Partager via

Nouveautés de Microsoft Sentinel

  • Article

Cet article liste les fonctionnalités récentes ajoutées à Microsoft Sentinel et les nouvelles fonctionnalités des services associés qui offrent une expérience utilisateur améliorée dans Microsoft Sentinel.

Les fonctionnalités répertoriées ont été publiées au cours des trois derniers mois. Pour plus d’informations sur les fonctionnalités précédentes fournies, consultez nos blogs Tech Community.

Recevez une notification quand cette page est mise à jour en copiant et collant l’URL suivante dans votre lecteur de flux : https://aka.ms/sentinel/rss

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Septembre 2024

Mise en correspondance du schéma ajoutée à l’expérience de migration SIEM

Depuis que l’expérience de migration SIEM est devenue en disponibilité générale en mai 2024, des améliorations régulières ont été apportées pour aider à migrer votre surveillance de la sécurité à partir de Splunk. Les nouvelles fonctionnalités suivantes permettent aux clients de fournir des détails plus contextuels sur leur environnement Splunk et l’utilisation du moteur de traduction de migration SIEM Microsoft Sentinel :

  • Mappage de schéma
  • Prise en charge des macros Splunk dans la traduction
  • Prise en charge des recherches Splunk dans la traduction

Pour en savoir plus sur ces mises à jour, consultez Expérience de migration SIEM.

Pour plus d’informations sur l’expérience de migration SIEM, consultez les articles suivants :

Widgets d’enrichissement tiers à mettre hors service en février 2025

Désormais, vous ne pouvez plus activer la fonctionnalité permettant de créer des widgets d’enrichissement qui récupèrent des données auprès de sources de données externes tierces. Ces widgets figurent dans les pages d’entités Microsoft Sentinel et à d’autres emplacements où les informations d’entités sont présentées. Ce changement est lié au fait que vous ne pouvez plus créer les coffre de clés Azure permettant d’accéder à ces sources de données externes.

Si vous utilisez déjà des widgets d’enrichissement tiers et que par conséquent ce coffre de clés existe déjà, vous pouvez toujours configurer et utiliser les widgets que vous n’utilisiez pas auparavant, mais nous vous le déconseillons.

À compter de février 2025, tous les widgets d’enrichissement existants qui récupèrent des données auprès de sources tierces cesseront de figurer dans les pages d’entités ou ailleurs.

Si votre organisation utilise des widgets d’enrichissement tiers, nous vous recommandons de les désactiver par anticipation en supprimant le coffre de clés que vous avez créé à cet effet depuis son groupe de ressources. Le nom du coffre de clés commence par « widgets ».

Les widgets d’enrichissement basés sur des sources de données internes ne sont pas concernés par ce changement et continueront de fonctionner comme auparavant. Par « sources de données internes », on entend toutes les données déjà ingérées dans Microsoft Sentinel à partir de sources externes (autrement dit, tout le contenu des tables présentes dans votre espace de travail Log Analytics) et de Microsoft Defender Threat Intelligence.

Des plans de pré-achat sont maintenant disponibles pour Microsoft Sentinel

Les plans de pré-achat sont un type de réservation Azure. Quand vous achetez un plan de pré-achat, vous obtenez des unités de validation à des niveaux avec remise pour un produit spécifique. Les unités de validation Microsoft Sentinel s’appliquent à des coûts éligibles dans votre espace de travail. Quand vous avez des coûts prévisibles, choisir le bon plan de pré-achat vous fait économiser de l’argent !

Pour plus d’informations, consultez Optimiser les coûts avec un plan de pré-achat.

L’importation/exportation de règles d’automatisation est désormais en disponibilité générale (GA)

Après une courte période en préversion, la possibilité d’exporter des règles d’automatisation vers des modèles Azure Resource Manager (ARM) au format JSON, et de les importer à partir de modèles ARM, est désormais en disponibilité générale.

En savoir plus sur l’exportation et l’importation de règles d’automatisation.

Les connecteurs de données Google Cloud Platform sont désormais en disponibilité générale (GA)

Les connecteurs de données Google Cloud Platform (GCP) de Microsoft Sentinel basés sur notre Plateforme de connecteurs sans code (CCP) sont désormais en disponibilité générale. Avec ces connecteurs, vous pouvez ingérer les journaux d’activité de votre environnement GCP en utilisant la fonctionnalité GCP Pub/Sub de GCP :

  • Le connecteur Pub/Sub Audit Logs Google Cloud Platform (GCP) collecte les pistes d’audit d’accès aux ressources GCP. Les analystes peuvent surveiller ces journaux pour suivre les tentatives d’accès aux ressources et détecter les menaces potentielles dans l’environnement GCP.

  • Le connecteur Security Command Center Google Cloud Platform (GCP) collecte les résultats à partir de Google Security Command Center, une plateforme robuste de gestion des risques et de sécurité pour Google Cloud. Les analystes peuvent afficher ces résultats pour obtenir des insights sur la posture de sécurité de l’organisation, notamment l’inventaire et la découverte des ressources, les détections des vulnérabilités et des menaces, ainsi que l’atténuation et la correction des risques.

Pour découvrir plus d’informations sur ces connecteurs, consultez Ingérer des données de journal Google Cloud Platform dans Microsoft Sentinel.

Microsoft Sentinel est désormais disponible en version générale (GA) dans Azure Israël Central

Microsoft Sentinel est désormais disponible dans la région Israël Central Azure, avec le même ensemble de fonctionnalités que toutes les autres régions commerciales Azure.

Pour plus d’informations, consultez prise en charge des fonctionnalités de Microsoft Sentinel pour les clouds azure commerciaux/autres et la disponibilité géographique et la résidence des données dans Microsoft Sentinel.

Août 2024

Mise hors service de l’agent Log Analytics

À compter du 31 août 2024, l’agent Log Analytics (MMA/OMS) est mis hors service.

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons d’effectuer la migration vers l’agent Azure Monitor (AMA).

Pour plus d’informations, consultez l’article suivant :

Exporter et importer des règles d’automatisation (préversion)

Gérez vos règles d’automatisation Microsoft Sentinel en tant que code ! Vous pouvez maintenant exporter vos règles d’automatisation vers des fichiers de modèle Azure Resource Manager (ARM) et importer des règles depuis ces fichiers dans le cadre de votre programme de gestion et de contrôle de vos déploiements Microsoft Sentinel en tant que code. L’action d’exportation va créer un fichier JSON à l’emplacement des téléchargements de votre navigateur ; vous pouvez ensuite le renommer, le déplacer et le gérer comme n’importe quel autre fichier.

Puisque le fichier JSON exporté est indépendant de l’espace de travail, il peut être importé dans d’autres espaces de travail, voire d’autres locataires. En tant que code, il peut également être contrôlé par version, mis à jour et déployé dans une infrastructure CI/CD managée.

Le fichier inclut tous les paramètres définis dans la règle d’automatisation. Les règles de n’importe quel type de déclencheur peuvent être exportées vers un fichier JSON.

En savoir plus sur l’exportation et l’importation de règles d’automatisation.

Prise en charge de Microsoft Sentinel dans la gestion multilocataire de Microsoft Defender (préversion)

Si vous avez intégré Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée de Microsoft, les données de Microsoft Sentinel sont maintenant disponibles avec les données de Defender XDR dans la gestion multilocataire de Microsoft Defender. Un seul espace de travail Microsoft Sentinel par locataire est actuellement pris en charge dans la plateforme d’opérations de sécurité unifiée de Microsoft. La gestion multilocataire de Microsoft Defender montre donc les données de Gestion des informations et des événements de sécurité (SIEM) d’un seul espace de travail Microsoft Sentinel par locataire. Pour plus d’informations, consultez Gestion multilocataire de Microsoft Defender et Microsoft Sentinel dans le portail Microsoft Defender.

Connecteur de données Microsoft Defender Threat Intelligence Premium (préversion)

Votre licence premium pour Microsoft Defender Threat Intelligence (MDTI) vous permet désormais d’ingérer tous les indicateurs Premium directement dans votre espace de travail. Le connecteur de données MDTI Premium vous permet d’accroître vos capacités de chasse et de recherche au sein de Microsoft Sentinel.

Pour plus d’informations, consultez Comprendre la veille des cybermenaces.

Connecteurs unifiés basés sur AMA pour l’ingestion syslog

La mise hors service de l’agent Log Analytics étant imminente, Microsoft Sentinel regroupe la collecte et l’ingestion des messages de journal syslog, CEF et au format personnalisé dans trois connecteurs de données multi-usages basés sur l’agent Azure Monitor (AMA) :

  • Syslog via AMA, pour tout appareil dont les journaux sont ingérés dans la table Syslog dans Log Analytics.
  • CEF (Common Event Format) via AMA, pour tout appareil dont les journaux sont ingérés dans la table CommonSecurityLog dans Log Analytics.
  • Nouveau ! Journaux personnalisés via AMA (préversion), pour les 15 types d’appareils ou tout appareil non répertorié, dont les journaux sont ingérés dans des tables personnalisées avec des noms se terminant par _CL dans Log Analytics.

Ces connecteurs remplacent presque tous les connecteurs existants des types d’appareils et d’appliances individuels qui ont existé jusqu’à présent, qui étaient basés sur l’agent Log Analytics hérité (également appelé MMA ou OMS) ou l’agent Azure Monitor actuel. Les solutions fournies dans le hub de contenu pour tous ces appareils et appliances incluent désormais le connecteur (parmi les trois) qui est approprié à la solution.* Les connecteurs remplacés sont désormais marqués comme « Déconseillé » dans la galerie de connecteurs de données.

Les graphiques d’ingestion des données qui se trouvaient précédemment dans la page du connecteur de chaque appareil se trouvent maintenant dans les classeurs spécifiques à l’appareil empaquetés avec la solution de chaque appareil.

* Lors de l’installation de la solution pour l’une de ces applications, appareils ou appliances, pour vous assurer que le connecteur de données associé est installé, vous devez sélectionner Installer avec des dépendances dans la page de la solution, puis marquer le connecteur de données dans la page suivante.

Pour connaître les procédures mises à jour permettant d’installer ces solutions, consultez les articles suivants :

Meilleure visibilité des événements de sécurité Windows

Nous avons amélioré le schéma de la table SecurityEvent qui héberge les événements de sécurité Windows et avons ajouté de nouvelles colonnes pour garantir la compatibilité avec l’agent Azure Monitor (AMA) pour Windows (version 1.28.2). Ces améliorations sont conçues pour accroître la visibilité et la transparence des événements Windows collectés. Si vous n’êtes pas intéressé par la réception de données dans ces champs, vous pouvez appliquer une transformation au moment de l’ingestion (« project-away » par exemple) pour les supprimer.

Nouveau plan de rétention des journaux d’activité auxiliaires (préversion)

Le nouveau plan de rétention des journaux d’activité auxiliaires pour les tables Log Analytics vous permet d’ingérer de grandes quantités de journaux d’activité volumineux avec une sécurité accrue et un coût largement inférieur. Les journaux d’activité auxiliaires sont disponibles avec une rétention interactive pendant une période 30 jours au cours de laquelle vous pouvez exécuter des requêtes simples à une seule table, par exemple pour résumer et agréger les données. Après cette période de 30 jours, les données des journaux d’activité auxiliaires sont conservées à long terme, pendant une durée pouvant aller jusqu’à 12 ans, à un coût très faible. Ce plan vous permet également d’exécuter des travaux de recherche sur les données conservées à long terme, en extrayant uniquement les enregistrements souhaités dans une nouvelle table que vous pouvez traiter comme une table Log Analytics classique, avec des fonctionnalités de requête complètes.

Pour en savoir plus sur les journaux d’activité auxiliaires et les comparer aux journaux Analytics, consultez Plans de rétention des journaux dans Microsoft Sentinel.

Pour obtenir des informations détaillées sur les différents plans de gestion des journaux d’activité, consultez Plans de table dans l’article Vue d’ensemble des journaux d’activité Azure Monitor de la documentation Azure Monitor.

Créer des règles de résumé dans Microsoft Sentinel pour les grands ensembles de données (préversion)

Microsoft Sentinel offre désormais la possibilité de créer des résumés dynamiques à l’aide de règles de résumé Azure Monitor, qui agrègent de grands ensembles de données en arrière-plan pour une expérience plus fluide des opérations de sécurité dans tous les niveaux de journal.

  • Accédez aux résultats des règles de résumé via le langage de requête Kusto (KQL) dans les activités de détection, d’investigation, de repérage et de création de rapports.
  • Exécutez des requêtes hautes performances dans le langage de requête Kusto (KQL) sur des données résumées.
  • Utilisez les résultats des règles de synthèse pour des périodes plus longues dans les activités d’enquête, de repérage et de mise en conformité.

Pour plus d’informations, consultez Agréger des données Microsoft Sentinel avec des règles de résumé.

Juillet 2024

Optimisations SOC désormais en disponibilité générale

L’expérience d’optimisation SOC dans les portails Azure et Defender est désormais en disponibilité générale pour tous les clients Microsoft Sentinel. Elle comprend les suggestions de valeur de données et basées sur les menaces.

  • Utilisez des suggestions de valeur de données pour améliorer votre utilisation de données des journaux facturables ingérés, pour visualiser les journaux sous-utilisés et pour découvrir les détections appropriées pour ces journaux ou les ajustements appropriés à apporter à votre niveau de journal ou à votre ingestion.

  • Utiliser des suggestions basées sur les menaces pour aider à identifier les lacunes dans la couverture contre des attaques spécifiques basées sur des recherches Microsoft et pour les atténuer en ingérant les journaux suggérés et en ajoutant des détections suggérées.

L’API recommendations est toujours en préversion.

Pour plus d’informations, consultez l’article suivant :

Connecteur SAP BTP (Business Technology Platform) maintenant en disponibilité générale (GA)

La Solution Microsoft Sentinel pour SAP BTP est maintenant en disponibilité générale (GA). Cette solution offre une visibilité sur votre environnement SAP BTP et vous aide à détecter les menaces et activités suspectes et à y répondre.

Pour plus d’informations, consultez l’article suivant :

Plateforme de sécurité unifiée Microsoft désormais en disponibilité générale

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Cette plateforme des opérations de sécurité unifiée Microsoft regroupe les fonctionnalités complètes de Microsoft Sentinel, Microsoft Defender XDR et Microsoft Copilot dans Microsoft Defender. Pour plus d’informations, consultez les ressources suivantes :

Juin 2024

Plateforme de connecteur sans code désormais en disponibilité générale

La plateforme de connecteur sans code (CCP) est désormais en disponibilité générale (GA). Consultez le billet de blog de l’annonce.

Pour plus d’informations sur les améliorations et fonctionnalités de CCP, consultez Créer un connecteur sans code pour Microsoft Sentinel.

Fonctionnalité de recherche avancée d’indicateur de menace disponible

Les fonctionnalités de recherche et de filtrage de veille des menaces ont été améliorées, et l’expérience a désormais une parité sur les portails Microsoft Sentinel et Microsoft Defender. La recherche prend en charge un maximum de 10 conditions avec chacune contenant jusqu’à 3 sous-catégories.

Pour plus d’informations, consultez la capture d’écran mise à jour dans Afficher et gérer vos indicateurs de menace.

Étapes suivantes

Intégrer Azure Sentinel

Obtenir une visibilité des alertes