У лютому Microsoft Sentinel отримав низку оновлень, спрямованих на роботу з безпековим контентом у SOC. Зміни охоплюють підключення нових джерел даних, багатотенантне розповсюдження контенту, розширення можливостей UEBA Essentials та інтеграцію партнерських AI-агентів через Microsoft Security Store.
Оновлення фокусуються на тому, як команди безпеки збирають, керують і операціоналізують контент. Додано нові конектори, можливості централізованого розповсюдження аналітики між тенантами та покращене рішення UEBA Essentials для швидшого виявлення високоризикової поведінки в хмарних і ідентифікаційних середовищах. Також представлено партнерські агентні рішення, доступні через Microsoft Security Store, які розширюють функціональність Sentinel у межах наявних робочих процесів.
Розширення екосистеми конекторів (GA)
Sentinel продовжує розширювати перелік вбудованих конекторів для збору даних із хмарних, SaaS та on-premise середовищ. Це забезпечує уніфіковану видимість і глибшу аналітику без додаткової складності.
Тепер доступні готові конектори та рішення для:
− Mimecast Audit Logs
− CrowdStrike Falcon Endpoint Protection
− Vectra XDR
− Palo Alto Networks Cloud NGFW
− SocPrime
− Proofpoint on Demand (POD) Email Security
− Pathlock
− MongoDB
− Contrast ADR
Microsoft 365 Copilot data connector (public preview)
Новий конектор для Microsoft 365 Copilot імпортує журнали аудиту та активність Copilot у Sentinel. Це дає SOC-командам змогу відстежувати використання Copilot в організації, створювати аналітичні правила, кастомні детекції, автоматизації та сценарії розслідувань. Дані можна також надсилати до data lake Sentinel для розширених сценаріїв, включно з кастомними графами та інтеграціями MCP, із нижчою вартістю інжесту та гнучким зберіганням.
Перехід на Codeless Connector Framework
Microsoft модернізує конектори, переходячи з Azure Function-базованих рішень на Codeless Connector Framework (CCF). Нова модель забезпечує SaaS-керований досвід, вбудований моніторинг стану, централізоване управління обліковими даними та покращену продуктивність. Компанія рекомендує клієнтам перевірити розгорнуті конектори та перейти на версії CCF для безперервного збору даних. Застарілий API для кастомного збору даних буде виведено з експлуатації у вересні 2026 року.
Багатотенантне розповсюдження контенту (public preview)
Через портал Microsoft Defender тепер можна централізовано керувати та розповсюджувати контент Sentinel між кількома тенантами. Це дозволяє копіювати аналітичні правила, автоматизацію, робочі книги та налаштування алертів без повторної конфігурації в кожному середовищі. Такий підхід прискорює онбординг нових тенантів і мінімізує розбіжності в конфігурації, зберігаючи централізований контроль.
Покращене UEBA Essentials (public preview)
Оновлене рішення UEBA Essentials допомагає швидше виявляти аномальну поведінку з високим рівнем ризику в Azure, AWS, GCP та Okta. Нові запити на основі таблиці аномалій дозволяють аналітикам оперативно знаходити ризикову активність, формувати поведінкові базові лінії та аналізувати інциденти в контексті без зайвого шуму.
UEBA Essentials узгоджує активність із MITRE ATT&CK, виявляє складні патерни шкідливих IP і формує комплексний профіль аномалій користувача за секунди. Рішення доступне через Content Hub Sentinel і містить понад 30 готових UEBA-запитів.
Партнерські Security Copilot-агенти у Microsoft Security Store (GA)
Через Microsoft Security Store у середовищі Defender тепер можна розгортати партнерські Security Copilot-агенти для Sentinel. Вони інтегруються з аналітикою та інцидентами, допомагаючи SOC швидше виконувати тріаж, глибші розслідування та автоматизувати реагування.
Серед прикладів — Watchtower від BlueVoyant для оптимізації конфігурацій Sentinel і Defender, Data Leak від AdaQuest для виявлення ризикової експозиції даних та Attack Mapping від Glueckkanja для автоматичного зіставлення фрагментованих сутностей і поведінки атакувальника в єдину картину інциденту.
Оновлений Threat Intelligence Briefing Agent (GA)
Threat Intelligence Briefing Agent тепер використовує структурований граф знань у Microsoft Defender for Threat Intelligence, щоб надавати актуальніші загрози з урахуванням галузі та регіону клієнта. Вбудовані посилання на Microsoft Threat Intelligence додають контекст безпосередньо до інсайтів, підвищуючи якість рекомендацій і кроків із пом’якшення ризиків.
Інтеграція Microsoft Purview DSI з графом Sentinel (GA)
Інтеграція Microsoft Purview Data Security Investigations із графом Sentinel поєднує аналіз вмісту даних із графовою аналітикою активності. Команди можуть бачити, які чутливі дані були доступні, переміщені або скомпрометовані, а також хто і як взаємодіяв із ними, що пришвидшує розслідування та дає повніше розуміння потенційного «blast radius».
Перенесення управління Sentinel з Azure до Defender відкладено до 31 березня 2027 року
Microsoft продовжила термін повного переходу управління Sentinel з порталу Azure до Defender до 31 березня 2027 року. Це дає клієнтам більше часу для планування міграції та використання нових можливостей у Defender.
Лютневі оновлення демонструють курс Microsoft на централізацію безпекових операцій у Defender, розширення AI-можливостей та автоматизацію SOC. Нові конектори, багатотенантне управління та агентні інструменти знижують операційне навантаження та підвищують швидкість реагування на загрози.
Читайте на ProIT: Microsoft оновить сертифікати Secure Boot у березні: що це означає для користувачів Windows 11 і Windows 10 ESU.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
