Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra os recursos adicionados ao Microsoft Sentinel recentemente, além de novos recursos em serviços relacionados que fornecem uma experiência de usuário aprimorada no Microsoft Sentinel. Para obter novos recursos relacionados a operações de segurança unificadas no portal do Defender, confira as novidades das operações de segurança unificadas?
Os recursos listados foram lançados nos últimos seis meses. Para saber mais sobre os recursos oferecidos anteriormente, confira nossos blogs da Tech Community.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Novembro de 2025
Novas experiências de UEBA (Análise de Comportamento de Entidade) no portal do Defender (versão prévia)
O Microsoft Sentinel apresenta novas experiências de UEBA no portal do Defender, trazendo insights comportamentais diretamente nos principais fluxos de trabalho de analistas. Esses aprimoramentos ajudam os analistas a priorizar investigações e aplicar o contexto UEBA com mais eficiência.
Investigações de usuários focadas em anomalias
No portal do Defender, os usuários com anomalias comportamentais são marcados automaticamente com Anomalias UEBA, ajudando os analistas a identificar rapidamente quais usuários devem ser priorizados.
Os analistas podem exibir as três principais anomalias dos últimos 30 dias em uma seção dedicada das principais anomalias da UEBA, disponível em:
- Painéis de usuário acessíveis a partir de várias localizações dentro do portal.
- A aba Visão geral nas páginas de entidade do usuário.
Esta seção também inclui links diretos para consultas de anomalias e a linha do tempo de eventos do Sentinel, permitindo uma investigação mais profunda e uma coleta de contexto mais rápida.
Detalhamento de anomalias de usuário nos gráficos de incidentes
Os analistas podem acessar rapidamente todas as anomalias relacionadas a um usuário selecionando Go Hunt > Todas as anomalias do usuário no grafo de incidentes. Essa consulta integrada fornece um contexto UEBA imediato para dar suporte a uma investigação mais profunda.
Consultas avançadas de caça e detecções personalizadas enriquecidas com insights de comportamento
As experiências de caça avançada e detecção personalizada agora incluem um banner contextual que solicita aos analistas que se juntem à tabela Anomalias UEBA para consultas que incluem fontes de dados UEBA.
Todos os recursos exigem que o UEBA seja habilitado e estão restritos ao workspace selecionado no momento.
Para obter mais informações, consulte Como a UEBA capacita analistas e simplifica os fluxos de trabalho.
Conectores de dados SAP
O conector de dados sem agente para a Solução Sentinel para SAP agora está geralmente disponível. Saiba mais em nosso blog da Tech Community.
Descontinuação: o conector de dados SAP em contêineres ficará sem suporte a partir de 30 de setembro de 2026. Migre para nosso conector de dados SAP sem necessidade de agente hoje. Todas as novas implantações têm apenas a nova opção de conector sem agente que é cobrada pelo mesmo preço.
Chamada à ação: atualizar consultas e automação até 01º de julho de 2026 - nomeação de entidade de conta padronizada em incidentes e alertas
O Microsoft Sentinel está atualizando como identifica entidades de conta em incidentes e alertas. Essa alteração apresenta uma lógica de nomenclatura padronizada para melhorar a consistência e a confiabilidade em seus fluxos de trabalho de análise e automação.
Importante
Essa alteração pode afetar suas regras analíticas, regras de automação, guias estratégicos, pastas de trabalho, consultas de busca e integrações personalizadas.
Agora, o Sentinel selecionará o identificador de conta mais confiável usando a seguinte prioridade:
Prefixo UPN – a parte antes de "@" em um Nome Principal do Usuário
- Exemplo:
john.doe@contoso.com→john.doe
- Exemplo:
Nome – usado se o prefixo UPN não estiver disponível
Nome de Exibição – alternativa se ambos acima estiverem ausentes
Atualize suas consultas KQL e a lógica de automação para seguir o novo padrão que reconhece precedência. Use a função coalesce()(/kusto/query/coalesce-function) para garantir a compatibilidade:
coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)
Teste todas as alterações em um ambiente de teste antes de implementá-las em produção.
Outubro de 2025
- Exportar objetos de inteligência de ameaças STIX (versão prévia)
- Chamada à ação: atualizar consultas e automação até 1º de julho de 2026 – nomeação de entidade de conta padronizada em incidentes e alertas
Exportar objetos de inteligência de ameaças STIX (versão de prévia)
O Microsoft Sentinel agora dá suporte à exportação de objetos de inteligência contra ameaças STIX para outros destinos, como plataformas externas. Se você tiver ingerido inteligência contra ameaças para o Microsoft Sentinel de uma plataforma externa, como ao usar o conector de dados de Inteligência contra Ameaças – TAXII , agora você pode exportar a inteligência contra ameaças de volta para essa plataforma, permitindo o compartilhamento bidirecional de inteligência. Esse novo suporte fornece compartilhamento direto e seguro, reduzindo a necessidade de processos manuais ou guias estratégicos personalizados para distribuir a inteligência contra ameaças.
Atualmente, há suporte para exportação de objetos TI apenas para plataformas baseadas em TAXII 2.1. Você pode acessar o recurso de exportação no portal do Defender e no portal do Azure:
Para saber mais, veja:
- Usar STIX/TAXII para importar e exportar inteligência contra ameaças no Microsoft Sentinel
- Exportar inteligência de ameaças
Setembro de 2025
O Microsoft Sentinel evolui para um SIEM e uma plataforma
As principais adições incluem:
O Microsoft Sentinel está evoluindo para um SIEM e uma plataforma
A segurança está sendo reprojetada para a era da inteligência artificial, superando controles estáticos, baseados em regras, e resposta pós-violação, em direção a uma defesa em velocidade de máquina liderada por plataformas. Para enfrentar o desafio de ferramentas fragmentadas, sinais abrangentes e arquiteturas legadas que não podem corresponder à velocidade e à escala dos ataques modernos, o Microsoft Sentinel evoluiu tanto para um SIEM quanto para uma plataforma que unifica dados para uma defesa proativa. Essa atualização reflete aprimoramentos arquitetônicos que dão suporte a operações de segurança orientadas por IA em escala. Para obter mais informações, consulte o que é o Microsoft Sentinel?
As principais adições incluem o data lake do Microsoft Sentinel, o grafo do Microsoft Sentinel e o servidor MCP (Protocolo de Contexto de Modelo) do Microsoft Sentinel, conforme descrito abaixo.
O data lake do Microsoft Sentinel agora está em GA (disponibilidade geral)
Uma base escalonável e econômica para retenção de dados de longo prazo e análise multi modal. O Data Lake do Microsoft Sentinel permite que as organizações unifiquem dados de segurança entre fontes e executem análises avançadas sem sobrecarga de infraestrutura.
Para obter mais informações, consulte o data lake do Microsoft Sentinel.
Gráfico do Microsoft Sentinel (versão prévia)
Análise de grafo unificada para contexto mais profundo e raciocínio de ameaças. O Grafo do Microsoft Sentinel modela relações entre usuários, dispositivos e atividades para dar suporte a investigações complexas de ameaças e análises pré e pós-violação.
Para obter mais informações, consulte o que é o grafo do Microsoft Sentinel? (Versão prévia).
Servidor mcp (protocolo de contexto de modelo) do Microsoft Sentinel (versão prévia)
Uma interface hospedada para a criação de agentes inteligentes usando linguagem natural. O servidor MCP do Microsoft Sentinel simplifica a criação de agente e a exploração de dados, permitindo que os engenheiros consultem e raciocinam sobre dados de segurança sem precisar de conhecimento de esquema.
Para obter mais informações, consulte a visão geral do PROTOCOLO MCP (Model Context Protocol).
Novas fontes de dados para UEBA (Análise avançada de comportamento de usuário e entidade) (versão prévia)
O UEBA do Microsoft Sentinel fornece às equipes SOC a detecção de anomalias com IA, baseada em sinais comportamentais em seu ambiente. Ele ajuda a priorizar ameaças usando linhas de base dinâmicas, comparações de pares e perfis de entidade enriquecidos.
O UEBA agora dá suporte à detecção de anomalias usando seis novas fontes de dados:
Fontes de autenticação da Microsoft:
Essas fontes fornecem uma visibilidade mais profunda do comportamento de identidade em seu ambiente da Microsoft.
- Eventos de logon de dispositivos do Microsoft Defender XDR: Capturar atividades de logon de terminais, ajudando a identificar movimentos laterais, padrões de acesso incomuns ou dispositivos comprometidos.
- Logs de entrada de identidade gerenciada do Microsoft Entra ID: acompanhe as entradas por identidades gerenciadas usadas na automação, como scripts e serviços. Isso é crucial para detectar o uso indevido silencioso de identidades de serviço.
- Logs de entrada da entidade de serviço do Microsoft Entra ID: monitore as entradas por entidades de serviço - muitas vezes usadas por aplicativos ou scripts - para detectar anomalias, como acesso inesperado ou escalonamento de privilégios.
Plataformas de gerenciamento de identidade e nuvem de terceiros:
A UEBA agora se integra às principais plataformas de gerenciamento de nuvem e identidade para aprimorar a detecção de comprometimento de identidade, uso indevido de privilégios e comportamentos de acesso arriscados em ambientes multinuvem.
- Eventos de logon do CloudTrail do AWS: sinalizar tentativas de logon arriscadas no Amazon Web Services (AWS), como MFA (autenticação multifator) com falha ou uso da conta raiz — indicadores críticos de potencial comprometimento da conta.
- Logs de auditoria do GCP – Eventos de acesso do IAM com falha: capturar tentativas de acesso negadas no Google Cloud Platform, ajudando a identificar tentativas de escalonamento de privilégios ou funções configuradas incorretamente.
- Eventos de mudança de segurança de autenticação e MFA do Okta: Expôr desafios de MFA e alterações em políticas de autenticação no Okta — sinais que podem indicar ataques direcionados ou violações de identidade.
Essas novas fontes aprimoram a capacidade da UEBA de detectar ameaças em ambientes híbridos e da Microsoft com base em dados enriquecidos de identidade de usuário, dispositivo e serviço, contexto comportamental aprimorado e novos recursos de detecção de anomalias entre plataformas.
Para habilitar as novas fontes de dados, você deve ser integrado ao portal do Defender.
Para saber mais, veja:
- UEBA controlado por IA do Microsoft Sentinel inicia a próxima era de análise comportamental
- Detecção avançada de ameaças com UEBA (Análise de Comportamento de Usuário e Entidade) no Microsoft Sentinel
- Habilitar a UEBA (Análise de Comportamento de Usuário e Entidade) no Microsoft Sentinel
- Referência do UEBA do Microsoft Sentinel
- Anomalias da UEBA
Julho 2025
Editar pastas de trabalho diretamente no portal do Microsoft Defender (versão prévia)
Agora você pode criar e editar pastas de trabalho do Microsoft Sentinel diretamente no portal do Microsoft Defender. Esse aprimoramento simplifica seu fluxo de trabalho, permite que você gerencie suas pastas de trabalho com mais eficiência e coloca a experiência da pasta de trabalho mais alinhada com a experiência no portal do Azure.
As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor e ajudam você a visualizar e monitorar os dados ingeridos no Microsoft Sentinel. As pastas de trabalho adicionam tabelas e gráficos com análises de dados para seus logs e consultas às ferramentas já disponíveis.
As pastas de trabalho estão disponíveis no portal do Defender em Microsoft Sentinel > Gerenciamento de ameaças > Pastas de Trabalho. Para obter mais informações, confira Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Julho de 2025
- Data lake do Microsoft Sentinel
- Configurações de gerenciamento e retenção de tabela no portal do Microsoft Defender
- Permissões do Data Lake do Microsoft Sentinel integradas com o RBAC unificado do Microsoft Defender XDR
- Somente para novos clientes: integração automática e redirecionamento para o portal do Microsoft Defender
- Nenhum limite no número de workspaces que você pode integrar ao portal do Defender
- Microsoft Sentinel no portal do Azure a ser desativado em julho de 2026
Data lake do Microsoft Sentinel
O Microsoft Sentinel agora é aprimorado com um data lake moderno, criado para simplificar o gerenciamento de dados, reduzir custos e acelerar a adoção de IA para equipes de operações de segurança. O novo data lake do Microsoft Sentinel oferece armazenamento econômico e de longo prazo, eliminando a necessidade de escolher entre acessibilidade e segurança robusta. As equipes de segurança ganham visibilidade mais profunda e resolução mais rápida de incidentes, tudo dentro da experiência familiar do Microsoft Sentinel, enriquecido por meio da integração perfeita com ferramentas avançadas de análise de dados.
Os principais benefícios do data lake do Microsoft Sentinel incluem: +Cópia única de dados em formato aberto para armazenamento eficiente e econômico +Separação de armazenamento e computação para maior flexibilidade +Suporte para vários mecanismos de análise para desbloquear insights mais profundos de seus dados de segurança +Integração nativa com o Microsoft Sentinel, incluindo a capacidade de selecionar níveis para dados de log nos níveis de análise e lake. Para mais informações, consulte
Explore o data lake usando consultas KQL ou use o novo notebook de data lake do Microsoft Sentinel para VS Code para visualizar e analisar seus dados.
Para saber mais, veja:
- Data lake do Microsoft Sentinel
- KQL e o data lake do Microsoft Sentinel (versão prévia)
- Jupyter Notebooks e o data lake do Microsoft Sentinel (versão prévia)
- Blog técnico do Data Lake
Configurações de gerenciamento e retenção de tabela no portal do Microsoft Defender
As configurações de gerenciamento e retenção de tabela agora estão disponíveis nos portais do Microsoft Defender. Você pode exibir e gerenciar as configurações de tabela no portal do Microsoft Defender, incluindo configurações de retenção para tabelas do Microsoft Sentinel e do Defender XDR e alternar entre as camadas de análise e data lake.
Para saber mais, veja:
- Gerenciar camadas de dados e retenção no Microsoft Sentinel
- Definir configurações de tabela no Microsoft Sentinel.
Permissões do data lake do Microsoft Sentinel integradas ao RBAC unificado do Microsoft Defender XDR
A partir de julho de 2025, as permissões do repositório de dados do Microsoft Sentinel serão fornecidas por meio do RBAC unificado do Microsoft Defender XDR. O suporte ao RBAC unificado está disponível além do suporte fornecido pelas funções globais do Microsoft Entra ID.
Para saber mais, veja:
- Controle de acesso baseado em função (RBAC) unificado do Microsoft Defender XDR
- Criar funções personalizadas com RBAC unificado do Microsoft Defender XDR
- Permissões no RBAC (controle de acesso baseado em função) unificado do Microsoft Defender XDR
- Funções e permissões para o data lake do Microsoft Sentinel
Somente para novos clientes: integração automática e redirecionamento para o portal do Microsoft Defender
Para esta atualização, os novos clientes do Microsoft Sentinel são clientes que estão integrando o primeiro espaço de trabalho em seu tenant ao Microsoft Sentinel em ou após 1º de julho de 2025.
A partir de 1º de julho de 2025, esses novos clientes que têm as permissões de um proprietário de assinatura ou de um administrador de acesso de usuário, e também não são usuários delegados do Azure Lighthouse, têm seus workspaces automaticamente integrados ao portal do Defender, juntamente com a integração ao Microsoft Sentinel. Usuários de tais espaços de trabalho, que também não são usuários delegados do Azure Lighthouse, veem links no Microsoft Sentinel no portal do Azure que os redirecionam para o portal do Defender. Esses usuários usam o Microsoft Sentinel somente no portal do Defender.
Novos clientes que não têm as permissões relevantes não são integrados automaticamente ao portal do Defender, mas ainda veem links de redirecionamento no portal do Azure, juntamente com prompts para que um usuário com as permissões relevantes integre manualmente o espaço de trabalho ao portal do Defender.
Esta alteração simplifica o processo de integração e garante que novos clientes possam aproveitar imediatamente as funcionalidades de operações de segurança unificadas sem a etapa extra de integração manual de seus workspaces.
Para saber mais, veja:
- Configurar o Microsoft Sentinel
- Microsoft Sentinel no portal do Microsoft Defender
- Alterações para novos clientes a partir de julho de 2025
Nenhum limite no número de workspaces que você pode integrar ao portal do Defender
Não há mais limite para o número de workspaces que você pode integrar ao portal do Defender.
As limitações ainda se aplicam ao número de workspaces que você pode incluir em uma consulta do Log Analytics e no número de workspaces que você pode ou deve incluir em uma regra de análise agendada.
Para saber mais, veja:
- Conecte o Microsoft Sentinel ao portal do Microsoft Defender
- Vários espaços de trabalho do Microsoft Sentinel no portal do Defender
- Estender o Microsoft Sentinel em espaços de trabalho e locatários
Microsoft Sentinel no portal do Azure a ser desativado em julho de 2026
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou a licença E5. Isso significa que você pode usar o Microsoft Sentinel no portal do Defender mesmo que não esteja usando outros serviços do Microsoft Defender.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usam o portal do Azure serão redirecionados automaticamente.
Se você estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender agora para garantir uma transição tranquila e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender.
Para saber mais, veja:
- Microsoft Sentinel no portal do Microsoft Defender
- Fazer a transição do ambiente do Microsoft Sentinel para o portal do Defender
- Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel (blog)
Junho de 2025
- CCP (Microsoft Sentinel Codeless Connector Platform) renomeado para CCF (Codeless Connector Framework)
- Referência consolidada do conector de dados do Microsoft Sentinel
- Modelos de regra de resumo agora em versão prévia pública
CCP (Codeless Connector Platform) renomeado para CCF (Codeless Connector Framework)
O CCP (Microsoft Sentinel Codeless Connector Platform) foi renomeado para CCF (Codeless Connector Framework). O novo nome reflete a evolução da plataforma e evita confusão com outros serviços orientados à plataforma, ao mesmo tempo em que fornece a mesma facilidade de uso e flexibilidade esperada pelos usuários.
Para obter mais informações, confira Criar um conector sem código para o Microsoft Sentinel.
Referência consolidada do conector de dados do Microsoft Sentinel
Consolidamos a documentação de referência do conector, mesclando os artigos de conectores separados em uma única tabela de referência abrangente.
Você pode encontrar a nova referência de conector nos conectores de dados do Microsoft Sentinel. Para obter mais informações, consulte Criar um conector sem código e desbloquear o potencial do Microsoft Sentinel's Codeless Connector Framework e fazer mais com o Microsoft Sentinel mais rapidamente.
Modelos de regra de resumo agora em versão prévia pública
Agora você pode usar modelos de regra de resumo para implantar regras de resumo predefinidas adaptadas a cenários comuns de segurança. Esses modelos ajudam você a agregar e analisar grandes conjuntos de dados com eficiência, não exigem conhecimento profundo, reduzem o tempo de instalação e garantem as práticas recomendadas. Para obter mais informações, consulte Agregar dados do Microsoft Sentinel com regras de resumo (versão prévia).
Maio de 2025
- Todos os casos de uso do Microsoft Sentinel geralmente disponíveis no portal do Defender
- Tabela IdentityInfo Unificada
- Adições ao suporte à otimização SOC (Prévia)
Todos os casos de uso do Microsoft Sentinel que estão em disponibilidade geral no portal do Defender
Todos os casos de uso do Microsoft Sentinel que estão em disponibilidade geral, incluindo recursos de multilocatário e de vários workspaces e suporte para todas as nuvens governamentais e comerciais, agora também têm suporte para disponibilidade geral no portal do Defender.
Recomendamos que você integre seus workspaces ao portal do Defender para aproveitar as operações de segurança unificadas. Para saber mais, veja:
Para saber mais, veja:
- O melhor do Microsoft Sentinel - agora no Microsoft Defender (blog)
- Microsoft Sentinel no portal do Microsoft Defender
- Fazer a transição do ambiente do Microsoft Sentinel para o portal do Defender
Tabela Unified IdentityInfo
Os clientes do Microsoft Sentinel no portal do Defender que habilitaram o UEBA agora podem aproveitar uma nova versão da tabela IdentityInfo , localizada na seção de busca Avançada do portal do Defender, que inclui o maior conjunto possível de campos comuns aos portais do Defender e do Azure. Essa tabela unificada ajuda a enriquecer suas investigações de segurança em todo o portal do Defender.
Para obter mais informações, consulte a tabela IdentityInfo.
Adições ao suporte à otimização SOC (Visualização)
Suporte à otimização SOC para:
- Recomendações de identificação com a IA para MITRE ATT&CK (Versão prévia): usa inteligência artificial para sugerir a classificação de detecções de segurança com as táticas e técnicas do MITRE ATT&CK.
- Recomendações baseadas em risco (versão prévia): recomenda a implementação de controles para resolver lacunas de cobertura vinculadas a casos de uso que podem resultar em riscos comerciais ou perdas financeiras, incluindo riscos operacionais, financeiros, de reputação, de conformidade e legais.
Para obter mais informações, consulte Referência de Otimização SOC.
Abril de 2025
- Solução do Microsoft Sentinel para Aplicativos De Negócios da Microsoft em geral disponível no portal do Azure
- O Security Copilot gera resumos de incidentes no Microsoft Sentinel no portal do Azure (versão prévia)
- Suporte multilocatário e para vários espaços de trabalho para o Microsoft Sentinel no portal do Defender (Versão Prévia)
- O Microsoft Sentinel agora ingere todos os objetos e indicadores STIX em novas tabelas de inteligência contra ameaças (versão prévia)
- Suporte à otimização SOC para colunas não usadas (versão prévia)
Solução do Microsoft Sentinel para Aplicativos De Negócios da Microsoft em geral disponível no portal do Azure
A solução do Microsoft Sentinel para Microsoft Business Apps agora está disponível no portal do Azure.
O Security Copilot gera resumos de incidentes no Microsoft Sentinel no portal do Azure (versão prévia)
O Microsoft Sentinel no portal do Azure agora apresenta (em versão prévia) resumos de incidentes gerados pelo Security Copilot, colocando-o em linha com o portal do Defender. Esses resumos fornecem aos analistas de segurança as informações antecipadas necessárias para entender rapidamente, fazer triagem e começar a investigar incidentes em desenvolvimento.
Para obter mais informações, consulte Resumir incidentes do Microsoft Sentinel com o Security Copilot.
Suporte multilocatário e para vários espaços de trabalho para o Microsoft Sentinel no portal do Defender (Versão Prévia)
Para visualização, no portal do Defender, conecte-se a um workspace primário e a vários workspaces secundários para o Microsoft Sentinel. Se você integrar o Microsoft Sentinel ao Defender XDR, os alertas de um espaço de trabalho primário serão associados aos dados do Defender XDR. Portanto, os incidentes incluem alertas do workspace principal do Microsoft Sentinel e do Defender XDR. Todas as outras áreas de trabalho integradas são consideradas áreas de trabalho secundárias. Os incidentes são criados com base nos dados do workspace e não incluem dados do Defender XDR.
- Se você planeja usar o Microsoft Sentinel no portal do Defender sem o Defender XDR, poderá gerenciar vários workspaces. Porém, o workspace primário não inclui dados do Defender XDR e você não terá acesso aos recursos do Defender XDR.
- Se você estiver trabalhando com vários locatários e vários espaço de trabalhos por locatário, também poderá usar o gerenciamento multilocatário do Microsoft Defender para ver incidentes e alertas e procurar dados na busca avançada de ameaças, em vários espaços de trabalho e locatários.
Para obter mais informações, consulte os seguintes artigos:
- Vários espaços de trabalho do Microsoft Sentinel no portal do Defender
- Conecte o Microsoft Sentinel ao portal do Microsoft Defender
- Gerenciamento multilocatário do Microsoft Defender
- Ver e gerir incidentes e alertas na gestão multi-inquilino do Microsoft Defender
- Busca avançada de ameaças no gerenciamento multilocatário do Microsoft Defender
O Microsoft Sentinel agora ingere todos os objetos e indicadores STIX em novas tabelas de inteligência contra ameaças (versão prévia)
O Microsoft Sentinel agora ingere objetos STIX e indicadores nas novas tabelas de inteligência contra ameaças, ThreatIntelIndicators e ThreatIntelObjects. As novas tabelas dão suporte ao novo esquema STIX 2.1, que permite ingerir e consultar vários objetos de inteligência contra ameaças, incluindo identity, attack-patterne threat-actorrelationship.
O Microsoft Sentinel irá ingerir toda a inteligência contra ameaças nas novas tabelas ThreatIntelIndicators e ThreatIntelObjects, enquanto continua a ingerir os mesmos dados na tabela herdada ThreatIntelligenceIndicator até 31 de julho de 2025.
Atualize suas consultas personalizadas, regras de análise e detecção, pastas de trabalho e automação para usar as novas tabelas até 31 de julho de 2025. Após essa data, o Microsoft Sentinel interromperá a ingestão de dados na tabela herdada ThreatIntelligenceIndicator . Estamos atualizando todas as soluções de inteligência de ameaças pré-configuradas no Hub de Conteúdo para aproveitar as novas tabelas.
Para obter mais informações, consulte os seguintes artigos:
- Inteligência contra ameaças no Microsoft Sentinel
- Trabalhar com objetos STIX e indicadores para aprimorar a inteligência contra ameaças e a busca de ameaças no Microsoft Sentinel (versão prévia)
Suporte à otimização SOC para colunas não usadas (versão prévia)
Para otimizar a relação custo/valor de segurança, a otimização do SOC destaca conectores de dados ou tabelas pouco usados. A otimização SOC agora destaca colunas não utilizadas em suas tabelas. Para obter mais informações, veja Referência de recomendações de otimização do SOC.
Março de 2025
Conexão sem agente com o SAP agora em versão prévia pública
O conector de dados sem agente do Microsoft Sentinel para SAP e o conteúdo de segurança relacionado agora estão incluídos, como visualização pública, na solução para aplicativos SAP. Essa atualização também inclui os seguintes aprimoramentos para o conector de dados sem agente:
- Instruções aprimoradas no portal para implantar e configurar o conector de dados. A documentação externa é atualizada para basear-se nas instruções no portal.
- Mais dados ingeridos, como os logs da documentação de alterações e os dados mestres do usuário.
- Parâmetros opcionais para personalizar o comportamento do conector de dados (opcional).
- Uma nova ferramenta para verificar os pré-requisitos e a compatibilidade do sistema, recomendada antes da implantação e da solução de problemas.
Para saber mais, veja:
- Solução do Microsoft Sentinel para aplicativos SAP: visão geral da implantação
- Aplicativos da Solução do Microsoft Sentinel para SAP – referência de funções
- Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP
Janeiro de 2025
- Otimizar feeds de inteligência contra ameaças com regras de ingestão
- Regra de análise correspondente agora em GA (disponibilidade geral)
- Interface de gerenciamento de inteligência contra ameaças atualizada
- Aproveitar a busca avançada de ameaças com novos objetos STIX ativando as novas tabelas de inteligência contra ameaças
- A API de upload de inteligência contra ameaças agora dá suporte a mais objetos STIX
- Os conectores de dados da Inteligência contra Ameaças do Microsoft Defender agora estão em disponibilidade geral (GA)
- Suporte a arquivos Bicep para repositórios (versão prévia)
- Atualizações de otimização do SOC para gerenciamento de cobertura unificada
- Exibir o conteúdo da solução granular no hub de conteúdo do Microsoft Sentinel
Otimizar os feeds de inteligência contra ameaças com regras de ingestão
Otimize os feeds de inteligência contra ameaças filtrando e aprimorando os objetos antes que sejam entregues à sua área de trabalho. As regras de ingestão atualizam os atributos de objeto de inteligência contra ameaças ou filtram objetos por completo. Confira o anúncio do blog aqui!
Para obter mais informações, consulte Entender regras de ingestão de inteligência contra ameaças.
Regra de análise correspondente agora em GA (disponibilidade geral)
A Microsoft fornece acesso à inteligência contra ameaças premium por meio da regra de análise de inteligência contra ameaças do Defender, agora em GA (disponibilidade geral). Para obter mais informações sobre como aproveitar essa regra, que gera alertas e incidentes de alta fidelidade, veja Usar as análises correspondentes para detectar ameaças.
A interface do gerenciamento de inteligência contra ameaças foi migrada
A inteligência contra ameaças do Microsoft Sentinel no portal do Defender foi migrada! Renomeamos a página Gerenciamento de inteligência e a movemos para junto de outros fluxos de trabalho de inteligência contra ameaças cibernéticas. Não há alterações para clientes que usam o Microsoft Sentinel na experiência do Azure.
Os aprimoramentos de inteligência contra ameaças estão disponíveis para clientes usando as duas experiências do Microsoft Sentinel. A interface de gerenciamento simplifica a criação e a curadoria de inteligência de ameaças com estas características principais:
- Definir relacionamentos ao criar novos objetos STIX.
- Coletar a inteligência contra ameaças já existente com o novo construtor de relacionamentos.
- Criar vários objetos rapidamente copiando metadados comuns de um novo ou existente objeto TI com a função de duplicação.
- Utilizar a pesquisa avançada para classificar e filtrar objetos de inteligência contra ameaças sem a necessidade de escrever consultas no Log Analytics.
Para obter mais informações, consulte os seguintes artigos:
- Novos objetos STIX no Microsoft Sentinel
- Entenda a inteligência de ameaças
- Descobrir adversários com inteligência contra ameaças no portal do Defender
Desbloqueie a busca avançada de ameaças com novos objetos STIX ativando novas tabelas de inteligência cibernética
Tabelas que dão suporte ao novo esquema de objeto STIX não estão disponíveis publicamente. Para consultar a inteligência sobre ameaças para objetos STIX usando KQL e desbloquear o modelo de busca que os utiliza, solicite a adesão com este formulário. Faça a ingestão da inteligência contra ameaças nas novas tabelas ThreatIntelIndicators e ThreatIntelObjects, juntamente com ou em substituição à tabela atual ThreatIntelligenceIndicator, por meio deste processo de aceitação.
Para mais informações, veja o anúncio no blog de Novos objetos STIX no Microsoft Sentinel.
A API de upload de inteligência contra ameaças agora dá suporte a mais objetos STIX
Aproveite ao máximo suas plataformas de inteligência contra ameaças ao conectá-las ao Microsoft Sentinel com a API de upload. Agora você pode ingerir mais objetos além de apenas indicadores, refletindo a diversa inteligência sobre ameaças disponível. A API de upload dá suporte aos seguintes objetos STIX:
indicatorattack-patternidentitythreat-actorrelationship
Para obter mais informações, consulte os seguintes artigos:
- Conecte sua plataforma de inteligência de ameaças com a API de upload (versão prévia)
- Importar inteligência de ameaças para o Microsoft Sentinel com a API de upload (versão prévia)
- Novos objetos STIX no Microsoft Sentinel
Os conectores de dados da Inteligência contra Ameaças do Microsoft Defender agora estão em disponibilidade geral (GA)
Os conectores de dados premium e padrão da Inteligência contra Ameaças do Microsoft Defender agora estão em disponibilidade geral (GA) no hub de conteúdo. Para obter mais informações, consulte os seguintes artigos:
- Explorar as licenças da inteligência contra ameaças do Microsoft Defender
- Habilitar o conector de dados da Inteligência contra Ameaças do Microsoft Defender
Suporte a arquivos Bicep para repositórios (versão prévia)
Use arquivos do Bicep junto ou como uma substituição de modelos JSON do ARM nos repositórios do Microsoft Sentinel. O Bicep fornece uma maneira intuitiva de criar modelos de recursos do Azure e itens de conteúdo do Microsoft Sentinel. Além de facilitar o desenvolvimento de novos itens de conteúdo, o Bicep facilita a revisão e atualização de conteúdo para qualquer pessoa que faça parte da integração contínua e entrega do conteúdo do Microsoft Sentinel.
Para obter mais informações, consulte Planejar o conteúdo do repositório.
Atualizações de otimização do SOC para gerenciamento de cobertura unificada
Em workspaces integrados ao portal do Defender, as otimizações SOC agora dão suporte a dados SIEM e XDR, com cobertura de detecção de todos os serviços do Microsoft Defender.
No portal do Defender, as páginas Otimizações do SOC e MITRE ATT&CK também agora oferecem funcionalidades extras para otimizações de cobertura com base em ameaças para ajudar você a entender o impacto das recomendações no seu ambiente e a priorizar quais implementar primeiro.
Os aprimoramentos incluem o seguinte:
| Área | Detalhes |
|---|---|
| Página de Visão Geral das Otimizações do SOC | - Uma pontuação Alta, Média ou Baixa para a cobertura de detecção atual. Esse tipo de pontuação pode ajudar você a decidir quais recomendações priorizar em um relance. - Uma indicação do número de produtos ativos do Microsoft Defender (serviços) em comparação com todos os produtos disponíveis. Isso ajuda você a entender se há um produto inteiro ausente no seu ambiente. |
|
Painel lateral de detalhes da otimização, mostrado quando você faz drill down em uma otimização específica |
- Análise de cobertura detalhada, incluindo o número de detecções definidas pelo usuário, ações de resposta e produtos ativos. - Gráficos de radar detalhados que mostram sua cobertura em diferentes categorias de ameaças, tanto para detecções definidas pelo usuário quanto para detecções internas. - Uma opção para ir para o cenário de ameaça específico na página MITRE ATT&CK em vez de exibir a cobertura do MITRE ATT&CK apenas no painel lateral. - Uma opção para Exibir cenário de ameaça completo para fazer drill down em ainda mais detalhes sobre os produtos de segurança e as detecções disponíveis para fornecer cobertura de segurança no seu ambiente. |
| Página do MITRE ATT&CK | - Um novo alternador para exibir a cobertura por cenário de ameaça. Se você acessou a página MITRE ATT&CK a partir de um painel lateral de detalhes da recomendação ou da página Exibir cenário de ameaça completo, a página MITRE ATT&CK será pré-filtrada para o seu cenário de ameaça. - O painel de detalhes da técnica, mostrado na lateral quando você seleciona uma técnica MITRE ATT&CK específica, agora mostra o número de detecções ativas em relação a todas as detecções disponíveis para essa técnica. |
Para obter mais informações, confira Otimizar suas operações de segurança e Entender a cobertura de segurança pelo framework MITRE ATT&CK.
Exibir o conteúdo da solução granular no hub de conteúdo do Microsoft Sentinel
Agora você pode exibir o conteúdo individual disponível em uma solução específica diretamente do Hub de Conteúdo, mesmo antes de instalar a solução. Esta nova visibilidade ajuda você a entender o conteúdo disponível para você e identificar, planejar e instalar mais facilmente as soluções específicas necessárias.
Expanda cada solução no Hub de Conteúdo para exibir o conteúdo de segurança incluído. Por exemplo:
As atualizações de conteúdo da solução granular também incluem um mecanismo de pesquisa baseado em IA que ajuda você a executar pesquisas mais robustas, aprofundando-se no conteúdo da solução e retornando resultados para termos semelhantes.
Para obter mais informações, confira Descobrir conteúdo.