Новые возможности унифицированных операций безопасности Майкрософт

В этой статье перечислены последние функции, добавленные для унифицированных операций безопасности на портале Microsoft Defender.

Февраль 2026 г.

Новые типы контента для распространения между клиентами стали общедоступными

Следующие типы контента теперь общедоступны для распространения между несколькими клиентами на Microsoft Defender мультитенантном портале:

  • Правила аналитики
  • Правила автоматизации
  • Рабочие книги

Январь 2026 г.

Дата обновления: Microsoft Sentinel на портале Azure будет выведен из эксплуатации в марте 2027 г.

Microsoft Sentinel общедоступна на портале Microsoft Defender, в том числе для клиентов без Microsoft Defender XDR или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие Microsoft Defender службы.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться в портале Azure и будет доступен только в портале Microsoft Defender.

Если в настоящее время вы используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender сейчас, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Дополнительные сведения см. в разделе:

Ноябрь 2025 г.

Улучшения оповещений Microsoft Threat Intelligence для клиентов Microsoft Sentinel в портале Defender

Microsoft Sentinel клиенты, использующие портал Defender или портал Azure с соединителем данных Microsoft Sentinel Defender XDR, теперь также пользуются преимуществами оповещений Аналитики угроз Майкрософт, которые подчеркивают активность субъектов национальных государств, крупные кампании программ-шантажистов и мошеннические операции. Чтобы просмотреть эти типы оповещений, необходимо иметь роль администратора безопасности или глобального администратора . Значения "Источник службы", "Источник обнаружения" и "Название продукта" для этих оповещений отображаются как Microsoft Threat Intelligence.

Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.

Новые возможности аналитики поведения сущностей (UEBA) на портале Defender (предварительная версия)

Microsoft Sentinel представляет новые возможности UEBA на портале Defender, предоставляя аналитические сведения о поведении непосредственно в ключевые рабочие процессы аналитиков. Эти улучшения помогают аналитикам определять приоритеты исследований и более эффективно применять контекст UEBA.

Пользовательские расследования с акцентом на аномалии

В портале Defender пользователям с поведенческими аномалиями автоматически присваивается тег UEBA Anomalies, что помогает аналитикам быстро определить, каким пользователям следует уделить приоритетное внимание.

Аналитики могут просмотреть три первые аномалии за последние 30 дней в специальном разделе Top UEBA anomalies, доступном в:

  • Пользовательские панели, доступные из различных расположений портала.
  • Вкладка Обзор на страницах сущностей пользователя.

В этом разделе также содержатся прямые ссылки на запросы по аномалиям и временную шкалу событий Sentinel, что позволяет проводить более глубокое расследование и быстрее собирать контекст.

Переход к аномалиям пользователей из графиков инцидентов

Аналитики могут быстро получить доступ ко всем аномалиям, связанным с пользователем, выбрав Go Hunt > All usernomalies (Все аномалии пользователей ) на графе инцидентов. Этот встроенный запрос обеспечивает немедленный контекст UEBA для поддержки более глубокого исследования.

Обогатили запросы расширенного поиска и пользовательские правила обнаружения сведениями о поведении

Расширенные возможности охоты и пользовательского обнаружения теперь включают контекстный баннер, который предлагает аналитикам присоединить таблицу аномалий UEBA к запросам, включающим источники данных UEBA.

Для всех функций требуется включить UEBA, а область рабочей области ограничена выбранной в данный момент рабочей областью.

Дополнительные сведения см. в статье Возможности UEBA на портале Defender помогают аналитикам и упрощают рабочие процессы.

Сентябрь 2025 г.

Управление процессами обработки инцидентов с помощью задач в Microsoft Defender (предварительная версия)

Теперь вы можете использовать задачи на портале Microsoft Defender, чтобы разбить расследование инцидентов на практические шаги и назначить их в рабочих группах. Задачи отображаются вместе с Security Copilot аналитическими сведениями, интерактивными ответами и отчетами, предоставляя вашей команде единое представление о ходе выполнения и дальнейших шагах. При подключении Microsoft Sentinel на портал Defender задачи, создаваемые в Microsoft Sentinel с помощью портал Azure, автоматически синхронизируются с порталом Defender. Дополнительные сведения см. в статье Оптимизация реагирования на инциденты с помощью задач на портале Microsoft Defender (предварительная версия).

Август 2025 г.

Редактирование книг прямо в портале Microsoft Defender

Теперь вы можете создавать и редактировать книги Microsoft Sentinel непосредственно на портале Microsoft Defender. Это улучшение упрощает рабочий процесс, позволяет более эффективно управлять рабочими книгами, а также делает работу с ними более похожей на работу в портале Azure.

Книги Microsoft Sentinel основаны на книгах Azure Monitor и помогают визуализировать и отслеживать данные, поступающие в Microsoft Sentinel. Рабочие книги дополняют уже доступные средства таблицами, диаграммами и средствами аналитики для журналов и запросов.

Книги доступны на портале Defender в разделе Microsoft Sentinel > Управление угрозами > Книги. Дополнительные сведения см. в статье «Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel».

Просмотр унифицированной модели RBAC в мультитенантном управлении стал общедоступным

Возможность просмотра унифицированного управления доступом на основе ролей (RBAC) в портале Microsoft Defender для управления несколькими арендаторами теперь стала общедоступной. Эта функция позволяет просмотреть полное представление разрешений и доступа для клиентов.

Создание и редактирование пользовательских ролей остается в предварительной версии. Дополнительные сведения см. в статье Управление унифицированным управлением доступом на основе ролей в мультитенантном управлении.

Группы клиентов в мультитенантном управлении переименованы в профили распространения

На мультитенантном портале группы клиентов теперь переименованы в профили распространения содержимого.

Функциональность остается неизменной: профили распространения контента позволяют распространять содержимое безопасности, включая настраиваемые правила обнаружения и политики безопасности конечных точек, в большом масштабе между всеми клиентами на основе таких категорий, как бизнес-группы или расположение. Например, вы можете:

Снимок экрана: переименованная страница распространения содержимого.

Дополнительные сведения см. в разделе Распространение содержимого с помощью профилей распространения в мультитенантном управлении.

Распространение политик безопасности Microsoft Defender для конечной точки с помощью мультитенантного управления

Политики безопасности Microsoft Defender для конечной точки теперь можно распространять в виде контента между несколькими арендаторами с помощью мультиарендного портала Defender, что позволяет командам безопасности управлять политиками безопасности конечных точек в необходимом масштабе. Распространенные политики отображаются на странице Управление конфигурацией > Политики безопасности конечных точек в иерархическом виде, чтобы можно было определить родительские политики и их распространенные копии в разных арендаторах.

Снимок экрана: расширенная распределенная политика.

На странице исходной политики также отображается общее состояние распространения и перечислены клиенты-получатели и профили распространения.

Дополнительные сведения см. в разделах Политики безопасности конечных точек в мультитенантном управлении и Распространение содержимого в мультитенантном управлении.

Июль 2025 г.

Только для новых клиентов: автоматическое подключение и перенаправление на портал Microsoft Defender

Для этого обновления новыми клиентами Microsoft Sentinel считаются клиенты, которые подключают первую рабочую область своего арендатора к Microsoft Sentinel после 1 июля 2025 г.

Начиная с 1 июля 2025 года, новые клиенты, которые также являются:

Автоматическое подключение рабочих областей к порталу Defender вместе с подключением к Microsoft Sentinel. Пользователи таких рабочих областей, которые также не являются пользователями, делегированными через Azure Lighthouse, видят в Microsoft Sentinel в портале Azure ссылки, перенаправляющие их на портал Defender.

Например, вы можете:

Снимок экрана: ссылка на перенаправление в портал Azure.

Такие пользователи используют Microsoft Sentinel только на портале Defender.

Новые клиенты, у которых нет соответствующих разрешений, не будут автоматически подключаться к порталу Defender, но они по-прежнему видят ссылки на перенаправление в портал Azure, а также запросы на то, чтобы пользователь с соответствующими разрешениями вручную подключить рабочую область к порталу Defender.

Это изменение упрощает процесс подключения и гарантирует, что новые клиенты могут немедленно воспользоваться возможностями унифицированных операций безопасности без дополнительного шага по подключению рабочих областей вручную.

Дополнительные сведения см. в разделе:

Нет ограничений на количество рабочих областей, которые можно подключить к порталу Defender

Больше нет ограничений на количество рабочих областей, которые можно подключить к порталу Defender.

Ограничения по-прежнему применяются к числу рабочих областей, которые можно включить в запрос Log Analytics, а также к числу рабочих областей, которые можно или должны включать в запланированное правило аналитики.

Дополнительные сведения см. в разделе:

Microsoft Sentinel на портале Azure будет выведен из эксплуатации в июле 2026 г.

Microsoft Sentinel общедоступна на портале Microsoft Defender, в том числе для клиентов без Microsoft Defender XDR или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие Microsoft Defender службы.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, а все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Примечание.

Эта дата была продлена. Microsoft Sentinel на портале Azure перестанет поддерживаться 31 марта 2027 года.

Если в настоящее время вы используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender сейчас, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Дополнительные сведения см. в разделе:

Июнь 2025 г.

Управление обращениями теперь доступно на мультитенантном портале Defender

Функция управления делами на портале Microsoft Defender теперь общедоступна на мультитенантном портале Defender. Дополнительные сведения см. в статье Просмотр инцидентов и управление ими в нескольких клиентах в мультитенантном портале Microsoft Defender.

Май 2025 г.

Единое управление доступом на основе ролей в мультитенантном управлении (предварительная версия)

Унифицированная система управления доступом на основе ролей (URBAC) теперь доступна в многоклиентском портале управления Microsoft Defender. Вы можете создавать, удалять, импортировать и изменять роли в мультитенантном портале управления. Эта возможность предоставляет полное представление о разрешениях и доступе для клиентов, а также централизованное администрирование для управления этими разрешениями.

Дополнительные сведения см. в статье Управление унифицированным управлением доступом на основе ролей в мультитенантном управлении.

Все варианты использования Microsoft Sentinel, доступные на портале Defender

Все варианты использования Microsoft Sentinel, имеющие общую доступность, включая возможности с несколькими клиентами и несколькими рабочими областями, а также поддержку всех облаков для государственных и коммерческих организаций, теперь также поддерживаются для общедоступной доступности на портале Defender.

Мы рекомендуем вам подключить рабочие области на портале Defender, чтобы воспользоваться преимуществами единого места для всех операций по обеспечению безопасности. Дополнительные сведения см. в разделе:

В мультитенантном портале Defender теперь доступно управление обращениями (предварительная версия)

Команды SecOps в крупных организациях и поставщики управляемых услуг безопасности (MSSPs) должны управлять инцидентами в нескольких арендаторах. Теперь это можно сделать, не выходя из мультитенантного портала Defender.

Дополнительные сведения см. в статье «Просмотр инцидентов и управление ими в нескольких клиентах в мультитенантном портале Microsoft Defender».

Апрель 2025 г.

Объединить инциденты вручную (предварительная версия)

Если два инцидента должны быть объединены, так как они описывают одну и ту же историю атаки, но не объединяются ни по одной из причин, перечисленных в разделе "Когда инциденты не объединены", вы можете объединить инциденты вручную после устранения основных причин.

Например, если инциденты не были объединены, так как они были назначены двум разным пользователям, можно удалить назначение одного из инцидентов, а затем объединить инциденты вручную.

Дополнительные сведения об объединении инцидентов см. в статье Корреляция оповещений и объединение инцидентов на портале Microsoft Defender.

Инструкции по объединению инцидентов вручную см. в статье Слияние инцидентов вручную на портале Microsoft Defender.

Поддержка нескольких рабочих областей и нескольких клиентов для Microsoft Sentinel (предварительная версия)

Microsoft Sentinel теперь поддерживает несколько рабочих областей на портале Defender, используя одну основную рабочую область для каждого клиента и несколько дополнительных рабочих областей.

Оповещения основной рабочей области коррелируются с данными Defender XDR, в результате чего создаются инциденты, включающие оповещения из основной рабочей области Microsoft Sentinel и из Defender XDR. Все остальные подключенные рабочие области считаются дополнительными рабочими областями. Инциденты создаются на основе данных рабочей области и не включают данные Defender XDR.

Если вы работаете с несколькими арендаторами и несколькими рабочими областями в каждом из них, вы также можете использовать мультитенантное управление в Microsoft Defender для просмотра инцидентов и оповещений, а также для поиска данных в Advanced hunting сразу в нескольких рабочих областях и арендаторах.

Дополнительные сведения см. в разделе:

Межоблачное мультитенантное управление (предварительная версия)

Мультитенантное управление в Microsoft Defender теперь поддерживает управление клиентами в других облачных средах Майкрософт. Группы по обеспечению безопасности, работающие в облачных средах для государственных организаций, теперь могут управлять всеми своими операциями по обеспечению безопасности, включая клиентов в других облачных средах Майкрософт, в единой области. Дополнительные сведения см. в статье Управление клиентами в других облачных средах Майкрософт.

Управление делами теперь общедоступно

Функция управления обращениями на портале Microsoft Defender теперь общедоступна. Дополнительные сведения см. в статье «Управление инцидентами безопасности непосредственно на портале Microsoft Defender».

Январь 2025 г.

Единая аналитика угроз

Аналитика угроз на базе Microsoft Sentinel перенесена в портал Defender, в раздел Управление аналитикой угроз, объединяющий функции аналитики угроз. В портале Azure местоположение остается неизменным.

Снимок экрана с новым расположением меню для аналитики угроз в Microsoft Sentinel.

Наряду с новым местоположением интерфейс управления упрощает создание и ведение данных об угрозах благодаря следующим ключевым возможностям:

  • Определите связи при создании новых объектов STIX.
  • Упорядочивайте существующие разведданные об угрозах с помощью нового средства построения связей.
  • Быстро создайте несколько объектов, скопировав общие метаданные из нового или существующего объекта TI с функцией дублирования.
  • Используйте расширенный поиск для сортировки и фильтрации объектов аналитики угроз, даже не записывая запрос Log Analytics.

Дополнительные сведения см. в следующих статьях:

Управление обращениями (предварительная версия)

Управление обращениями — это первая часть комплексного решения, которое обеспечивает простое управление работой по обеспечению безопасности. Команды SecOps поддерживают контекст безопасности, работают более эффективно и быстрее реагируют на атаки, когда управляют работой с обращениями, не выходя из портала Defender. Ниже приведен начальный набор сценариев и функций, поддерживаемых управлением делами.

  • Определите собственный процесс обработки обращений с пользовательскими значениями статуса
  • Назначение задач участникам совместной работы и настройка сроков выполнения
  • Обрабатывайте эскалации и сложные случаи, связывая несколько инцидентов с обращением
  • Управление доступом к своим обращениям с помощью RBAC

Это только начало. Следите за дополнительными возможностями по мере развития этого решения.

Дополнительные сведения см. в следующих статьях:

Единая временная шкала устройств на портале Microsoft Defender (предварительная версия)

Единая временная шкала устройства — единое целостное представление, объединяющее события устройств из Microsoft Sentinel и Defender XDR на одной временной шкале, — теперь доступна в предварительной версии. Эта функция упрощает исследования безопасности, позволяя аналитикам получать доступ ко всем соответствующим действиям устройств в одном месте, уменьшая необходимость переключаться между платформами и уменьшая время реагирования на инциденты.

Дополнительные сведения см. на странице сущности устройства в Microsoft Defender.

Обновления оптимизации SOC для унифицированного управления покрытием

В рабочих областях, в которых включены унифицированные операции безопасности, оптимизации SOC теперь поддерживают данные как SIEM, так и XDR, с охватом обнаружения по всем службам Microsoft Defender.

На портале Defender страницы Оптимизации SOC и MITRE ATT&CK теперь также предлагают дополнительные возможности для оптимизации покрытия на основе угроз, помогая вам понять влияние рекомендаций на вашу среду и определить, какие из них следует внедрить в первую очередь.

К усовершенствованиям относятся:

Область Сведения
Страница обзоров оптимизаций SOC высокий, средний или низкий баллы для текущего охвата обнаружения. Такая оценка поможет вам сразу решить, какие рекомендации следует расставить по приоритету.

— указание количества активных Microsoft Defender продуктов (услуг) из всех доступных продуктов. Это поможет вам понять, отсутствует ли в вашей среде целый продукт.
Боковая область сведений об оптимизации,
отображается при переходе к конкретной оптимизации
— подробный анализ охвата, включая количество определяемых пользователем обнаружений, действий реагирования и продуктов, которые у вас активны.

— Подробные лепестковые диаграммы, которые показывают охват по различным категориям угроз как для пользовательских, так и для готовых обнаружений.

— Возможность перейти непосредственно к конкретному сценарию угроз на странице MITRE ATT&CK, а не только просматривать охват MITRE ATT&CK на боковой панели.

— Возможность просмотреть полный сценарий угроз , чтобы получить дополнительные сведения о продуктах безопасности и обнаружениях, доступных для обеспечения покрытия безопасности в вашей среде.
Страница MITRE ATT&CK — новый переключатель для просмотра охвата по сценариям угроз. Если вы переходили на страницу MITRE ATT&CK с боковой панели сведений о рекомендациях или на странице Просмотр сценария полной угрозы , страница MITRE ATT&CK предварительно фильтруется по вашему сценарию угрозы.

— Панель сведений о технике, которая отображается сбоку при выборе конкретной техники MITRE ATT&CK, теперь показывает количество активных обнаружений из общего числа доступных обнаружений для этой техники.

Дополнительные сведения см. в разделах Оптимизация операций безопасности и Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK.

Декабрь 2024 г.

Новые рекомендации по оптимизации SOC на основе аналогичных организаций (предварительная версия)

Оптимизации SOC теперь включают новые рекомендации по добавлению источников данных в рабочую область на основе состояния защищенности других организаций, работающих в тех же или схожих отраслях и секторах, что и ваша организация, и использующих схожие схемы приема данных.

Дополнительные сведения см. в справочнике по рекомендациям по оптимизации SOC.

Рабочие книги Microsoft Sentinel теперь можно просматривать напрямую на портале Microsoft Defender

Книги Microsoft Sentinel теперь можно просматривать непосредственно на портале Microsoft Defender. Теперь на портале Defender при выборе Microsoft Sentinel > Управление угрозами > Книги вы остаетесь на портале Defender вместо того, чтобы книги открывались в новой вкладке на портале Azure. Продолжайте переход на вкладку портал Azure только в том случае, если вам нужно изменить книги.

Книги Microsoft Sentinel основаны на книгах Azure Monitor и помогают визуализировать и отслеживать данные, поступающие в Microsoft Sentinel. Рабочие книги дополняют уже доступные средства таблицами, диаграммами и средствами аналитики для журналов и запросов.

Дополнительные сведения см. в разделах Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel и Подключение Microsoft Sentinel к Microsoft Defender XDR.

Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender и Microsoft Sentinel см.:

Вы также можете получать обновления продуктов и важные уведомления через Центр сообщений.