ambiente SAP BTP e ajuda-o a detetar e responder a ameaças e atividades suspeitas.

Para obter mais informações, consulte:

Plataforma de segurança unificada da Microsoft agora disponível para o público em geral

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. A plataforma unificada de operações de segurança da Microsoft reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender. Para obter mais informações, consulte os seguintes recursos:

junho de 2024

Codeless Connector Platform agora disponível para o público em geral

A Codeless Connector Platform (CCP) está agora disponível para o público em geral (GA). Confira a postagem do blog do anúncio.

Para obter mais informações sobre os aprimoramentos e recursos do CCP, consulte Criar um conector sem código para o Microsoft Sentinel.

Capacidade avançada de pesquisa de indicadores de ameaças disponível

Os recursos de pesquisa e filtragem de inteligência de ameaças foram aprimorados, e a experiência agora tem paridade entre os portais Microsoft Sentinel e Microsoft Defender. A pesquisa suporta um máximo de 10 condições, cada uma contendo até 3 subcláusulas.

Para obter mais informações, consulte a captura de tela atualizada em Exibir e gerenciar seus indicadores de ameaça.

maio de 2024

Os gatilhos de incidentes e entidades nos playbooks agora estão geralmente disponíveis (GA)

A capacidade de usar gatilhos de incidentes e entidades é agora suportada como GA.

Captura de ecrã do incidente do Microsoft Sentinel e das opções de entidade sem aviso de pré-visualização.

Para obter mais informações, consulte Criar um playbook.

Otimize suas operações de segurança com otimizações SOC (visualização)

O Microsoft Sentinel agora fornece otimizações SOC, que são recomendações acionáveis e de alta fidelidade que ajudam a identificar áreas onde você pode reduzir custos, sem afetar as necessidades ou a cobertura de SOC, ou onde você pode adicionar controles de segurança e dados onde eles estão faltando.

Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.

Se o seu espaço de trabalho estiver integrado à plataforma unificada de operações de segurança, as otimizações SOC também estarão disponíveis no portal do Microsoft Defender.

Para obter mais informações, consulte:

Abril de 2024

Plataforma unificada de operações de segurança no portal Microsoft Defender (visualização)

A plataforma unificada de operações de segurança no portal Microsoft Defender já está disponível. Esta versão reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender. Para obter mais informações, consulte os seguintes recursos:

Microsoft Sentinel agora disponível ao público em geral (GA) no Azure China 21Vianet

O Microsoft Sentinel está agora disponível para o público em geral (GA) no Azure China 21Vianet. Os recursos individuais ainda podem estar em visualização pública, conforme listado no suporte de recursos do Microsoft Sentinel para nuvens comerciais/outras nuvens do Azure.

Para obter mais informações, consulte também Disponibilidade geográfica e residência de dados no Microsoft Sentinel.

Duas deteções de anomalias foram descontinuadas

As seguintes deteções de anomalias são descontinuadas a partir de 26 de março de 2024, devido à baixa qualidade dos resultados:

  • Reputação do Domínio Anomalia Palo Alto
  • Logins multi-região em um único dia via Palo Alto GlobalProtect

Para obter a lista completa de deteções de anomalias, consulte a página de referência de anomalias.

Microsoft Sentinel já está disponível na região Norte da Itália

O Microsoft Sentinel agora está disponível na região Norte do Azure da Itália com o mesmo conjunto de recursos que todas as outras regiões comerciais do Azure listadas no suporte de recursos do Microsoft Sentinel para as nuvens comerciais/outras nuvens do Azure.

Para obter mais informações, consulte também Disponibilidade geográfica e residência de dados no Microsoft Sentinel.

Março de 2024

Experiência de migração SIEM agora disponível em geral (GA)

No início do mês, anunciamos a visualização da migração do SIEM. Agora, no final do mês, já é GA! A nova experiência de migração do Microsoft Sentinel ajuda clientes e parceiros a automatizar o processo de migração de seus casos de uso de monitoramento de segurança hospedados em produtos que não são da Microsoft para o Microsoft Sentinel.

  • Esta primeira versão da ferramenta suporta migrações do Splunk

Para obter mais informações, consulte Migrar para o Microsoft Sentinel com a experiência de migração do SIEM

Junte-se à nossa Comunidade de Segurança para um webinar que apresenta a experiência de migração do SIEM em 2 de maio de 2024.

Conector do Amazon Web Services S3 agora disponível para o público em geral (GA)

O Microsoft Sentinel lançou o conector de dados do AWS S3 para disponibilidade geral (GA). Você pode usar esse conector para ingerir logs de vários serviços da AWS para o Microsoft Sentinel usando um bucket do S3 e o serviço simples de enfileiramento de mensagens da AWS.

Concomitantemente com esta versão, a configuração deste conector foi ligeiramente alterada para os clientes do Azure Commercial Cloud. A autenticação do usuário na AWS agora é feita usando um provedor de identidade da web OpenID Connect (OIDC), em vez de por meio do ID do aplicativo Microsoft Sentinel em combinação com o ID do espaço de trabalho do cliente. Os clientes existentes podem continuar usando sua configuração atual por enquanto, e serão notificados com bastante antecedência da necessidade de fazer quaisquer alterações.

Para saber mais sobre o conector do AWS S3, consulte Conectar o Microsoft Sentinel à Amazon Web Services para ingerir dados de log de serviço da AWS

Construtor de conectores sem código (visualização)

Agora temos uma pasta de trabalho para ajudar a navegar pelo JSON complexo envolvido na implantação de um modelo ARM para conectores de dados CCP (plataforma de conector sem código). Use a interface amigável do construtor de conectores sem código para simplificar seu desenvolvimento.

Consulte nossa postagem no blog para obter mais detalhes, Criar conectores sem código com o Codeless Connector Builder (Visualização).

Para obter mais informações sobre o CCP, consulte Criar um conector sem código para o Microsoft Sentinel (visualização pública).

Conectores de dados para Syslog e CEF com base no Azure Monitor Agent agora disponível ao público em geral (GA)

O Microsoft Sentinel lançou mais dois conectores de dados baseados no Azure Monitor Agent (AMA) para disponibilidade geral. Agora você pode usar esses conectores para implantar Regras de Coleta de Dados (DCRs) em máquinas instaladas pelo Agente do Azure Monitor para coletar mensagens do Syslog, incluindo aquelas no CEF (Common Event Format).

Para saber mais sobre os conectores Syslog e CEF, consulte Ingest Syslog e CEF logs with the Azure Monitor Agent.

Fevereiro de 2024

Solução Microsoft Sentinel para Microsoft Power Platform preview disponível

A solução Microsoft Sentinel para Power Platform (pré-visualização) permite-lhe monitorizar e detetar atividades suspeitas ou maliciosas no seu ambiente Power Platform. A solução coleta registros de atividades de diferentes componentes da Power Platform e dados de inventário. Ele analisa esses registros de atividades para detetar ameaças e atividades suspeitas, como as seguintes atividades:

  • Execução de Power Apps a partir de geografias não autorizadas
  • Destruição de dados suspeitos por Power Apps
  • Eliminação em massa de Power Apps
  • Ataques de phishing possibilitados através do Power Apps
  • Automatize a atividade de fluxos de energia ao deixar funcionários
  • Conectores da Microsoft Power Platform adicionados ao ambiente
  • Atualização ou remoção de políticas de prevenção de perda de dados da Microsoft Power Platform

Encontre esta solução no hub de conteúdo do Microsoft Sentinel.

Para obter mais informações, consulte:

Novo conector baseado em Pub/Sub do Google para ingestão de descobertas do Centro de Comando de Segurança (Visualização)

Agora você pode ingerir logs do Centro de Comando de Segurança do Google, usando o novo conector baseado em Pub/Sub do Google Cloud Platform (GCP) (agora em VISUALIZAÇÃO).

O Centro de Comando de Segurança do Google Cloud Platform (GCP) é uma plataforma robusta de segurança e gestão de riscos para o Google Cloud. Ele fornece recursos como inventário e descoberta de ativos, deteção de vulnerabilidades e ameaças e mitigação e remediação de riscos. Esses recursos ajudam você a obter informações e controle sobre a postura de segurança e a superfície de ataque de dados da sua organização, além de aprimorar sua capacidade de lidar com eficiência com tarefas relacionadas a descobertas e ativos.

A integração com o Microsoft Sentinel permite que você tenha visibilidade e controle sobre todo o seu ambiente multicloud a partir de um "único painel de vidro".

Tarefas de incidentes agora geralmente disponíveis (GA)

As tarefas de incidentes, que ajudam a padronizar suas práticas de investigação e resposta a incidentes para que você possa gerenciar o fluxo de trabalho de incidentes com mais eficiência, agora estão disponíveis em geral (GA) no Microsoft Sentinel.

Os conectores de dados da AWS e do GCP agora oferecem suporte às nuvens do Azure Government

Os conectores de dados do Microsoft Sentinel para Amazon Web Services (AWS) e Google Cloud Platform (GCP) agora incluem configurações de suporte para ingerir dados em espaços de trabalho nas nuvens do Azure Government.

As configurações desses conectores para clientes do Azure Government diferem ligeiramente da configuração de nuvem pública. Consulte a documentação relevante para obter detalhes:

Eventos DNS do Windows através do conector AMA agora disponível para o público em geral (GA)

Os eventos DNS do Windows agora podem ser ingeridos ao Microsoft Sentinel usando o Azure Monitor Agent com o conector de dados agora disponível em geral. Esse conector permite que você defina Regras de Coleta de Dados (DCRs) e filtros poderosos e complexos para que você ingira apenas os registros DNS específicos e campos necessários.

Janeiro de 2024

Reduza os falsos positivos para sistemas SAP com regras de análise

Reduza os falsos positivos para sistemas SAP com regras de análise

Use regras de análise em conjunto com a solução Microsoft Sentinel para aplicativos SAP para reduzir o número de falsos positivos disparados de seus sistemas SAP. A solução Microsoft Sentinel para aplicativos SAP agora inclui os seguintes aprimoramentos:

  • A função SAPUsersGetVIP agora suporta a exclusão de usuários de acordo com suas funções ou perfil fornecidos pelo SAP.

  • A lista de observação SAP_User_Config agora suporta o uso de curingas no campo SAPUser para excluir todos os usuários com uma sintaxe específica.

Para obter mais informações, consulte Referência de dados da solução Microsoft Sentinel para aplicativos SAP e Manipular falsos positivos no Microsoft Sentinel.

Próximos passos

Azure Sentinel integrado

Obtenha visibilidade dos alertas