Udostępnij przez

Co nowego w przypadku ujednoliconych operacji zabezpieczeń firmy Microsoft

Ten artykuł zawiera listę ostatnich funkcji dodanych do ujednoliconych operacji zabezpieczeń w portalu Microsoft Defender.

Listopad 2025 r.

Ulepszenia alertów usługi Microsoft Threat Intelligence dla klientów Microsoft Sentinel w portalu usługi Defender

Microsoft Sentinel klientów korzystających z portalu usługi Defender lub Azure Portal za pomocą łącznika danych Microsoft Sentinel Defender XDR, teraz korzystają również z alertów analizy zagrożeń firmy Microsoft, które wyróżniają działania podmiotów krajowych, główne kampanie wymuszające okup i oszukańcze operacje. Aby wyświetlić te typy alertów, musisz mieć rolę administratora zabezpieczeń lub administratora globalnego . Wartości Service Source, Detection Source i Product Name dla tych alertów są wymienione jako Microsoft Threat Intelligence.

Aby uzyskać więcej informacji, zobacz Incydenty i alerty w portalu Microsoft Defender.

Nowe środowiska analizy zachowań jednostek (UEBA) w portalu usługi Defender (wersja zapoznawcza)

Microsoft Sentinel wprowadza nowe środowiska UEBA w portalu usługi Defender, wprowadzając szczegółowe informacje behawioralne bezpośrednio do kluczowych przepływów pracy analityków. Te ulepszenia ułatwiają analitykom ustalanie priorytetów badań i skuteczniejsze stosowanie kontekstu UEBA.

Badania użytkowników skoncentrowane na anomaliach

W portalu usługi Defender użytkownicy z anomaliami behawioralnymi są automatycznie oznaczane anomaliami UEBA, co pomaga analitykom szybko określić, których użytkowników należy nadać priorytet.

Analitycy mogą wyświetlić trzy najważniejsze anomalie z ostatnich 30 dni w dedykowanej sekcji Top UEBA anomalie, dostępne w:

  • Panele po stronie użytkownika dostępne z różnych lokalizacji portalu.
  • Karta Przegląd stron jednostki użytkownika.

Ta sekcja zawiera również bezpośrednie linki do zapytań anomalii i osi czasu zdarzeń Sentinel, umożliwiając dokładniejsze badanie i szybsze zbieranie kontekstu.

Przechodzenie do szczegółów anomalii użytkownika z wykresów zdarzeń

Analitycy mogą szybko uzyskać dostęp do wszystkich anomalii związanych z użytkownikiem, wybierając pozycję Go Hunt > Wszystkie anomalie użytkownika z wykresu zdarzeń. To wbudowane zapytanie zapewnia natychmiastowy kontekst UEBA w celu obsługi dokładniejszego badania.

Wzbogacone zaawansowane zapytania dotyczące wyszukiwania zagrożeń i wykrywania niestandardowego za pomocą szczegółowych informacji o zachowaniu

Zaawansowane środowiska wyszukiwania zagrożeń i wykrywania niestandardowego zawierają teraz kontekstowy baner, który monituje analityków o dołączenie do tabeli Anomalie UEBA do zapytań obejmujących źródła danych UEBA.

Wszystkie funkcje wymagają włączenia interfejsu UEBA i mają zakres obszaru roboczego do aktualnie wybranego obszaru roboczego.

Aby uzyskać więcej informacji, zobacz Środowisko UEBA w portalu usługi Defender, aby zwiększyć możliwości analityków i usprawnić przepływy pracy.

Wrzesień 2025 r.

Zarządzanie przepływami pracy zdarzeń za pomocą zadań w Microsoft Defender (wersja zapoznawcza)

Teraz możesz użyć zadań w portalu Microsoft Defender, aby podzielić badania zdarzeń na kroki umożliwiające podjęcie działań i przypisać je w zespołach operacyjnych. Zadania są wyświetlane wraz z Security Copilot szczegółowymi informacjami, odpowiedziami z przewodnikiem i raportami — zapewniając zespołowi ujednolicony widok postępu i kolejnych kroków. Podczas dołączania Microsoft Sentinel do portalu usługi Defender zadania tworzone w Microsoft Sentinel za pośrednictwem Azure Portal są automatycznie synchronizowane z portalem usługi Defender. Aby uzyskać więcej informacji, zobacz Usprawnianie reagowania na zdarzenia przy użyciu zadań w portalu Microsoft Defender (wersja zapoznawcza)..

Sierpień 2025 r.

Edytowanie skoroszytów bezpośrednio w portalu Microsoft Defender

Teraz możesz tworzyć i edytować skoroszyty Microsoft Sentinel bezpośrednio w portalu Microsoft Defender. To ulepszenie usprawnia przepływ pracy i pozwala wydajniej zarządzać skoroszytami i bardziej dopasować środowisko skoroszytu do środowiska w Azure Portal.

Microsoft Sentinel skoroszyty są oparte na skoroszytach Azure Monitor i ułatwiają wizualizowanie i monitorowanie pozyskanych danych w celu Microsoft Sentinel. Skoroszyty dodają tabele i wykresy z analizą dzienników i zapytań do narzędzi już dostępnych.

Skoroszyty są dostępne w portalu usługi Defender w obszarze Microsoft Sentinel > Skoroszyty zarządzania zagrożeniami>. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w Microsoft Sentinel.

Wyświetlanie ujednoliconej kontroli dostępu opartej na rolach w zarządzaniu wielodostępnym do ogólnej dostępności

Wyświetlanie ujednoliconej kontroli dostępu opartej na rolach (RBAC) w Microsoft Defender portalu zarządzania wielodostępnego jest teraz ogólnie dostępne. Ta funkcja umożliwia wyświetlanie kompleksowego widoku uprawnień i dostępu dla dzierżaw.

Tworzenie i edytowanie ról niestandardowych pozostaje w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Zarządzanie ujednoliconą kontrolą dostępu opartą na rolach w zarządzaniu wielodostępnym.

Zmieniono nazwę grup dzierżaw w zarządzaniu wielodostępowym na profile dystrybucji

W portalu wielodostępnej nazwy grup dzierżaw są teraz zmieniane na profile dystrybucji zawartości.

Funkcjonalność pozostaje taka sama: profile dystrybucji zawartości umożliwiają dystrybucję zawartości zabezpieczeń, w tym niestandardowych reguł wykrywania i zasad zabezpieczeń punktów końcowych, na dużą skalę we wszystkich dzierżawach w oparciu o kategorie, takie jak grupy biznesowe lub lokalizacja. Przykład:

Zrzut ekranu przedstawiający stronę dystrybucji zawartości o zmienionej nazwie.

Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości przy użyciu profilów dystrybucji w zarządzaniu wielodostępne.

Dystrybuowanie zasad zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą zarządzania wielodostępne

Ochrona punktu końcowego w usłudze Microsoft Defender zasad zabezpieczeń można teraz rozpowszechniać jako zawartość w wielu dzierżawach przy użyciu portalu wielodostępnego usługi Defender, umożliwiając zespołom zabezpieczeń zarządzanie zasadami zabezpieczeń punktów końcowych na dużą skalę. Zasady rozproszone są wyświetlane na stronie Zasady zabezpieczeń punktu końcowego zarządzania > konfiguracją w widoku hierarchicznym, dzięki czemu można zidentyfikować zasady nadrzędne i ich rozproszone kopie w dzierżawach.

Zrzut ekranu przedstawiający rozwinięte, rozproszone zasady.

Strona oryginalnych zasad pokazuje również ogólny stan dystrybucji i zawiera listę dzierżaw adresatów i profilów dystrybucji.

Aby uzyskać więcej informacji, zobacz Zasady zabezpieczeń punktu końcowego w zarządzaniu wielodostępne i dystrybucji zawartości w zarządzaniu wielodostępne.

Lipiec 2025 r.

Tylko dla nowych klientów: automatyczne dołączanie i przekierowywanie do portalu Microsoft Defender

W przypadku tej aktualizacji nowi klienci Microsoft Sentinel to klienci, którzy dołączają pierwszy obszar roboczy w dzierżawie do Microsoft Sentinel po 1 lipca 2025 r.

Od 1 lipca 2025 r. tacy nowi klienci, którzy są również:

Automatyczne dołączanie ich obszarów roboczych do portalu usługi Defender wraz z dołączaniem do Microsoft Sentinel. Użytkownicy takich obszarów roboczych, którzy również nie są Azure użytkowników delegowanych przez usługę Lighthouse, zobaczą linki w Microsoft Sentinel w Azure Portal, które przekierowują ich do portalu usługi Defender.

Przykład:

Zrzut ekranu przedstawiający link przekierowania w Azure Portal.

Tacy użytkownicy używają Microsoft Sentinel tylko w portalu usługi Defender.

Nowi klienci, którzy nie mają odpowiednich uprawnień, nie są automatycznie dołączane do portalu usługi Defender, ale nadal widzą linki przekierowania w Azure Portal wraz z monitami o ręczne dołączenie użytkownika z odpowiednimi uprawnieniami do portalu usługi Defender.

Ta zmiana usprawnia proces dołączania i zapewnia, że nowi klienci mogą natychmiast korzystać z możliwości ujednoliconych operacji zabezpieczeń bez konieczności ręcznego dołączania obszarów roboczych.

Więcej informacji można znaleźć w następujących artykułach:

Brak limitu liczby obszarów roboczych, które można dołączyć do portalu usługi Defender

Nie ma już żadnego limitu liczby obszarów roboczych, które można dołączyć do portalu usługi Defender.

Ograniczenia nadal mają zastosowanie do liczby obszarów roboczych, które można uwzględnić w zapytaniu usługi Log Analytics, oraz liczby obszarów roboczych, które można lub powinny zostać uwzględnione w regule zaplanowanej analizy.

Więcej informacji można znaleźć w następujących artykułach:

Microsoft Sentinel w Azure Portal na emeryturę w lipcu 2026 r.

Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez Microsoft Defender XDR lub licencji E5. Oznacza to, że możesz używać Microsoft Sentinel w portalu usługi Defender, nawet jeśli nie używasz innych usług Microsoft Defender.

Od lipca 2026 r. Microsoft Sentinel będą obsługiwane tylko w portalu usługi Defender, a pozostali klienci korzystający z Azure Portal będą automatycznie przekierowywani.

Jeśli obecnie używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender teraz, aby zapewnić płynne przejście i w pełni wykorzystać ujednolicone środowisko operacji zabezpieczeń oferowane przez Microsoft Defender.

Więcej informacji można znaleźć w następujących artykułach:

Czerwiec 2025 r.

Zarządzanie sprawami jest teraz ogólnie dostępne w portalu wielodostępnej usługi Defender

Funkcja zarządzania przypadkami w portalu Microsoft Defender jest teraz ogólnie dostępna w portalu wielodostępnej usługi Defender. Aby uzyskać więcej informacji, zobacz Wyświetlanie przypadków i zarządzanie nimi w wielu dzierżawach w Microsoft Defender portalu wielodostępnej.

Maj 2025 r.

Ujednolicona kontrola dostępu oparta na rolach w zarządzaniu wielodostępnym (wersja zapoznawcza)

Ujednolicona kontrola dostępu oparta na rolach (URBAC) jest teraz dostępna w Microsoft Defender wielodostępnym portalu zarządzania. Role można tworzyć, usuwać, importować i edytować w wielodostępnej witrynie portalu zarządzania. Ta funkcja zapewnia kompleksowy widok uprawnień i dostępu dla dzierżaw oraz scentralizowaną administrację do zarządzania tymi uprawnieniami.

Aby uzyskać więcej informacji, zobacz Zarządzanie ujednoliconą kontrolą dostępu opartą na rolach w zarządzaniu wielodostępnym.

Wszystkie Microsoft Sentinel przypadki użycia ogólnie dostępne w portalu usługi Defender

Wszystkie Microsoft Sentinel przypadków użycia, które są ogólnie dostępne, w tym funkcje wielu dzierżaw i wielu obszarów roboczych oraz obsługa wszystkich chmur rządowych i komercyjnych, są teraz również obsługiwane w celu zapewnienia ogólnej dostępności w portalu usługi Defender.

Zalecamy dołączenie obszarów roboczych do portalu usługi Defender w celu skorzystania z jednej lokalizacji dla wszystkich operacji zabezpieczeń. Więcej informacji można znaleźć w następujących artykułach:

Zarządzanie sprawami jest teraz dostępne dla wielodostępnego portalu usługi Defender (wersja zapoznawcza)

Zespoły SecOps dla dużych organizacji i zarządzanych dostawców usług zabezpieczeń muszą zarządzać sprawami w wielu dzierżawach. Teraz można to zrobić bez opuszczania portalu wielodostępnej usługi Defender.

Aby uzyskać więcej informacji, zobacz Wyświetlanie przypadków i zarządzanie nimi w wielu dzierżawach w Microsoft Defender portalu wielodostępnej.

Kwiecień 2025 r.

Ręczne scalanie zdarzeń (wersja zapoznawcza)

Jeśli dwa zdarzenia powinny zostać scalone, ponieważ opisują tę samą historię ataku, ale nie są scalane z żadnej z przyczyn wymienionych w sekcji "Jeśli zdarzenia nie są scalane", możesz teraz scalić incydenty ręcznie po naprawieniu podstawowych przyczyn.

Jeśli na przykład zdarzenia nie zostały scalone, ponieważ zostały przypisane do dwóch różnych osób, możesz usunąć przypisanie jednego ze zdarzeń, a następnie ręcznie scalić zdarzenia.

Aby dowiedzieć się więcej na temat scalania zdarzeń, zobacz Korelacja alertów i scalanie zdarzeń w portalu Microsoft Defender.

Aby uzyskać instrukcje dotyczące ręcznego scalania zdarzeń, zobacz Ręczne scalanie zdarzeń w portalu Microsoft Defender.

Obsługa wielu obszarów roboczych i wielu dzierżaw dla Microsoft Sentinel (wersja zapoznawcza)

Microsoft Sentinel obsługuje teraz wiele obszarów roboczych w portalu usługi Defender przy użyciu jednego podstawowego obszaru roboczego na dzierżawę i wielu pomocniczych obszarów roboczych.

Alerty podstawowego obszaru roboczego są skorelowane z danymi Defender XDR, co powoduje zdarzenia, które obejmują alerty z podstawowego obszaru roboczego Microsoft Sentinel i Defender XDR. Wszystkie pozostałe dołączone obszary robocze są traktowane jako pomocnicze obszary robocze. Zdarzenia są tworzone na podstawie danych obszaru roboczego i nie obejmują Defender XDR danych.

Jeśli pracujesz z wieloma dzierżawami i wieloma obszarami roboczymi na dzierżawę, możesz również użyć Microsoft Defender zarządzania wielodostępnym, aby wyświetlać zdarzenia i alerty oraz wyszukiwać dane w zaawansowanym wyszukiwaniu zagrożeń zarówno w wielu obszarach roboczych, jak i w wielu dzierżawach.

Więcej informacji można znaleźć w następujących artykułach:

Zarządzanie wielodostępne między chmurami (wersja zapoznawcza)

Zarządzanie wielodostępne w Microsoft Defender obsługuje teraz zarządzanie dzierżawami w innych środowiskach chmury firmy Microsoft. Zespoły ds. operacji zabezpieczeń działające w środowiskach chmury dla instytucji rządowych mogą teraz zarządzać całymi operacjami zabezpieczeń, w tym dzierżawami w innych środowiskach chmury firmy Microsoft, w jednym okienku. Aby uzyskać więcej informacji, zobacz Zarządzanie dzierżawami w innych środowiskach w chmurze firmy Microsoft.

Zarządzanie sprawami jest teraz ogólnie dostępne

Funkcja zarządzania przypadkami w portalu Microsoft Defender jest teraz ogólnie dostępna. Aby uzyskać więcej informacji, zobacz Zarządzanie przypadkami operacji zabezpieczeń natywnie w portalu Microsoft Defender.

Styczeń 2025 r.

Ujednolicona analiza zagrożeń

Microsoft Sentinel analiza zagrożeń została przeniesiona w portalu usługi Defender do zarządzania intelem, ujednolicając funkcje analizy zagrożeń. W Azure Portal lokalizacja pozostaje niezmieniona.

Zrzut ekranu przedstawiający nowe rozmieszczenie menu na potrzeby analizy zagrożeń Microsoft Sentinel.

Wraz z nową lokalizacją interfejs zarządzania usprawnia tworzenie i obsługę analizy zagrożeń dzięki następującym kluczowym funkcjom:

  • Zdefiniuj relacje podczas tworzenia nowych obiektów STIX.
  • Oszukuj istniejącą analizę zagrożeń za pomocą nowego konstruktora relacji.
  • Szybko utwórz wiele obiektów, kopiując typowe metadane z nowego lub istniejącego obiektu TI przy użyciu zduplikowanej funkcji.
  • Użyj wyszukiwania zaawansowanego, aby sortować i filtrować obiekty analizy zagrożeń bez konieczności pisania zapytania usługi Log Analytics.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Zarządzanie przypadkami (wersja zapoznawcza)

Zarządzanie przypadkami to pierwsza instalacja kompleksowego rozwiązania, które zapewnia bezproblemowe zarządzanie pracami nad zabezpieczeniami. Zespoły SecOps zachowują kontekst zabezpieczeń, działają wydajniej i szybciej reagują na ataki, gdy zarządzają sprawami bez opuszczania portalu usługi Defender. Oto początkowy zestaw scenariuszy i funkcji obsługiwanych przez zarządzanie przypadkami.

  • Definiowanie przepływu pracy własnego przypadku przy użyciu niestandardowych wartości stanu
  • Przypisywanie zadań współpracownikom i konfigurowanie terminów ukończenia
  • Obsługa eskalacji i złożonych przypadków przez połączenie wielu zdarzeń ze sprawą
  • Zarządzanie dostępem do spraw przy użyciu kontroli dostępu opartej na rolach

To dopiero początek. Bądź na bieżąco z dodatkowymi możliwościami w miarę rozwoju tego rozwiązania.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Ujednolicona oś czasu urządzenia w portalu Microsoft Defender (wersja zapoznawcza)

Ujednolicona oś czasu urządzenia, pojedynczy, spójny widok, który integruje aktywność urządzeń z Microsoft Sentinel i Defender XDR z pojedynczą osią czasu, jest teraz dostępna w wersji zapoznawczej. Ta funkcja usprawnia badania zabezpieczeń, umożliwiając analitykom dostęp do wszystkich odpowiednich działań urządzeń w jednym miejscu, zmniejszając konieczność przełączania się między platformami i skracając czas reakcji na zdarzenia.

Aby uzyskać więcej informacji, zobacz stronę Jednostki urządzenia w Microsoft Defender.

Aktualizacje optymalizacji SOC na potrzeby ujednoliconego zarządzania pokryciem

W obszarach roboczych obsługujących ujednolicone operacje zabezpieczeń optymalizacje SOC obsługują teraz dane SIEM i XDR z pokryciem wykrywania z różnych usług Microsoft Defender.

W portalu usługi Defender optymalizacje SOC i mitre att&strony CK zapewniają teraz dodatkowe funkcje optymalizacji pokrycia opartego na zagrożeniach, aby ułatwić zrozumienie wpływu zaleceń na środowisko i ułatwić określenie priorytetów, które należy najpierw zaimplementować.

Ulepszenia obejmują:

Obszar Szczegóły
Strona przeglądu optymalizacji SOC - Wysoki,średni lub niski wynik dla bieżącego pokrycia wykrywania. Ten rodzaj oceniania może pomóc w podjęciu decyzji o tym, które zalecenia mają być priorytetowane w skrócie.

- Wskazanie liczby aktywnych Microsoft Defender produktów (usług) spośród wszystkich dostępnych produktów. Pomaga to zrozumieć, czy w twoim środowisku brakuje całego produktu.
Okienko po stronie szczegółów optymalizacji,
wyświetlane podczas przechodzenia do szczegółów do określonej optymalizacji		 - Szczegółowa analiza pokrycia, w tym liczba wykryć zdefiniowanych przez użytkownika, akcji odpowiedzi i aktywnych produktów.

- Szczegółowe wykresy pajęcze, które pokazują zasięg w różnych kategoriach zagrożeń, zarówno w przypadku wykrywania zdefiniowanego przez użytkownika, jak i wykrywania na zewnątrz.

— Opcja przechodzenia do konkretnego scenariusza zagrożenia na stronie mitre att&CK zamiast wyświetlania pokrycia&CK mitre att tylko w okienku bocznym.

— Opcja wyświetlenia scenariusza pełnego zagrożenia , aby przejść do szczegółów jeszcze bardziej szczegółowych informacji na temat dostępnych produktów i wykrywania zabezpieczeń w celu zapewnienia pokrycia zabezpieczeń w środowisku.
MITRE ATT&strona CK — Nowy przełącznik umożliwiający wyświetlanie pokrycia według scenariusza zagrożeń. Jeśli przeskoczono do strony MITRE ATT&CK z okienka po stronie szczegółów rekomendacji lub na stronie Wyświetl scenariusz pełnego zagrożenia strona MITRE ATT&CK jest wstępnie filtrowana pod kątem scenariusza zagrożenia.

- Okienko szczegółów techniki wyświetlane z boku po wybraniu określonej techniki MITRE ATT&CK pokazuje teraz liczbę aktywnych wykryć spośród wszystkich dostępnych wykryć dla tej techniki.

Aby uzyskać więcej informacji, zobacz Optimize your security operations and Understand security coverage by the MITRE ATT&CK framework (Optymalizowanie operacji zabezpieczeń) i Understand security coverage by the MITRE ATT&CK framework (Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK).

Grudzień 2024 r.

Nowe zalecenia dotyczące optymalizacji SOC oparte na podobnych organizacjach (wersja zapoznawcza)

Optymalizacje SOC obejmują teraz nowe zalecenia dotyczące dodawania źródeł danych do obszaru roboczego w oparciu o stan zabezpieczeń innych organizacji w podobnych branżach i sektorach, jak ty, oraz z podobnymi wzorcami pozyskiwania danych.

Aby uzyskać więcej informacji, zobacz SOC optimization reference of recommendations (Dokumentacja optymalizacji SOC dotycząca zaleceń).

Microsoft Sentinel skoroszyty są teraz dostępne do wyświetlania bezpośrednio w portalu Microsoft Defender

Microsoft Sentinel skoroszyty są teraz dostępne do wyświetlania bezpośrednio w portalu Microsoft Defender. Teraz w portalu usługi Defender po wybraniu pozycji Microsoft Sentinel > Skoroszyty zarządzania zagrożeniami >pozostaniesz w portalu usługi Defender zamiast otwieranej nowej karty dla skoroszytów w Azure Portal. Przejdź do Azure Portal tylko wtedy, gdy musisz edytować skoroszyty.

Microsoft Sentinel skoroszyty są oparte na skoroszytach Azure Monitor i ułatwiają wizualizowanie i monitorowanie pozyskanych danych w celu Microsoft Sentinel. Skoroszyty dodają tabele i wykresy z analizą dzienników i zapytań do narzędzi już dostępnych.

Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w Microsoft Sentinel i Łączenie Microsoft Sentinel z Microsoft Defender XDR.

Zawartość pokrewna

Aby uzyskać więcej informacji na temat nowości w innych produktach usługi Microsoft Defender i usłudze Microsoft Sentinel, zobacz:

Aktualizacje produktów i ważne powiadomienia można również uzyskać za pomocą centrum wiadomości.

  • Last updated on