Microsoft Sentinel'deki yenilikler

  • Makale

Bu makalede, Microsoft Sentinel için eklenen son özellikler ve Microsoft Sentinel'de gelişmiş kullanıcı deneyimi sağlayan ilgili hizmetlerdeki yeni özellikler listelenmektedir.

Listelenen özellikler son üç ay içinde yayımlandı. Daha önce sunulan özellikler hakkında daha fazla bilgi için Teknik Topluluk bloglarımıza bakın.

Aşağıdaki URL'yi kopyalayıp akış okuyucunuza yapıştırarak bu sayfa güncelleştirildiğinde bildirim alın: https://aka.ms/sentinel/rss

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Eylül 2024

SIEM geçiş deneyimine şema eşlemesi eklendi

SIEM geçiş deneyimi Mayıs 2024'te genel kullanıma sunulduğundan, güvenlik izlemenizin Splunk'tan geçirilmesine yardımcı olmak için sürekli iyileştirmeler yapılmıştır. Aşağıdaki yeni özellikler, müşterilerin Microsoft Sentinel SIEM Geçişi çeviri altyapısına Splunk ortamları ve kullanımları hakkında daha bağlamsal ayrıntılar sağlamasına olanak tanır:

  • Şema Eşleme
  • Çeviride Splunk Makroları desteği
  • Çeviride Splunk Arama desteği

Bu güncelleştirmeler hakkında daha fazla bilgi edinmek için bkz . SIEM geçiş deneyimi.

SIEM geçiş deneyimi hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Üçüncü taraf zenginleştirme pencere öğeleri Şubat 2025'te kullanımdan kaldırılacak

Hemen geçerli olacak şekilde, artık dış, üçüncü taraf veri kaynaklarından veri alan zenginleştirme pencere öğeleri oluşturmak için özelliği etkinleştiremezsiniz. Bu pencere öğeleri Microsoft Sentinel varlık sayfalarında ve varlık bilgilerinin sunulduğu diğer konumlarda görüntülenir. Bu değişiklik, bu dış veri kaynaklarına erişmek için gereken Azure anahtar kasasını artık oluşturamadığınız için gerçekleşmektedir.

Zaten herhangi bir üçüncü taraf zenginleştirme pencere öğesi kullanıyorsanız, yani bu anahtar kasası zaten varsa, daha önce kullanmadığınız pencere öğelerini yapılandırmaya ve kullanmaya devam edebilirsiniz, ancak bunu yapmanızı önermiyoruz.

Şubat 2025 itibarıyla, üçüncü taraf kaynaklardan veri alan mevcut zenginleştirme pencere öğeleri varlık sayfalarında veya başka herhangi bir yerde görüntülenmeyecek.

Kuruluşunuz üçüncü taraf zenginleştirme pencere öğeleri kullanıyorsa, bu amaçla oluşturduğunuz anahtar kasasını kaynak grubundan silerek bunları önceden devre dışı bırakmanızı öneririz. Anahtar kasasının adı "pencere öğeleri" ile başlar.

Birinci taraf veri kaynaklarına dayalı zenginleştirme pencere öğeleri bu değişiklikten etkilenmez ve önceki gibi çalışmaya devam eder. "Birinci taraf veri kaynakları", dış kaynaklardan (başka bir deyişle Log Analytics çalışma alanınızdaki tablolardaki her şey) Microsoft Sentinel'e zaten alınmış olan verileri ve Microsoft Defender Tehdit Analizi içerir.

Microsoft Sentinel için ön satın alma planları kullanıma sunuldu

Ön satın alma planları bir Azure rezervasyonu türüdür. Ön satın alma planı satın aldığınızda, belirli bir ürün için indirimli katmanlarda işleme birimleri (CU) elde edersiniz. Microsoft Sentinel işleme birimleri (SCU), çalışma alanınızdaki uygun maliyetler için geçerlidir. Tahmin edilebilir maliyetleriniz olduğunda, doğru ön satın alma planını seçmek tasarruf etmenizi sağlar!

Daha fazla bilgi için bkz . Ön satın alma planıyla maliyetleri iyileştirme.

Otomasyon kurallarını içeri/dışarı aktarma işlemi genel kullanıma sunuldu (GA)

Otomasyon kurallarını Azure Resource Manager (ARM) şablonlarına JSON biçiminde dışarı aktarma ve ARM şablonlarından içeri aktarma özelliği, kısa bir önizleme süresinden sonra genel kullanıma sunuldu.

Otomasyon kurallarını dışarı ve içeri aktarma hakkında daha fazla bilgi edinin.

Google Cloud Platform veri bağlayıcıları genel kullanıma sunuldu (GA)

Kodsuz Bağlayıcı Platformumuzu (CCP) temel alan Microsoft Sentinel'in Google Bulut Platformu (GCP) veri bağlayıcıları genel kullanıma sunuldu. Bu bağlayıcılar sayesinde GCP Pub/Sub özelliğini kullanarak GCP ortamınızdan günlükleri alabilirsiniz:

  • Google Cloud Platform (GCP) Pub/Sub Audit Logs bağlayıcısı, GCP kaynaklarına erişimin denetim kayıtlarını toplar. Analistler kaynak erişim girişimlerini izlemek ve GCP ortamındaki olası tehditleri algılamak için bu günlükleri izleyebilir.

  • Google Cloud Platform (GCP) Güvenlik Komut Merkezi bağlayıcısı, Google Cloud için sağlam bir güvenlik ve risk yönetimi platformu olan Google Güvenlik Komut Merkezi'nden bulguları toplar. Analistler varlık envanteri ve bulma, güvenlik açıklarının ve tehditlerin algılanması ve risk azaltma ve düzeltme dahil olmak üzere kuruluşun güvenlik duruşu hakkında içgörüler elde etmek için bu bulguları görüntüleyebilir.

Bu bağlayıcılar hakkında daha fazla bilgi için bkz . Google Cloud Platform günlük verilerini Microsoft Sentinel'e alma.

Microsoft Sentinel artık Azure Israel Central'da genel kullanıma sunuldu (GA)

Microsoft Sentinel artık İsrail Orta Azure bölgesinde kullanılabilir ve diğer tüm Azure Ticari bölgeleriyle aynı özellik ayarlanmıştır.

Daha fazla bilgi için bkz . Azure ticari/diğer bulutlar için Microsoft Sentinel özellik desteği ve Microsoft Sentinel'de coğrafi kullanılabilirlik ve veri yerleşimi.

Ağustos 2024

Log Analytics aracısının kullanımdan kaldırılması

31 Ağustos 2024 itibarıyla Log Analytics Aracısı (MMA/OMS) kullanımdan kaldırılmıştır.

Birçok gereç ve cihazdan günlük toplama artık Ortak Olay Biçimi (CEF), AMA aracılığıyla Syslog veya Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Özel Günlükler tarafından desteklenmektedir. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullandıysanız Azure İzleyici Aracısı'na (AMA) geçmenizi öneririz.

Daha fazla bilgi için bkz.

Otomasyon kurallarını dışarı ve içeri aktarma (Önizleme)

Microsoft Sentinel otomasyon kurallarınızı kod olarak yönetin! Artık Microsoft Sentinel dağıtımlarınızı kod olarak yönetmek ve denetlemek için programınızın bir parçası olarak otomasyon kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarabilir ve bu dosyalardan kuralları içeri aktarabilirsiniz. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda bir JSON dosyası oluşturur ve bu dosyayı başka bir dosya gibi yeniden adlandırabilir, taşıyabilir ve başka şekilde işleyebilirsiniz.

Dışarı aktarılan JSON dosyası çalışma alanından bağımsızdır, bu nedenle diğer çalışma alanlarına ve hatta diğer kiracılara aktarılabilir. Kod olarak, yönetilen bir CI/CD çerçevesinde sürüm denetimi, güncelleştirme ve dağıtım da yapılabilir.

Dosya, otomasyon kuralında tanımlanan tüm parametreleri içerir. Herhangi bir tetikleyici türünün kuralları bir JSON dosyasına aktarılabilir.

Otomasyon kurallarını dışarı ve içeri aktarma hakkında daha fazla bilgi edinin.

Microsoft Defender çok kiracılı yönetiminde Microsoft Sentinel desteği (Önizleme)

Microsoft Sentinel'i Microsoft birleşik güvenlik işlemleri platformuna eklerseniz, Microsoft Sentinel verileri artık Microsoft Defender çok kiracılı yönetiminde Defender XDR verileriyle kullanılabilir. Şu anda Microsoft birleşik güvenlik işlemleri platformunda kiracı başına yalnızca bir Microsoft Sentinel çalışma alanı desteklenmektedir. Bu nedenle, Microsoft Defender çok kiracılı yönetimi kiracı başına bir Microsoft Sentinel çalışma alanından güvenlik bilgilerini ve olay yönetimi (SIEM) verilerini gösterir. Daha fazla bilgi için Bkz. Microsoft Defender portalında Microsoft Defender çok kiracılı yönetimi ve Microsoft Sentinel.

Premium Microsoft Defender Tehdit Analizi veri bağlayıcısı (Önizleme)

Microsoft Defender Tehdit Analizi (MDTI) için premium lisansınız artık tüm premium göstergeleri doğrudan çalışma alanınıza alma özelliğinin kilidini açar. Premium MDTI veri bağlayıcısı, Microsoft Sentinel'de avlanma ve araştırma özelliklerinize daha fazlasını ekler.

Daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

Syslog alımı için Birleşik AMA tabanlı bağlayıcılar

Log Analytics Aracısı'nın kullanımdan kaldırılmasının ardından Microsoft Sentinel syslog, CEF ve özel biçimli günlük iletilerinin toplanması ve alımını Azure İzleyici Aracısı'na (AMA) dayalı üç çok amaçlı veri bağlayıcısı halinde bir araya getirmiştir:

  • Günlükleri Log Analytics'teki Syslog tablosuna alınan tüm cihazlar için AMA aracılığıyla Syslog.
  • Log Analytics'teki CommonSecurityLog tablosuna günlükleri alınan tüm cihazlar için AMA aracılığıyla Ortak Olay Biçimi (CEF).
  • Yeni! AMA aracılığıyla Özel Günlükler (Önizleme), günlükleri Log Analytics'te _CL ile biten özel tablolara alınan 15 cihaz türünden veya listelenmemiş herhangi bir cihaz için.

Bu bağlayıcılar, eski Log Analytics aracısını (MMA veya OMS olarak da bilinir) veya geçerli Azure İzleyici Aracısı'nı temel alan, şimdiye kadar mevcut olan tek tek cihaz ve alet türleri için neredeyse tüm mevcut bağlayıcıların yerini alır. Tüm bu cihazlar ve gereçler için içerik hub'ında sağlanan çözümler artık bu üç bağlayıcıdan hangisinin çözüme uygun olduğunu içeriyor.* Değiştirilen bağlayıcılar artık veri bağlayıcısı galerisinde "Kullanım dışı" olarak işaretleniyor.

Daha önce her cihazın bağlayıcı sayfasında bulunan veri alımı grafikleri artık her cihazın çözümüyle birlikte paketlenmiş cihaza özgü çalışma kitaplarında bulunabilir.

* Bu uygulamalardan, cihazlardan veya gereçlerden herhangi biri için çözümü yüklerken, eşlik eden veri bağlayıcısının yüklendiğinden emin olmak için çözüm sayfasında Bağımlılıklarla yükle'yi seçmeniz ve ardından aşağıdaki sayfada veri bağlayıcısını işaretlemeniz gerekir.

Bu çözümleri yüklemeye yönelik güncelleştirilmiş yordamlar için aşağıdaki makalelere bakın:

Windows güvenlik olayları için daha iyi görünürlük

Windows Güvenliği olayları barındıran SecurityEvent tablosunun şemasını geliştirdik ve Windows için Azure İzleyici Aracısı (AMA) (sürüm 1.28.2) ile uyumluluğu sağlamak için yeni sütunlar ekledik. Bu geliştirmeler, toplanan Windows olaylarının görünürlüğünü ve saydamlığını artırmak için tasarlanmıştır. Bu alanlardaki verileri almakla ilgilenmiyorsanız, bunları bırakmak için bir alma zamanı dönüşümü ("örneğin proje dışı" uygulayabilirsiniz.

Yeni Yardımcı günlükler saklama planı (Önizleme)

Log Analytics tabloları için yeni Yardımcı günlük saklama planı, güvenlik için ek değer içeren büyük miktarlarda yüksek hacimli günlükleri çok daha düşük maliyetle almanızı sağlar. Yardımcı günlükler, verileri özetlemek ve toplamak gibi basit, tek tablolu sorgular çalıştırabileceğiniz 30 gün boyunca etkileşimli saklama ile kullanılabilir. Bu 30 günlük süreden sonra yardımcı günlük verileri, ultra düşük maliyetle 12 yıla kadar tanımlayabileceğiniz uzun süreli saklamaya gider. Bu plan, veriler üzerinde arama işlerini uzun süreli saklamada çalıştırmanıza da olanak tanır ve tam sorgu özellikleriyle yalnızca normal log analytics tablosu gibi davranabileceğiniz yeni bir tabloya istediğiniz kayıtları ayıklar.

Yardımcı günlükler hakkında daha fazla bilgi edinmek ve Analiz günlükleriyle karşılaştırmak için bkz . Microsoft Sentinel'de günlük saklama planları.

Farklı günlük yönetimi planları hakkında daha ayrıntılı bilgi için, Azure İzleyici belgelerindeki Azure İzleyici Günlüklerine genel bakış makalesindeki Tablo planları'na bakın.

Microsoft Sentinel'de büyük veri kümeleri için özet kuralları oluşturma (Önizleme)

Microsoft Sentinel artık Azure İzleyici özet kurallarını kullanarak dinamik özetler oluşturma olanağı sağlar ve bu da tüm günlük katmanlarında daha sorunsuz bir güvenlik işlemleri deneyimi için arka planda büyük veri kümelerini toplar.

  • Algılama, araştırma, tehdit avcılığı ve raporlama etkinlikleri arasında Kusto Sorgu Dili (KQL) aracılığıyla özet kural sonuçlarına erişin.
  • Özetlenmiş veriler üzerinde yüksek performanslı Kusto Sorgu Dili (KQL) sorguları çalıştırın.
  • Araştırmalarda, avlanmada ve uyumluluk etkinliklerinde daha uzun süreler için özet kural sonuçlarını kullanın.

Daha fazla bilgi için bkz . Özet kurallarıyla Microsoft Sentinel verilerini toplama.

Temmuz 2024

SOC iyileştirmeleri genel kullanıma sunuldu

Hem Azure hem de Defender portallarındaki SOC iyileştirme deneyimi artık hem veri değeri hem de tehdit tabanlı öneriler de dahil olmak üzere tüm Microsoft Sentinel müşterileri tarafından genel kullanıma sunuldu.

  • Veri değeri önerilerini kullanarak alınan faturalanabilir günlüklerin veri kullanımını geliştirin, az kullanılan günlüklere görünürlük elde edin ve bu günlükler için doğru algılamaları veya günlük katmanınızda veya alımınızda doğru ayarlamaları keşfedin.

  • Microsoft araştırmasını temel alan belirli saldırılara karşı kapsam boşluklarını belirlemeye yardımcı olmak ve önerilen günlükleri alıp önerilen algılamaları ekleyerek bunları azaltmak için tehdit tabanlı önerileri kullanın.

recommendations API hala Önizleme aşamasındadır.

Daha fazla bilgi için bkz.

SAP İş Teknolojisi Platformu (BTP) bağlayıcısı genel kullanıma sunuldu (GA)

SAP BTP için Microsoft Sentinel Çözümü genel kullanıma sunuldu (GA). Bu çözüm SAP BTP ortamınıza görünürlük sağlar ve tehditleri ve şüpheli etkinlikleri algılamanıza ve yanıtlamanıza yardımcı olur.

Daha fazla bilgi için bkz.

Microsoft birleşik güvenlik platformu genel kullanıma sunuldu

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Microsoft birleşik güvenlik operasyonları platformu, Microsoft Defender'da Microsoft Sentinel, Microsoft Defender XDR ve Microsoft Copilot'un tüm özelliklerini bir araya getirir. Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Haziran 2024

Kodsuz Bağlayıcı Platformu genel kullanıma sunuldu

Kodsuz Bağlayıcı Platformu (CCP), genel kullanıma sunuldu (GA). Duyuru blog gönderisine göz atın.

CCP geliştirmeleri ve özellikleri hakkında daha fazla bilgi için bkz . Microsoft Sentinel için kodsuz bağlayıcı oluşturma.

Gelişmiş tehdit göstergesi arama özelliği kullanılabilir

Tehdit bilgileri arama ve filtreleme özellikleri geliştirildi ve deneyim artık Microsoft Sentinel ve Microsoft Defender portallarında eşliğe sahip. Arama, her biri en fazla 3 alt başlık içeren en fazla 10 koşulu destekler.

Daha fazla bilgi için Tehdit göstergelerinizi görüntüleme ve yönetme bölümünde güncelleştirilmiş ekran görüntüsüne bakın.

Sonraki adımlar

Yerleşik Azure Sentinel

Uyarılarla ilgili görünürlük elde edin