Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die neuesten Features für Microsoft Sentinel sowie neue Features in verwandten Diensten aufgeführt, die Microsoft Sentinel noch benutzerfreundlicher machen. Neue Features im Zusammenhang mit einheitlichen Sicherheitsvorgängen im Defender-Portal finden Sie unter "Neuerungen für einheitliche Sicherheitsvorgänge"?
Die aufgeführten Features wurden in den letzten sechs Monaten veröffentlicht. Informationen zu älteren bereitgestellten Features finden Sie in unseren Tech Community-Blogs.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
November 2025
Neue Funktionen für Entity Behavior Analytics (UEBA) im Defender-Portal (Vorschau)
Microsoft Sentinel führt neue UEBA-Erfahrungen im Defender-Portal ein und bietet verhaltensbezogene Einblicke direkt in wichtige Analystenworkflows. Diese Verbesserungen helfen Analysten dabei, Untersuchungen zu priorisieren und den UEBA-Kontext effektiver anzuwenden.
Anomaliebezogene Benutzeruntersuchungen
Im Defender-Portal werden Benutzer mit Verhaltensanomalien automatisch mit UEBA-Anomalien markiert, wodurch Analysten schnell erkennen können, welche Benutzer priorisiert werden sollen.
Analysten können die drei wichtigsten Anomalien aus den letzten 30 Tagen in einem dedizierten Abschnitt mit den wichtigsten UEBA-Anomalien anzeigen, verfügbar in:
- Benutzerseitige Panels, auf die von verschiedenen Portalstandorten zugegriffen werden kann.
- Die Registerkarte "Übersicht" der Benutzerentitätsseiten.
Dieser Abschnitt enthält auch direkte Links zu Anomalieabfragen und der Sentinel-Ereigniszeitachse, die eine tiefere Untersuchung und schnelleres Sammeln von Kontexten ermöglicht.
Detaillierte Analyse von Benutzeranomalien aus Ereignisdiagrammen
Analysten können schnell auf alle Anomalien im Zusammenhang mit einem Benutzer zugreifen, indem Sie go Hunt > Alle Benutzeranomalien aus dem Vorfalldiagramm auswählen. Diese integrierte Abfrage bietet sofortigen UEBA-Kontext, um eine tiefergehende Untersuchung zu unterstützen.
Erweiterte Such- und benutzerdefinierte Erkennungsabfragen mit Verhaltenseinblicken
Erweiterte Such- und benutzerdefinierte Erkennungsfunktionen enthalten jetzt ein kontextbezogenes Banner, das Analysten auffordert, Abfragen mit UEBA-Datenquellen zur UEBA-Anomalies-Tabelle hinzuzufügen.
Alle Funktionen erfordern, dass UEBA aktiviert ist, und beschränken sich auf den aktuell ausgewählten Arbeitsbereich.
Weitere Informationen finden Sie unter Wie UEBA Analysten unterstützt und Arbeitsabläufe optimiert.
SAP-Datenconnectors
Agentless Datenconnector für Sentinel Solution für SAP jetzt allgemein verfügbar. Erfahren Sie mehr über unseren Tech Community-Blog.
Veraltet: Containerisierter SAP-Datenconnector wird bis zum 30. September 2026 nicht mehr unterstützt. Migrieren Sie heute zu unserem agentenfreien SAP-Datenconnector. Alle neuen Bereitstellungen verfügen nur über die neue Agentless Connector-Option, die zum gleichen Preis abgerechnet wird.
Handlungsaufforderung: Aktualisieren von Abfragen und Automatisierung bis zum 1. Juli 2026 – standardisierte Kontoentitätsbenennung in Vorfällen und Warnungen
Microsoft Sentinel aktualisiert, wie es Kontoentitäten in Vorfällen und Warnungen identifiziert. Diese Änderung führt eine standardisierte Benennungslogik ein, um Konsistenz und Zuverlässigkeit in Ihren Analyse- und Automatisierungsworkflows zu verbessern.
Von Bedeutung
Diese Änderung kann sich auf Ihre Analyseregeln, Automatisierungsregeln, Playbooks, Arbeitsmappen, Suchabfragen und benutzerdefinierte Integrationen auswirken.
Sentinel wählt nun den zuverlässigsten Kontobezeichner mit der folgenden Priorität aus:
UPN-Präfix – der Teil vor "@" in einem Benutzerprinzipalnamen
- Beispiel:
john.doe@contoso.com→john.doe
- Beispiel:
Name – wird verwendet, wenn das UPN-Präfix nicht verfügbar ist
Anzeigename – Fallback, wenn beide oben fehlen
Aktualisieren Sie Ihre KQL-Abfragen und Automatisierungslogik, um dem neuen vorrangbewussten Muster zu folgen. Verwenden Sie die coalesce()Funktion (/kusto/query/coalesce-function), um die Kompatibilität sicherzustellen:
coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)
Testen Sie alle Änderungen in einem Nichtproduktionsarbeitsbereich, bevor Sie sie in die Produktion umsetzen.
Oktober 2025
- Exportieren von STIX Threat Intelligence-Objekten (Vorschau)
- Handlungsaufforderung: Aktualisieren von Abfragen und Automatisierung bis zum 1. Juli 2026 – standardisierte Kontoentitätsbenennung in Vorfällen und Warnungen
Exportieren von STIX Threat Intelligence-Objekten (Vorschau)
Microsoft Sentinel unterstützt jetzt das Exportieren von STIX Threat Intelligence-Objekten in andere Ziele, z. B. externe Plattformen. Wenn Sie Bedrohungsintelligenz von einer externen Plattform an Microsoft Sentinel aufgenommen haben, z. B. wenn Sie den Threat Intelligence - TAXII-Datenkonnektor verwenden, können Sie die Bedrohungsintelligenz jetzt wieder auf diese Plattform exportieren und die bidirektionale Intelligenzfreigabe ermöglichen. Diese neue Funktionalität ermöglicht direktes und sicheres Teilen und reduziert damit die Notwendigkeit manueller Prozesse oder benutzerdefinierter Playbooks zur Verteilung von Bedrohungsinformationen.
Das Exportieren von TI-Objekten wird derzeit nur für TAXII 2.1-basierte Plattformen unterstützt. Sie können sowohl über das Defender-Portal als auch über das Azure-Portal auf das Exportfeature zugreifen:
Weitere Informationen finden Sie unter:
- Verwenden von STIX/TAXII zum Importieren und Exportieren von Bedrohungserkennungen in Microsoft Sentinel
- Exportieren der Bedrohungserkennung
September 2025
Microsoft Sentinel entwickelt sich zu einem SIEM und einer Plattform
Zu den wichtigsten Ergänzungen gehören:
Neue Datenquellen und erweiterte Benutzer- und Entitätsverhaltensanalysen (UEBA) (Vorschau)
Microsoft Sentinel entwickelt sich zu einem SIEM und einer Plattform
Die Sicherheit wird für die KI-Ära neu konzipiert, indem sie über statische, regelbasierte Kontrollmechanismen und Reaktion auf Sicherheitsvorfälle hinaus zu einer plattformgestützten, maschinenschnellen Verteidigung übergeht. Um die Herausforderung von fragmentierten Tools, sich ausbreitenden Signalen und Legacy-Architekturen, die nicht mit der Geschwindigkeit und dem Umfang moderner Angriffe mithalten können, zu bewältigen, hat sich Microsoft Sentinel sowohl zu einem SIEM als auch zu einer Plattform entwickelt, die Daten für die aktive Verteidigung vereint. Dieses Update spiegelt architekturbezogene Verbesserungen wider, die KI-gesteuerte Sicherheitsvorgänge im großen Maßstab unterstützen. Weitere Informationen finden Sie unter Was ist Microsoft Sentinel?
Wichtige Ergänzungen sind microsoft Sentinel Data Lake, Microsoft Sentinel graph und Microsoft Sentinel Model Context Protocol (MCP)-Server, wie unten beschrieben.
Microsoft Sentinel Data Lake ist jetzt allgemein verfügbar (GA)
Eine skalierbare, kostengünstige Grundlage für die langfristige Datenaufbewahrung und multi modale Analysen. Microsoft Sentinel Data Lake ermöglicht Es Organisationen, Sicherheitsdaten über Quellen hinweg zu vereinheitlichen und erweiterte Analysen ohne Infrastrukturaufwand auszuführen.
Weitere Informationen finden Sie im Microsoft Sentinel-Datensee.
Microsoft Sentinel graph (Vorschau)
Einheitliche Graph-Analysen für tieferes Verständnis des Kontexts und Bedrohungsanalysen. Microsoft Sentinel graph modelliert Beziehungen zwischen Benutzern, Geräten und Aktivitäten, um komplexe Bedrohungsuntersuchungen und Vor- und Nachverletzungsanalysen zu unterstützen.
Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Graph? (Vorschau).
Microsoft Sentinel Model Context Protocol (MCP)-Server (Vorschau)
Eine gehostete Schnittstelle zum Erstellen intelligenter Agents mit natürlicher Sprache. Microsoft Sentinel MCP-Server vereinfacht die Erstellung und Datenerkundung durch Agenten, indem Techniker sicherheitsrelevante Daten abfragen und grundieren können, ohne dass Schemakenntnisse erforderlich sind.
Weitere Informationen finden Sie in der Übersicht über das Model Context Protocol (MCP).
Neue Datenquellen für erweiterte Benutzer- und Entitätsverhaltensanalysen (UEBA) (Vorschau)
Die UEBA von Microsoft Sentinel unterstützt SOC-Teams mit KI-basierter Anomalieerkennung basierend auf Verhaltenssignalen in Ihrem Mandanten. Sie hilft bei der Priorisierung von Bedrohungen mithilfe dynamischer Basispläne, Peervergleiche und erweiterter Entitätsprofile.
UEBA unterstützt jetzt die Anomalieerkennung mit sechs neuen Datenquellen:
Microsoft-Authentifizierungsquellen:
Diese Quellen bieten einen tieferen Einblick in das Identitätsverhalten in Ihrer Microsoft-Umgebung.
- Microsoft Defender XDR-Geräteanmeldungsereignisse: Erfassen Sie Anmeldeaktivitäten von Endpunkten, um laterale Bewegungen, ungewöhnliche Zugriffsmuster oder kompromittierte Geräte zu identifizieren.
- Microsoft Entra ID Anmeldungsprotokolle für verwaltete Identitäten: Verfolgen Sie Anmeldungen von verwalteten Identitäten, die in Automatisierungen wie Skripten und Diensten verwendet werden. Dies ist entscheidend für das Aufspüren eines unbemerkten Missbrauchs von Dienstidentitäten.
- Microsoft Entra ID-Dienstprinzipalanmeldungsprotokolle: Überwachen Sie Anmeldungen von Dienstprinzipalen, die häufig von Apps oder Skripts verwendet werden, um Anomalien, wie unerwarteten Zugriff oder Berechtigungseskalationen, zu erkennen.
Cloud- und Identitätsverwaltungsplattformen von Drittanbietern:
UEBA ist jetzt in führende Cloud- und Identitätsverwaltungsplattformen integriert, um die Erkennung von Identitätskompromittierung, Berechtigungsmissbrauch und riskanten Zugriffsverhalten in multicloud-Umgebungen zu verbessern.
- AWS CloudTrail-Anmeldeereignisse: Kennzeichnen Sie riskante Anmeldeversuche in Amazon Web Services (AWS), z. B. fehlgeschlagene mehrstufige Authentifizierung (MFA) oder die Verwendung des Stammkontos – kritische Indikatoren für potenzielle Kontokompromittierungen.
- GCP-Überwachungsprotokolle – Fehlgeschlagene IAM-Zugriffsereignisse: Erfassen von Zugriffsversuchen mit verweigerten Zugriffen in der Google Cloud Platform, die helfen, Berechtigungseskalationsversuche oder falsch konfigurierte Rollen zu identifizieren.
- Okta MFA- und Authentifizierungssicherheitsänderungsereignisse: Surface MFA-Herausforderungen und Änderungen an Authentifizierungsrichtlinien in Okta – Signale, die auf gezielte Angriffe oder Identitätsmanipulationen hinweisen können.
Diese neuen Quellen verbessern die Fähigkeit der UEBA, Bedrohungen in Microsoft- und Hybridumgebungen basierend auf erweiterten Benutzer-, Geräte- und Dienstidentitätsdaten, erweitertem Verhaltenskontext und neuen plattformübergreifenden Anomalieerkennungsfunktionen zu erkennen.
Um die neuen Datenquellen zu aktivieren, müssen Sie in das Defender-Portal integriert sein.
Weitere Informationen finden Sie unter:
- Die KI-gesteuerteN UEBA von Microsoft Sentinel leitet die nächste Ära der Verhaltensanalysen ein
- Erweiterte Bedrohungserkennung mit Benutzer- und Entitätsverhaltensanalysen (UEBA) in Microsoft Sentinel
- Aktivieren von Benutzer- und Entitätsverhaltensanalysen (UEBA) in Microsoft Sentinel
- Microsoft Sentinel UEBA-Referenz
- UEBA-Anomalien
August 2025
Bearbeiten von Arbeitsmappen direkt im Microsoft Defender-Portal (Vorschau)
Jetzt können Sie Microsoft Sentinel-Arbeitsmappen direkt im Microsoft Defender-Portal erstellen und bearbeiten. Diese Verbesserung optimiert Ihren Workflow, ermöglicht es Ihnen, Ihre Arbeitsmappen effizienter zu verwalten und die Arbeitsmappenerfahrung enger an die Oberfläche im Azure-Portal auszurichten.
Microsoft Sentinel-Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen und helfen Ihnen beim Visualisieren und Überwachen der daten, die an Microsoft Sentinel aufgenommen wurden. Arbeitsmappen fügen Tabellen und Diagramme mit Analysen für Ihre Protokolle und Abfragen zu den bereits verfügbaren Tools hinzu.
Arbeitsmappen sind im Defender-Portal unter Microsoft Sentinel > Threat Management > Workbooks verfügbar. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Juli 2025
- Microsoft Sentinel-Datensee
- Tabellenverwaltungs- und Aufbewahrungseinstellungen im Microsoft Defender-Portal
- Microsoft Sentinel-Data Lake-Berechtigungen integriert in einheitliche Microsoft Defender XDR-RBAC
- Nur für Neukunden: Automatisches Onboarding und Umleitung zum Microsoft Defender-Portal
- Keine Beschränkung für die Anzahl der Arbeitsbereiche, die Sie in das Defender-Portal integrieren können
- Microsoft Sentinel im Azure-Portal im Juli 2026 eingestellt
Microsoft Sentinel-Datensee
Microsoft Sentinel wurde jetzt mit einem modernen Data Lake erweitert, der speziell entwickelt wurde, um die Datenverwaltung zu optimieren, Kosten zu senken und die KI-Einführung für Sicherheitsbetriebsteams zu beschleunigen. Der neue Microsoft Sentinel-Datensee bietet kostengünstigen, langfristigen Speicher, ohne die Notwendigkeit, zwischen Erschwinglichkeit und robuster Sicherheit zu wählen. Sicherheitsteams gewinnen tiefere Sichtbarkeit und schnellere Vorfallauflösung, alles in der vertrauten Microsoft Sentinel-Erfahrung, die durch die nahtlose Integration mit erweiterten Datenanalysetools erweitert wurde.
Die wichtigsten Vorteile des Microsoft Sentinel-Datensees sind: +Einzelne Datenkopie im offenen Format für effiziente und kostengünstige Speicherung +Trennung von Speicher und Rechenleistung für mehr Flexibilität +Unterstützung für mehrere Analyse-Engines, um tiefere Einblicke in Ihre Sicherheitsdaten zu gewinnen +Native Integration mit Microsoft Sentinel, einschließlich der Möglichkeit, eine Tier-Einteilung für Protokolldaten über Analyse- und Seetiers hinweg auszuwählen. Für weitere Informationen siehe
Erkunden Sie den Datensee mithilfe von KQL-Abfragen, oder verwenden Sie das neue Microsoft Sentinel Data Lake-Notizbuch für VS Code, um Ihre Daten zu visualisieren und zu analysieren.
Weitere Informationen finden Sie unter:
- Microsoft Sentinel-Datensee
- KQL und der Microsoft Sentinel-Datensee (Vorschau)
- Jupyter-Notizbücher und der Microsoft Sentinel-Datensee (Vorschau)
- Tech-Blog des Data Lake
Tabellenverwaltungs- und Aufbewahrungseinstellungen im Microsoft Defender-Portal
Tabellenverwaltungs- und Aufbewahrungseinstellungen sind jetzt in den Microsoft Defender-Portalen verfügbar. Sie können Tabelleneinstellungen im Microsoft Defender-Portal anzeigen und verwalten, einschließlich Aufbewahrungseinstellungen für Microsoft Sentinel- und Defender XDR-Tabellen, und zwischen Analyse- und Datenseeebenen wechseln.
Weitere Informationen finden Sie unter:
- Verwalten von Datenebenen und Aufbewahrung in Microsoft Sentinel
- Konfigurieren Sie Die Tabelleneinstellungen in Microsoft Sentinel.
Microsoft Sentinel-Data Lake-Berechtigungen integriert in einheitliche Microsoft Defender XDR-RBAC
Ab Juli 2025 werden microsoft Sentinel Data Lake-Berechtigungen über microsoft Defender XDR unified RBAC bereitgestellt. Unterstützung für einheitliche rollenbasierte Zugriffssteuerung (RBAC) steht zusätzlich zur Unterstützung durch globale Microsoft Entra ID-Rollen zur Verfügung.
Weitere Informationen finden Sie unter:
- Microsoft Defender XDR – einheitliche rollenbasierte Zugriffssteuerung (RBAC)
- Erstellen benutzerdefinierter Rollen mit einheitlicher Microsoft Defender XDR-RBAC
- Berechtigungen in der einheitlichen rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Defender XDR
- Rollen und Berechtigungen für den Microsoft Sentinel-Datensee
Nur für Neukunden: Automatisches Onboarding und Umleitung zum Microsoft Defender-Portal
Für dieses Update sind neue Microsoft Sentinel-Kunden Kunden, die den ersten Arbeitsbereich in ihrem Mandanten am oder nach dem 1. Juli 2025 in Microsoft Sentinel integrieren.
Ab dem 1. Juli 2025 sind solche neuen Kunden, die über die Berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators verfügen und auch keine Azure Lighthouse-delegierten Benutzer sind, ihre Arbeitsbereiche automatisch zusammen mit dem Onboarding in Microsoft Sentinel in das Defender-Portal integriert. Benutzenden solcher Arbeitsbereiche, die auch keine von Azure Lighthouse delegierten Benutzenden sind, werden im Azure-Portal Links für Microsoft Sentinel angezeigt, die sie zum Defender-Portal umleiten. Diese Benutzenden verwenden Microsoft Sentinel nur im Defender-Portal.
Neue Kunden, die nicht über die erforderlichen Berechtigungen verfügen, werden nicht automatisch in das Defender-Portal integriert, aber ihnen werden im Azure-Portal weiterhin Umleitungslinks zusammen mit Aufforderungen angezeigt, Benutzende mit den relevanten Berechtigungen manuell in das Defender-Portal zu integrieren.
Diese Änderung optimiert den Onboardingprozess und stellt sicher, dass neue Kunden sofort die einheitlichen Security Operations-Funktionen nutzen können, ohne den zusätzlichen Schritt des manuellen Onboardings ihrer Arbeitsbereiche durchzuführen.
Weitere Informationen finden Sie unter:
- Durchführen des Onboardings für Microsoft Sentinel
- Microsoft Sentinel im Microsoft Defender-Portal
- Änderungen für neue Kunden ab Juli 2025
Keine Beschränkung für die Anzahl der Arbeitsbereiche, die Sie in das Defender-Portal integrieren können
Es gibt keine Beschränkung mehr für die Anzahl von Arbeitsbereichen, die Sie in das Defender-Portal integrieren können.
Einschränkungen gelten weiterhin für die Anzahl von Arbeitsbereichen, die Sie in eine Log Analytics-Abfrage einschließen können, sowie für die Anzahl der Arbeitsbereiche, die Sie in eine geplante Analyseregel einschließen können oder sollten.
Weitere Informationen finden Sie unter:
- Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal
- Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal
- Erweitern von Microsoft Sentinel auf Arbeitsbereiche und Mandanten
Microsoft Sentinel im Azure-Portal im Juli 2026 eingestellt
Microsoft Sentinel ist allgemein im Microsoft Defender-Portal verfügbar, auch für Kunden ohne Microsoft Defender XDR oder E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal auch dann verwenden können, wenn Sie keine anderen Microsoft Defender-Dienste verwenden.
Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.
Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Weitere Informationen finden Sie unter:
- Microsoft Sentinel im Microsoft Defender-Portal
- Umstellung Ihrer Microsoft Sentinel-Umgebung auf das Defender-Portal
- Planen des Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel Kunden (Blog)
Juni 2025
- Microsoft Sentinel Codeless Connector Platform (CCP) in Codeless Connector Framework (CCF) umbenannt
- Konsolidierte Microsoft Sentinel-Datenkonnektorreferenz
- Zusammenfassungsregelvorlagen sind jetzt in der öffentlichen Vorschau
Codeless Connector Platform (CCP) wurde in Codeless Connector Framework (CCF) umbenannt.
Die Microsoft Sentinel Codeless Connector Platform (CCP) wurde in Codeless Connector Framework (CCF) umbenannt. Der neue Name spiegelt die Entwicklung der Plattform wider und vermeidet Verwirrung mit anderen plattformorientierten Diensten und bietet weiterhin die gleiche Benutzerfreundlichkeit und Flexibilität, die benutzer erwarten.
Weitere Informationen finden Sie unter Erstellen eines codelosen Connectors für Microsoft Sentinel.
Konsolidierte Microsoft Sentinel-Datenkonnektorreferenz
Wir haben die Verbinderreferenzdokumentation konsolidiert, wobei die separaten Verbinderartikel in einer einzigen, umfassenden Referenztabelle zusammengeführt werden.
Die neue Connector-Referenz finden Sie unter Microsoft Sentinel-Datenconnectors. Weitere Informationen finden Sie unter Erstellen eines codefreien Connectors und Nutzung des Potenzials des Codeless Connector Framework von Microsoft Sentinel und erledigen Sie mehr mit Microsoft Sentinel in kürzerer Zeit.
Regelvorlagen für Zusammenfassungen jetzt in der öffentlichen Vorschau
Sie können jetzt Zusammenfassungsregelvorlagen verwenden, um vordefinierte Zusammenfassungsregeln bereitzustellen, die auf allgemeine Sicherheitsszenarien zugeschnitten sind. Diese Vorlagen helfen Ihnen, große Datasets effizient zu aggregieren und zu analysieren, benötigen keine umfassende Expertise, reduzieren Sie die Einrichtungszeit und stellen Sie bewährte Methoden sicher. Weitere Informationen finden Sie unter "Aggregierte Microsoft Sentinel-Daten mit Zusammenfassungsregeln (Vorschau)".
Mai 2025
- Alle Microsoft Sentinel-Anwendungsfälle allgemein im Defender-Portal verfügbar
- Einheitliche IdentityInfo-Tabelle
- Ergänzungen zur SOC-Optimierungsunterstützung (Vorschau)
Alle Microsoft Sentinel-Anwendungsfälle allgemein im Defender-Portal verfügbar
Alle Microsoft Sentinel-Anwendungsfälle, die allgemein verfügbar sind, einschließlich Multitenant- und Multi-Workspace-Funktionen sowie Unterstützung für alle Regierungs- und kommerziellen Clouds, sind jetzt im Defender-Portal für alle verfügbar.
Es wird empfohlen, Ihre Arbeitsbereiche in das Defender-Portal zu integrieren , um einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter:
Weitere Informationen finden Sie unter:
- Das Beste von Microsoft Sentinel – jetzt in Microsoft Defender (Blog)
- Microsoft Sentinel im Microsoft Defender-Portal
- Umstellung Ihrer Microsoft Sentinel-Umgebung auf das Defender-Portal
Einheitliche IdentityInfo-Tabelle
Kunden von Microsoft Sentinel im Defender-Portal, die UEBA aktiviert haben, können jetzt eine neue Version der IdentityInfo-Tabelle nutzen, die sich im Abschnitt " Erweiterte Bedrohungssuche " des Defender-Portals befindet, der den größtmöglichen Satz von Feldern umfasst, die sowohl den Defender- als auch den Azure-Portalen gemeinsam sind. Diese einheitliche Tabelle trägt dazu bei, Ihre Sicherheitsuntersuchungen im gesamten Defender-Portal zu erweitern.
Weitere Informationen finden Sie in der Tabelle "IdentityInfo".
Ergänzungen zur SOC-Optimierungsunterstützung (Vorschau)
SOC-Optimierungsunterstützung für:
- KI-Taggingempfehlungen von MITRE ATT&CK (Vorschau): Nutzt künstliche Intelligenz, um Vorschläge für das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken zu machen.
- Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.
Weitere Informationen finden Sie unter SOC-Optimierungsreferenz.
April 2025
- Microsoft Sentinel-Lösung für Microsoft Business Apps allgemein im Azure-Portal verfügbar
- Security Copilot generiert Vorfallzusammenfassungen in Microsoft Sentinel im Azure-Portal (Vorschau)
- Unterstützung für mehrere Arbeitsbereiche und mehrere Mandanten für Microsoft Sentinel im Defender-Portal (Vorschau)
- Microsoft Sentinel nimmt jetzt alle STIX-Objekte und -Indikatoren in neue Bedrohungserkennungstabellen ein (Vorschau)
- SOC-Optimierungsunterstützung für nicht verwendete Spalten (Vorschau)
Microsoft Sentinel-Lösung für Microsoft Business Apps allgemein im Azure-Portal verfügbar
Die Microsoft Sentinel-Lösung für Microsoft Business Apps ist jetzt im Azure-Portal allgemein verfügbar.
Security Copilot generiert Vorfallzusammenfassungen in Microsoft Sentinel im Azure-Portal (Vorschau)
Microsoft Sentinel im Azure-Portal bietet jetzt Features (in der Vorschau) für Incidentzusammenfassungen, die von Security Copilot generiert wurden und es in Einklang mit dem Defender-Portal bringt. Diese Zusammenfassungen geben Ihren Sicherheitsanalysten die vorab benötigten Informationen, um schnell zu verstehen, zu triagen und mit der Untersuchung von Vorfällen zu beginnen.
Weitere Informationen finden Sie unter "Zusammenfassen von Microsoft Sentinel-Vorfällen mit Security Copilot".
Unterstützung für mehrere Arbeitsbereiche und mehrere Instanzen für Microsoft Sentinel im Defender-Portal (Vorschau)
Stellen Sie für die Vorschau im Defender-Portal eine Verbindung mit einem primären Arbeitsbereich und mehreren sekundären Arbeitsbereichen für Microsoft Sentinel her. Wenn Sie Microsoft Sentinel mit Defender XDR integrieren, werden die Warnungen eines primären Arbeitsbereichs mit Defender XDR-Daten korreliert. So umfassen Vorfälle Warnungen aus dem primären Arbeitsbereich von Microsoft Sentinel und Defender XDR. Alle anderen integrierten Arbeitsbereiche werden als sekundäre Arbeitsbereiche betrachtet. Vorfälle werden basierend auf den Daten des Arbeitsbereichs erstellt und enthalten keine Defender XDR-Daten.
- Wenn Sie beabsichtigen, Microsoft Sentinel im Defender-Portal ohne Defender XDR zu verwenden, können Sie mehrere Arbeitsbereiche verwalten. Der primäre Arbeitsbereich enthält jedoch keine Defender XDR-Daten, und Sie haben keinen Zugriff auf Defender XDR-Funktionen.
- Wenn Sie mit mehreren Mandanten und mehreren Arbeitsbereichen pro Mandant arbeiten, können Sie auch die Mehrinstanzenverwaltung von Microsoft Defender verwenden, um Vorfälle und Warnungen anzuzeigen und daten in der erweiterten Suche sowohl in mehreren Arbeitsbereichen als auch in Mandanten zu suchen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal
- Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal
- Microsoft Defender Multitenant Management
- Anzeigen und Verwalten von Vorfällen und Warnungen in der Microsoft Defender Multimandantenverwaltung
- Erweiterte Suche in Microsoft Defender-Mehrinstanzenverwaltung
Microsoft Sentinel nimmt jetzt alle STIX-Objekte und -Indikatoren in neue Bedrohungserkennungstabellen ein (Vorschau)
Microsoft Sentinel nimmt jetzt STIX-Objekte und -Indikatoren in die neuen Bedrohungserkennungstabellen, ThreatIntelIndicators und ThreatIntelObjects ein. Die neuen Tabellen unterstützen das neue STIX 2.1-Schema, mit dem Sie verschiedene Bedrohungserkennungsobjekte aufnehmen und abfragen können, einschließlich identity, attack-pattern, threat-actorund relationship.
Microsoft Sentinel erfasst alle Bedrohungsinformationen in die neuen ThreatIntelIndicators und ThreatIntelObjects Tabellen, während die gleichen Daten bis zum 31. Juli 2025 weiterhin in die Legacy-Tabelle ThreatIntelligenceIndicator erfasst werden.
Aktualisieren Sie ihre benutzerdefinierten Abfragen, Analyse- und Erkennungsregeln, Arbeitsmappen und Automatisierung, um die neuen Tabellen bis zum 31. Juli 2025 zu verwenden. Nach diesem Datum wird Microsoft Sentinel das Einlesen von Daten in die Alttabelle ThreatIntelligenceIndicator einstellen. Wir aktualisieren alle sofort einsatzbereiten Lösungen für die Bedrohungserkennung im Inhaltshub, um die neuen Tabellen zu nutzen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Bedrohungserkennung in Microsoft Sentinel
- Arbeiten mit STIX-Objekten und -Indikatoren zur Verbesserung der Bedrohungserkennung und Bedrohungssuche in Microsoft Sentinel (Vorschau)
SOC-Optimierungsunterstützung für nicht verwendete Spalten (Vorschau)
Um das Verhältnis Ihrer Kosten mit den Sicherheitswerten zu optimieren, werden bei der SOC-Optimierung selten verwendete Datenconnectors oder Tabellen aufgedeckt. Die SOC-Optimierung zeigt jetzt nicht verwendete Spalten in Ihren Tabellen an. Weitere Informationen finden Sie in der Referenz zu SOC-Optimierungsempfehlungen.
März 2025
Agentlose Verbindung mit SAP jetzt in der öffentlichen Vorschau
Der Microsoft Sentinel Agentless Data Connector für SAP und zugehörige Sicherheitsinhalte ist jetzt als öffentliche Vorschau in der Lösung für SAP-Anwendungen enthalten. Dieses Update enthält auch die folgenden Verbesserungen für den agentlosen Datenconnector:
- Erweiterte Anweisungen im Portal zum Bereitstellen und Konfigurieren des Datenconnectors. Externe Dokumentation wird aktualisiert, damit sie sich auf die Anweisungen im Portal stützt.
- Weitere aufgenommene Daten, z. B. Änderungsdokumentationsprotokolle und Benutzermasterdaten.
- Optionale Parameter zum Anpassen des Datenkonnektorverhaltens (optional).
- Ein neues Tool zur Überprüfung der Systemvoraussetzungen und -kompatibilität, empfohlen sowohl vor der Bereitstellung als auch bei der Problembehandlung.
Weitere Informationen finden Sie unter:
- Microsoft Sentinel-Lösung für SAP-Anwendungen: Übersicht über die Bereitstellung
- Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz
- Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen
Januar 2025
- Bedrohungsintelligenz-Feeds mit Erfassungsregeln optimieren
- Abgleichsanalyseregel jetzt allgemein verfügbar (GA)
- Threat Intelligence-Verwaltungsschnittstelle wurde aktualisiert
- Freischalten der erweiterten Bedrohungssuche mit neuen STIX-Objekten, indem Sie neue Threat Intelligence-Tabellen aktivieren
- Die Upload-API für Threat Intelligence unterstützt jetzt mehr STIX-Objekte.
- Microsoft Defender Threat Intelligence-Datenconnectors sind jetzt allgemein verfügbar (GA).
- Unterstützung von Bicep-Dateien für Repositorys (Vorschau)
- SOC-Optimierungsupdates für eine einheitliche Abdeckungsverwaltung
- Anzeigen granularer Lösungsinhalte im Microsoft Sentinel-Inhaltshub
Optimieren Sie Threat-Intelligence-Feeds mit Erfassungsregeln
Optimieren Sie Threat Intelligence-Feeds, indem Sie Objekte filtern und anreichern, bevor sie an Ihren Arbeitsbereich übermittelt werden. Erfassungsregeln aktualisieren Attribute von Threat Intelligence-Objekten oder filtern Objekte vollständig heraus. Sehen Sie sich hier die Ankündigung an.
Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence-Erfassungsregeln.
Abgleichsanalyseregel jetzt allgemein verfügbar (GA)
Microsoft bietet Zugriff auf Premium-Threat Intelligence über die Threat Intelligence-Analyseregel von Defender, die jetzt allgemein verfügbar ist (GA). Weitere Informationen zum Verwenden dieser Regel, die Warnungen und Incidents mit hoher Genauigkeit generiert, finden Sie unter Verwenden von Abgleichsanalysen zum Erkennen von Bedrohungen.
Threat Intelligence-Verwaltungsschnittstelle wurde verschoben
Threat Intelligence für Microsoft Sentinel im Defender-Portal wurde geändert! Wir haben die Seite in Intel-Verwaltung umbenannt und mit anderen Threat Intelligence-Workflows verschoben. Es gibt keine Änderung für Kunden, die Microsoft Sentinel in der Azure-Umgebung verwenden.
Verbesserungen an den Threat Intelligence-Funktionen sind für Kunden verfügbar, die beide Microsoft Sentinel-Umgebungen verwenden. Die Verwaltungsschnittstelle optimiert die Erstellung und Zusammenstellung von Threat Intelligence mit den folgenden wichtigen Features:
- Definieren Sie Beziehungen beim Erstellen neuer STIX-Objekte.
- Stellen Sie vorhandene Threat Intelligence mit dem neuen Beziehungs-Generator zusammen.
- Erstellen Sie schnell mehrere Objekte, indem Sie allgemeine Metadaten aus einem neuen oder vorhandenen TI-Objekt mithilfe einer Duplizierungsfunktion kopieren.
- Verwenden Sie die erweiterte Suche, um Ihre Threat Intelligence-Objekte zu sortieren und zu filtern, ohne eine Log Analytics-Abfrage zu schreiben.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Neue STIX-Objekte in Microsoft Sentinel
- Grundlegendes zu Threat Intelligence
- Aufdecken von Angreifern mit Bedrohungserkennung im Defender-Portal
Freischalten der erweiterten Bedrohungssuche mit neuen STIX-Objekten, indem Sie neue Threat Intelligence-Tabellen aktivieren
Tabellen, die das neue STIX-Objektschema unterstützen, sind nicht öffentlich verfügbar. Um Threat Intelligence für STIX-Objekte mit KQL abzufragen und das Suchmodell freizuschalten, das sie verwendet, fordern Sie mit diesem Formular eine Registrierung an. Integrieren Sie Ihre Threat Intelligence mit diesem Opt-in-Verfahren in die neuen Tabellen ThreatIntelIndicators und ThreatIntelObjects, zusammen mit oder anstelle der aktuellen Tabelle ThreatIntelligenceIndicator.
Weitere Informationen finden Sie in der Blogankündigung Neue STIX-Objekten in Microsoft Sentinel.
Die Upload-API für Threat Intelligence unterstützt jetzt mehr STIX-Objekte.
Nutzen Sie Ihre Threat Intelligence-Plattformen optimal, wenn Sie sie über die Upload-API mit Microsoft Sentinel verbinden. Jetzt können Sie mehr Objekte aufnehmen als nur Indikatoren, wodurch die verschiedenen verfügbaren Threat Intelligence-Möglichkeiten widergespiegelt werden. Die Upload-API unterstützt die folgenden STIX-Objekte:
indicatorattack-patternidentitythreat-actorrelationship
Weitere Informationen finden Sie in den folgenden Artikeln:
- Verbinden Ihrer Threat Intelligence-Plattform mithilfe der Upload-API (Vorschau)
- Importieren von Threat Intelligence in Microsoft Sentinel mit der Upload-API (Vorschau)
- Neue STIX-Objekte in Microsoft Sentinel
Microsoft Defender Threat Intelligence-Datenconnectors sind jetzt allgemein verfügbar (GA)
Sowohl Premium- als auch Standard-Microsoft Defender Threat Intelligence-Datenconnectors sind jetzt im Inhaltshub allgemein verfügbar (GA). Weitere Informationen finden Sie in den folgenden Artikeln:
- Erkunden Sie die Defender Threat Intelligence-Lizenzen
- Aktivieren Sie den Microsoft-Defender-Threat-Intelligence-Datenconnector
Unterstützung von Bicep-Dateien für Repositorys (Vorschau)
Verwenden Sie Bicep-Dateien zusammen oder als Ersatz von ARM-JSON-Vorlagen in Microsoft Sentinel-Repositorys. Bicep bietet eine intuitive Möglichkeit zum Erstellen von Vorlagen für Azure-Ressourcen und Microsoft Sentinel-Inhaltselemente. Mit Bicep ist es nicht nur einfacher, neue Inhaltselemente zu entwickeln, sondern es vereinfacht auch das Überprüfen und Aktualisieren von Inhalten für alle, die an der Continuous Integration und Continuous Delivery Ihrer Microsoft Sentinel-Inhalte beteiligt sind.
Weitere Informationen finden Sie unter Planen Ihres Repositoryinhalts.
SOC-Optimierungsupdates für eine einheitliche Abdeckungsverwaltung
In Arbeitsbereichen, die in das Defender-Portal integriert sind, unterstützen SOC-Optimierungen jetzt sowohl SIEM- als auch XDR-Daten, wobei die Erkennungsabdeckung über Microsoft Defender-Dienste erfolgt.
Im Defender-Portal bieten die Seiten SOC-Optimierungen und MITRE ATT&CK jetzt auch zusätzliche Funktionen für eine bedrohungsbasierte Optimierung der Abdeckung, um die Auswirkungen der Empfehlungen auf Ihre Umgebung besser zu erläutern und Sie bei der Priorisierung der Implementierung zu unterstützen.
Zu den Verbesserungen gehören:
| Bereich | Einzelheiten |
|---|---|
| SOC-Optimierungen: Übersichtsseite | – Der Score High, Medium oder Low für Ihre aktuelle Erkennungsabdeckung. Diese Bewertung kann Ihnen dabei helfen, zu entscheiden, welche Empfehlungen priorisiert werden sollten. – Ein Hinweis zur Anzahl der aktiven Microsoft Defender-Produkte (Dienste) aus allen verfügbaren Produkten. Dies hilft Ihnen zu verstehen, ob in Ihrer Umgebung ein ganzes Produkt fehlt. |
|
Der Seitenbereich Optimierungsdetails. wird angezeigt, wenn Sie einen Drilldown zu einer bestimmten Optimierung ausführen |
- Detaillierte Abdeckungsanalyse, einschließlich der Anzahl der benutzerdefinierten Erkennungen, Antwortaktionen und Produkte, die Sie aktiviert haben. - Detaillierte Netzdiagramme, die Ihre Abdeckung über verschiedene Bedrohungskategorien hinweg zeigen, sowohl für benutzerdefinierte als auch für sofort einsatzbereite Erkennungen. - Eine Option, um zum spezifischen Bedrohungsszenario auf der Seite MITRE ATT&CK zu springen, anstatt die MITRE ATT&CK-Abdeckung nur im Seitenbereich anzuzeigen. – Eine Option zum Anzeigen des vollständigen Bedrohungsszenarios, um weitere Details zu den sicherheitsrelevanten Produkten und Erkennungen anzuzeigen, die zur Sicherheitsabdeckung in Ihrer Umgebung verfügbar sind. |
| MITRE ATT&CK-Seite | – Eine neue Umschaltfläche, um die Abdeckung nach Bedrohungsszenario anzuzeigen. Wenn Sie entweder vom Seitenbereich der Empfehlungsdetails oder von der Seite - Der Bereich Technische Details, der auf der Seite angezeigt wird, wenn Sie eine bestimmte MITRE ATT&CK-Technik auswählen, zeigt nun die Anzahl der aktiven Erkennungen aller verfügbaren Erkennungen für diese Technik an. |
Weitere Informationen finden Sie unter Optimieren Ihrer Security Operations und Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK-Framework.
Anzeigen granularer Lösungsinhalte im Microsoft Sentinel-Inhaltshub
Sie können jetzt die einzelnen Inhalte, die in einer bestimmten Lösung verfügbar sind, direkt über den Inhaltshub anzeigen, und zwar auch, bevor Sie die Lösung installiert haben. Diese neue Sichtbarkeit hilft Ihnen, die für Sie verfügbaren Inhalte zu verstehen und die benötigten spezifischen Lösungen einfacher zu identifizieren, zu planen und zu installieren.
Erweitern Sie jede Lösung im Inhaltshub, um enthaltene Sicherheitsinhalte anzuzeigen. Zum Beispiel:
Die Aktualisierungen der granularen Lösungsinhalte umfassen auch eine auf generativer KI basierende Suchmaschine, die Ihnen hilft, zuverlässigere Suchvorgänge auszuführen, indem sie tief in den Lösungsinhalt eintaucht und Ergebnisse für ähnliche Begriffe zurückgibt.
Weitere Informationen finden Sie unter Entdecken von Inhalten.