本文介绍 Microsoft Sentinel 在不同 Azure 环境中的功能可用性。 以下安全服务的功能列为 GA(正式版)、公共预览版或不可用。
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 分析规则运行状况 | 公开预览版 | ✅ | ❌ |
| MITRE ATT&CK 仪表板 | 公共预览版 | ✅ | ✅ |
| NRT 规则 | GA | ✅ | ✅ |
| 建议 | 公共预览版 | ✅ | ❌ |
| 计划内和 Microsoft 规则 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| Amazon Web Services | GA | ✅ | ❌ |
| Amazon Web Services S3 | GA | ✅ | ❌ |
| Microsoft Entra ID | GA | ✅ | ✅1 |
| Microsoft Entra ID 保护 | GA | ✅ | ❌ |
| Azure 活动 | GA | ✅ | ✅ |
| Azure DDoS 防护 | GA | ✅ | ❌ |
| Azure 防火墙 | GA | ✅ | ✅ |
| Azure 信息保护(预览版) | 已放弃 | ❌ | ❌ |
| Azure Key Vault | 公共预览版 | ✅ | ✅ |
| Azure Kubernetes 服务 (AKS) | 公共预览版 | ✅ | ✅ |
| Azure SQL 数据库 | GA | ✅ | ✅ |
| Azure Web 应用程序防火墙 (WAF) | GA | ✅ | ✅ |
| Cisco ASA | GA | ✅ | ✅ |
| 无代码连接器平台 | 公共预览版 | ✅ | ❌ |
| 通用事件格式 (CEF) | GA | ✅ | ✅ |
| 通过 AMA 的通用事件格式 (CEF) | GA | ✅ | ✅ |
| DNS | 公共预览版 | ✅ | ✅ |
| GCP Pub/Sub 审核日志 | 公开预览版 | ✅ | ❌ |
| Microsoft Defender XDR | GA | ✅ | ❌ |
| Microsoft Purview 内部风险管理(预览版) | 公共预览版 | ✅ | ❌ |
| Microsoft Defender for Cloud | GA | ✅ | ✅ |
| Microsoft Defender for IoT | GA | ✅ | ❌ |
| Microsoft Power BI(预览版) | 公共预览版 | ✅ | ❌ |
| Microsoft Project(预览版) | 公共预览版 | ✅ | ❌ |
| Microsoft Purview(预览版) | 公共预览版 | ✅ | ❌ |
| Microsoft Purview 信息保护 | 公共预览版 | ✅ | ❌ |
| Office 365 | GA | ✅ | ✅ |
| Syslog | GA | ✅ | ✅ |
| Syslog(通过 AMA) | GA | ✅ | ✅ |
| 通过 AMA 的 Windows DNS 事件 | GA | ✅ | ✅ |
| Windows 防火墙 | GA | ✅ | ✅ |
| Windows 转发事件 | GA | ✅ | ✅ |
| 通过 AMA 收集的 Windows 安全事件 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 书签 | GA | ✅ | ✅ |
| 搜寻 | 公共预览版 | ✅ | ❌ |
| Livestream | GA | ✅ | ✅ |
| 查询 | GA | ✅ | ✅ |
| 还原历史数据 | GA | ✅ | ✅ |
| 搜索大型数据集 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 将实体添加到威胁情报 | 公共预览版 | ✅ | ✅ |
| 高级和/或条件 | GA | ✅ | ✅ |
| 自动化规则 | GA | ✅ | ✅ |
| 自动化规则运行状况 | 公共预览版 | ✅ | ❌ |
| 手动创建事件 | GA | ✅ | ✅ |
| 跨租户/跨工作区事件视图 | GA | ✅ | ✅ |
| 事件高级搜索 | GA | ✅ | ✅ |
| 事件任务 | GA | ✅ | ✅ |
| Microsoft 365 Defender 事件集成 | GA | ✅ | ❌ |
| Microsoft Teams 集成 | 公共预览版 | ✅ | ❌ |
| Playbook 模板库 | 公共预览版 | ✅ | ❌ |
| 对实体运行 playbook | GA | ✅ | ✅ |
| 对事件运行 playbook | GA | ✅ | ✅ |
| SOC 事件审核指标 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 异常 RDP 登录检测 - 内置 ML 检测 | 公共预览版 | ✅ | ❌ |
| 异常 SSH 登录检测 - 内置 ML 检测 | 公共预览版 | ✅ | ❌ |
| Fusion - 高级多阶段攻击检测 1 | GA | ✅ | ✅ |
1 部分 GA:禁用漏洞扫描的特定发现的功能处于公共预览状态。
| 功能 | 功能阶段 | Azure 商业版 | Azure 中国世纪互联 |
|---|---|---|---|
| 工作区管理器 | 公共预览版 | ✅ | ❌ |
| SIEM 迁移体验 | GA | ✅ | ❌ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 高级安全信息模型 (ASIM) | 公共预览版 | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 笔记本 | GA | ✅ | ✅ |
| Notebook 与 Azure Synapse 的集成 | 公共预览版 | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 针对 SAP 的威胁防护1 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 地理位置和 WhoIs 数据扩充 | 公共预览版 | ✅ | ❌ |
| 从平面文件导入 TI | 公共预览版 | ✅ | ✅ |
| 威胁情报平台数据连接器 | 公共预览版 | ✅ | ❌ |
| 威胁情报研究页 | GA | ✅ | ✅ |
| 威胁情报 - TAXII 数据连接器 | GA | ✅ | ✅ |
| Microsoft Defender 威胁智能连接器 | 公共预览版 | ✅ | ❌ |
| Microsoft Defender 威胁智能匹配分析 | 公共预览版 | ✅ | ❌ |
| 威胁情报工作簿 | GA | ✅ | ✅ |
| URL 引爆 | 公共预览版 | ✅ | ❌ |
| 威胁情报上传指示器 API | 公共预览版 | ✅ | ❌ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| Active Directory 通过 MDI 同步 | 公共预览版 | ✅ | ❌ |
| Azure 资源实体页 | 公共预览版 | ✅ | ❌ |
| 实体见解 | GA | ✅ | ✅ |
| 实体页 | GA | ✅ | ✅ |
| 标识信息表数据引入 | GA | ✅ | ✅ |
| IoT 设备实体页 | 公共预览版 | ✅ | ❌ |
| 对等/爆炸半径扩充 | 公共预览版 | ✅ | ❌ |
| SOC-ML 异常 | GA | ✅ | ❌ |
| UEBA 异常情况 | GA | ✅ | ❌ |
| UEBA 扩充\见解 | GA | ✅ | ✅ |
| 功能 | 功能阶段 | Azure 商业版 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|
| 来自 Azure 存储的大型播放列表 | 公共预览版 | ✅ | ✅ |
| 播放列表 | GA | ✅ | ✅ |
| 播放列表模板 | 公共预览版 | ✅ | ✅ |
在本文中,你了解了 Microsoft Sentinel 中的可用功能。