Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены последние функции, добавленные для унифицированных операций безопасности на портале Microsoft Defender.
Февраль 2026 г.
Новые типы контента для распространения между клиентами стали общедоступными
Следующие типы контента теперь общедоступны для распространения между несколькими клиентами на Microsoft Defender мультитенантном портале:
- Правила аналитики
- Правила автоматизации
- Рабочие книги
Январь 2026 г.
Дата обновления: Microsoft Sentinel на портале Azure будет выведен из эксплуатации в марте 2027 г.
Microsoft Sentinel общедоступна на портале Microsoft Defender, в том числе для клиентов без Microsoft Defender XDR или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие Microsoft Defender службы.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться в портале Azure и будет доступен только в портале Microsoft Defender.
Если в настоящее время вы используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender сейчас, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Дополнительные сведения см. в разделе:
- Microsoft Sentinel на портале Microsoft Defender
- Перенос среды Microsoft Sentinel на портал Defender
- Планирование перехода на портал Microsoft Defender для всех клиентов Microsoft Sentinel (блог)
Ноябрь 2025 г.
Улучшения оповещений Microsoft Threat Intelligence для клиентов Microsoft Sentinel в портале Defender
Microsoft Sentinel клиенты, использующие портал Defender или портал Azure с соединителем данных Microsoft Sentinel Defender XDR, теперь также пользуются преимуществами оповещений Аналитики угроз Майкрософт, которые подчеркивают активность субъектов национальных государств, крупные кампании программ-шантажистов и мошеннические операции. Чтобы просмотреть эти типы оповещений, необходимо иметь роль администратора безопасности или глобального администратора . Значения "Источник службы", "Источник обнаружения" и "Название продукта" для этих оповещений отображаются как Microsoft Threat Intelligence.
Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.
Новые возможности аналитики поведения сущностей (UEBA) на портале Defender (предварительная версия)
Microsoft Sentinel представляет новые возможности UEBA на портале Defender, предоставляя аналитические сведения о поведении непосредственно в ключевые рабочие процессы аналитиков. Эти улучшения помогают аналитикам определять приоритеты исследований и более эффективно применять контекст UEBA.
Пользовательские расследования с акцентом на аномалии
В портале Defender пользователям с поведенческими аномалиями автоматически присваивается тег UEBA Anomalies, что помогает аналитикам быстро определить, каким пользователям следует уделить приоритетное внимание.
Аналитики могут просмотреть три первые аномалии за последние 30 дней в специальном разделе Top UEBA anomalies, доступном в:
- Пользовательские панели, доступные из различных расположений портала.
- Вкладка Обзор на страницах сущностей пользователя.
В этом разделе также содержатся прямые ссылки на запросы по аномалиям и временную шкалу событий Sentinel, что позволяет проводить более глубокое расследование и быстрее собирать контекст.
Переход к аномалиям пользователей из графиков инцидентов
Аналитики могут быстро получить доступ ко всем аномалиям, связанным с пользователем, выбрав Go Hunt > All usernomalies (Все аномалии пользователей ) на графе инцидентов. Этот встроенный запрос обеспечивает немедленный контекст UEBA для поддержки более глубокого исследования.
Обогатили запросы расширенного поиска и пользовательские правила обнаружения сведениями о поведении
Расширенные возможности охоты и пользовательского обнаружения теперь включают контекстный баннер, который предлагает аналитикам присоединить таблицу аномалий UEBA к запросам, включающим источники данных UEBA.
Для всех функций требуется включить UEBA, а область рабочей области ограничена выбранной в данный момент рабочей областью.
Дополнительные сведения см. в статье Возможности UEBA на портале Defender помогают аналитикам и упрощают рабочие процессы.
Сентябрь 2025 г.
Управление процессами обработки инцидентов с помощью задач в Microsoft Defender (предварительная версия)
Теперь вы можете использовать задачи на портале Microsoft Defender, чтобы разбить расследование инцидентов на практические шаги и назначить их в рабочих группах. Задачи отображаются вместе с Security Copilot аналитическими сведениями, интерактивными ответами и отчетами, предоставляя вашей команде единое представление о ходе выполнения и дальнейших шагах. При подключении Microsoft Sentinel на портал Defender задачи, создаваемые в Microsoft Sentinel с помощью портал Azure, автоматически синхронизируются с порталом Defender. Дополнительные сведения см. в статье Оптимизация реагирования на инциденты с помощью задач на портале Microsoft Defender (предварительная версия).
Август 2025 г.
- Поддержка просмотра унифицированного RBAC в мультитенантном управлении стала общедоступной
- Группы клиентов в мультитенантном управлении переименованы в профили распространения
- Распространение политик безопасности Microsoft Defender для конечной точки с помощью мультитенантного управления
Редактирование книг прямо в портале Microsoft Defender
Теперь вы можете создавать и редактировать книги Microsoft Sentinel непосредственно на портале Microsoft Defender. Это улучшение упрощает рабочий процесс, позволяет более эффективно управлять рабочими книгами, а также делает работу с ними более похожей на работу в портале Azure.
Книги Microsoft Sentinel основаны на книгах Azure Monitor и помогают визуализировать и отслеживать данные, поступающие в Microsoft Sentinel. Рабочие книги дополняют уже доступные средства таблицами, диаграммами и средствами аналитики для журналов и запросов.
Книги доступны на портале Defender в разделе Microsoft Sentinel > Управление угрозами > Книги. Дополнительные сведения см. в статье «Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel».
Просмотр унифицированной модели RBAC в мультитенантном управлении стал общедоступным
Возможность просмотра унифицированного управления доступом на основе ролей (RBAC) в портале Microsoft Defender для управления несколькими арендаторами теперь стала общедоступной. Эта функция позволяет просмотреть полное представление разрешений и доступа для клиентов.
Создание и редактирование пользовательских ролей остается в предварительной версии. Дополнительные сведения см. в статье Управление унифицированным управлением доступом на основе ролей в мультитенантном управлении.
Группы клиентов в мультитенантном управлении переименованы в профили распространения
На мультитенантном портале группы клиентов теперь переименованы в профили распространения содержимого.
Функциональность остается неизменной: профили распространения контента позволяют распространять содержимое безопасности, включая настраиваемые правила обнаружения и политики безопасности конечных точек, в большом масштабе между всеми клиентами на основе таких категорий, как бизнес-группы или расположение. Например, вы можете:
Дополнительные сведения см. в разделе Распространение содержимого с помощью профилей распространения в мультитенантном управлении.
Распространение политик безопасности Microsoft Defender для конечной точки с помощью мультитенантного управления
Политики безопасности Microsoft Defender для конечной точки теперь можно распространять в виде контента между несколькими арендаторами с помощью мультиарендного портала Defender, что позволяет командам безопасности управлять политиками безопасности конечных точек в необходимом масштабе. Распространенные политики отображаются на странице Управление конфигурацией > Политики безопасности конечных точек в иерархическом виде, чтобы можно было определить родительские политики и их распространенные копии в разных арендаторах.
На странице исходной политики также отображается общее состояние распространения и перечислены клиенты-получатели и профили распространения.
Дополнительные сведения см. в разделах Политики безопасности конечных точек в мультитенантном управлении и Распространение содержимого в мультитенантном управлении.
Июль 2025 г.
- Только для новых клиентов: автоматическое подключение и перенаправление на портал Microsoft Defender
- Нет ограничений на количество рабочих областей, которые можно подключить к порталу Defender
- Microsoft Sentinel в портале Azure будет выведен из эксплуатации в июле 2026 года
Только для новых клиентов: автоматическое подключение и перенаправление на портал Microsoft Defender
Для этого обновления новыми клиентами Microsoft Sentinel считаются клиенты, которые подключают первую рабочую область своего арендатора к Microsoft Sentinel после 1 июля 2025 г.
Начиная с 1 июля 2025 года, новые клиенты, которые также являются:
- пользователей, не делегированных через Azure Lighthouse, и
- у которых есть разрешения владельца подписки или администратора доступа пользователей;
Автоматическое подключение рабочих областей к порталу Defender вместе с подключением к Microsoft Sentinel. Пользователи таких рабочих областей, которые также не являются пользователями, делегированными через Azure Lighthouse, видят в Microsoft Sentinel в портале Azure ссылки, перенаправляющие их на портал Defender.
Например, вы можете:
Такие пользователи используют Microsoft Sentinel только на портале Defender.
Новые клиенты, у которых нет соответствующих разрешений, не будут автоматически подключаться к порталу Defender, но они по-прежнему видят ссылки на перенаправление в портал Azure, а также запросы на то, чтобы пользователь с соответствующими разрешениями вручную подключить рабочую область к порталу Defender.
Это изменение упрощает процесс подключения и гарантирует, что новые клиенты могут немедленно воспользоваться возможностями унифицированных операций безопасности без дополнительного шага по подключению рабочих областей вручную.
Дополнительные сведения см. в разделе:
- Подключение к Microsoft Sentinel
- Microsoft Sentinel на портале Microsoft Defender
- Изменения для новых клиентов
Нет ограничений на количество рабочих областей, которые можно подключить к порталу Defender
Больше нет ограничений на количество рабочих областей, которые можно подключить к порталу Defender.
Ограничения по-прежнему применяются к числу рабочих областей, которые можно включить в запрос Log Analytics, а также к числу рабочих областей, которые можно или должны включать в запланированное правило аналитики.
Дополнительные сведения см. в разделе:
- Подключение Microsoft Sentinel к порталу Microsoft Defender
- Несколько рабочих областей Microsoft Sentinel на портале Defender
- Расширьте Microsoft Sentinel на несколько рабочих областей и тенантов
Microsoft Sentinel на портале Azure будет выведен из эксплуатации в июле 2026 г.
Microsoft Sentinel общедоступна на портале Microsoft Defender, в том числе для клиентов без Microsoft Defender XDR или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие Microsoft Defender службы.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, а все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Примечание.
Эта дата была продлена. Microsoft Sentinel на портале Azure перестанет поддерживаться 31 марта 2027 года.
Если в настоящее время вы используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender сейчас, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Дополнительные сведения см. в разделе:
- Microsoft Sentinel на портале Microsoft Defender
- Перенос среды Microsoft Sentinel на портал Defender
- Планирование перехода на портал Microsoft Defender для всех клиентов Microsoft Sentinel (блог)
Июнь 2025 г.
Управление обращениями теперь доступно на мультитенантном портале Defender
Функция управления делами на портале Microsoft Defender теперь общедоступна на мультитенантном портале Defender. Дополнительные сведения см. в статье Просмотр инцидентов и управление ими в нескольких клиентах в мультитенантном портале Microsoft Defender.
Май 2025 г.
- Единое управление доступом на основе ролей на мультитенантном портале (предварительная версия)
- Все варианты использования Microsoft Sentinel, доступные на портале Defender
- Управление обращениями теперь доступно для мультитенантного портала Defender (предварительная версия)
Единое управление доступом на основе ролей в мультитенантном управлении (предварительная версия)
Унифицированная система управления доступом на основе ролей (URBAC) теперь доступна в многоклиентском портале управления Microsoft Defender. Вы можете создавать, удалять, импортировать и изменять роли в мультитенантном портале управления. Эта возможность предоставляет полное представление о разрешениях и доступе для клиентов, а также централизованное администрирование для управления этими разрешениями.
Дополнительные сведения см. в статье Управление унифицированным управлением доступом на основе ролей в мультитенантном управлении.
Все варианты использования Microsoft Sentinel, доступные на портале Defender
Все варианты использования Microsoft Sentinel, имеющие общую доступность, включая возможности с несколькими клиентами и несколькими рабочими областями, а также поддержку всех облаков для государственных и коммерческих организаций, теперь также поддерживаются для общедоступной доступности на портале Defender.
Мы рекомендуем вам подключить рабочие области на портале Defender, чтобы воспользоваться преимуществами единого места для всех операций по обеспечению безопасности. Дополнительные сведения см. в разделе:
- Лучшее из Microsoft Sentinel - теперь в Microsoft Defender (блог)
- Перенос среды Microsoft Sentinel на портал Defender
- Microsoft Sentinel на портале Microsoft Defender
В мультитенантном портале Defender теперь доступно управление обращениями (предварительная версия)
Команды SecOps в крупных организациях и поставщики управляемых услуг безопасности (MSSPs) должны управлять инцидентами в нескольких арендаторах. Теперь это можно сделать, не выходя из мультитенантного портала Defender.
Дополнительные сведения см. в статье «Просмотр инцидентов и управление ими в нескольких клиентах в мультитенантном портале Microsoft Defender».
Апрель 2025 г.
- Объединение инцидентов вручную (предварительная версия)
- Поддержка нескольких рабочих областей и нескольких клиентов для Microsoft Sentinel (предварительная версия)
- Управление делами теперь общедоступно
Объединить инциденты вручную (предварительная версия)
Если два инцидента должны быть объединены, так как они описывают одну и ту же историю атаки, но не объединяются ни по одной из причин, перечисленных в разделе "Когда инциденты не объединены", вы можете объединить инциденты вручную после устранения основных причин.
Например, если инциденты не были объединены, так как они были назначены двум разным пользователям, можно удалить назначение одного из инцидентов, а затем объединить инциденты вручную.
Дополнительные сведения об объединении инцидентов см. в статье Корреляция оповещений и объединение инцидентов на портале Microsoft Defender.
Инструкции по объединению инцидентов вручную см. в статье Слияние инцидентов вручную на портале Microsoft Defender.
Поддержка нескольких рабочих областей и нескольких клиентов для Microsoft Sentinel (предварительная версия)
Microsoft Sentinel теперь поддерживает несколько рабочих областей на портале Defender, используя одну основную рабочую область для каждого клиента и несколько дополнительных рабочих областей.
Оповещения основной рабочей области коррелируются с данными Defender XDR, в результате чего создаются инциденты, включающие оповещения из основной рабочей области Microsoft Sentinel и из Defender XDR. Все остальные подключенные рабочие области считаются дополнительными рабочими областями. Инциденты создаются на основе данных рабочей области и не включают данные Defender XDR.
Если вы работаете с несколькими арендаторами и несколькими рабочими областями в каждом из них, вы также можете использовать мультитенантное управление в Microsoft Defender для просмотра инцидентов и оповещений, а также для поиска данных в Advanced hunting сразу в нескольких рабочих областях и арендаторах.
Дополнительные сведения см. в разделе:
- Несколько рабочих областей Microsoft Sentinel на портале Defender
- Подключение Microsoft Sentinel к порталу Microsoft Defender
- управление несколькими клиентами Microsoft Defender
- Просматривайте инциденты и оповещения и управляйте ими в Microsoft Defender для мультитенантного управления
- Расширенный поиск угроз в мультитенантном управлении Microsoft Defender
Межоблачное мультитенантное управление (предварительная версия)
Мультитенантное управление в Microsoft Defender теперь поддерживает управление клиентами в других облачных средах Майкрософт. Группы по обеспечению безопасности, работающие в облачных средах для государственных организаций, теперь могут управлять всеми своими операциями по обеспечению безопасности, включая клиентов в других облачных средах Майкрософт, в единой области. Дополнительные сведения см. в статье Управление клиентами в других облачных средах Майкрософт.
Управление делами теперь общедоступно
Функция управления обращениями на портале Microsoft Defender теперь общедоступна. Дополнительные сведения см. в статье «Управление инцидентами безопасности непосредственно на портале Microsoft Defender».
Январь 2025 г.
- Единая аналитика угроз
- Управление собственной работой SecOps с помощью управления делами (предварительная версия)
- Единая временная шкала устройств на портале Microsoft Defender (предварительная версия)
- Обновления оптимизации SOC для унифицированного управления покрытием
Единая аналитика угроз
Аналитика угроз на базе Microsoft Sentinel перенесена в портал Defender, в раздел Управление аналитикой угроз, объединяющий функции аналитики угроз. В портале Azure местоположение остается неизменным.
Наряду с новым местоположением интерфейс управления упрощает создание и ведение данных об угрозах благодаря следующим ключевым возможностям:
- Определите связи при создании новых объектов STIX.
- Упорядочивайте существующие разведданные об угрозах с помощью нового средства построения связей.
- Быстро создайте несколько объектов, скопировав общие метаданные из нового или существующего объекта TI с функцией дублирования.
- Используйте расширенный поиск для сортировки и фильтрации объектов аналитики угроз, даже не записывая запрос Log Analytics.
Дополнительные сведения см. в следующих статьях:
- Обнаружение злоумышленников с помощью аналитики угроз на портале Defender
- Новые объекты STIX в Microsoft Sentinel
- Общие сведения об аналитике угроз
Управление обращениями (предварительная версия)
Управление обращениями — это первая часть комплексного решения, которое обеспечивает простое управление работой по обеспечению безопасности. Команды SecOps поддерживают контекст безопасности, работают более эффективно и быстрее реагируют на атаки, когда управляют работой с обращениями, не выходя из портала Defender. Ниже приведен начальный набор сценариев и функций, поддерживаемых управлением делами.
- Определите собственный процесс обработки обращений с пользовательскими значениями статуса
- Назначение задач участникам совместной работы и настройка сроков выполнения
- Обрабатывайте эскалации и сложные случаи, связывая несколько инцидентов с обращением
- Управление доступом к своим обращениям с помощью RBAC
Это только начало. Следите за дополнительными возможностями по мере развития этого решения.
Дополнительные сведения см. в следующих статьях:
- Управление делами, связанными с операциями безопасности, непосредственно на портале Microsoft Defender
- Блог Microsoft Sentinel — улучшение совместной работы SecOps благодаря управлению инцидентами
Единая временная шкала устройств на портале Microsoft Defender (предварительная версия)
Единая временная шкала устройства — единое целостное представление, объединяющее события устройств из Microsoft Sentinel и Defender XDR на одной временной шкале, — теперь доступна в предварительной версии. Эта функция упрощает исследования безопасности, позволяя аналитикам получать доступ ко всем соответствующим действиям устройств в одном месте, уменьшая необходимость переключаться между платформами и уменьшая время реагирования на инциденты.
Дополнительные сведения см. на странице сущности устройства в Microsoft Defender.
Обновления оптимизации SOC для унифицированного управления покрытием
В рабочих областях, в которых включены унифицированные операции безопасности, оптимизации SOC теперь поддерживают данные как SIEM, так и XDR, с охватом обнаружения по всем службам Microsoft Defender.
На портале Defender страницы Оптимизации SOC и MITRE ATT&CK теперь также предлагают дополнительные возможности для оптимизации покрытия на основе угроз, помогая вам понять влияние рекомендаций на вашу среду и определить, какие из них следует внедрить в первую очередь.
К усовершенствованиям относятся:
| Область | Сведения |
|---|---|
| Страница обзоров оптимизаций SOC | — высокий, средний или низкий баллы для текущего охвата обнаружения. Такая оценка поможет вам сразу решить, какие рекомендации следует расставить по приоритету. — указание количества активных Microsoft Defender продуктов (услуг) из всех доступных продуктов. Это поможет вам понять, отсутствует ли в вашей среде целый продукт. |
|
Боковая область сведений об оптимизации, отображается при переходе к конкретной оптимизации |
— подробный анализ охвата, включая количество определяемых пользователем обнаружений, действий реагирования и продуктов, которые у вас активны. — Подробные лепестковые диаграммы, которые показывают охват по различным категориям угроз как для пользовательских, так и для готовых обнаружений. — Возможность перейти непосредственно к конкретному сценарию угроз на странице MITRE ATT&CK, а не только просматривать охват MITRE ATT&CK на боковой панели. — Возможность просмотреть полный сценарий угроз , чтобы получить дополнительные сведения о продуктах безопасности и обнаружениях, доступных для обеспечения покрытия безопасности в вашей среде. |
| Страница MITRE ATT&CK | — новый переключатель для просмотра охвата по сценариям угроз. Если вы переходили на страницу MITRE ATT&CK с боковой панели сведений о рекомендациях или на странице Просмотр сценария полной угрозы , страница MITRE ATT&CK предварительно фильтруется по вашему сценарию угрозы. — Панель сведений о технике, которая отображается сбоку при выборе конкретной техники MITRE ATT&CK, теперь показывает количество активных обнаружений из общего числа доступных обнаружений для этой техники. |
Дополнительные сведения см. в разделах Оптимизация операций безопасности и Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK.
Декабрь 2024 г.
- Новые рекомендации по оптимизации SOC на основе аналогичных организаций (предварительная версия)
- Рабочие книги Microsoft Sentinel теперь можно просматривать напрямую на портале Microsoft Defender
Новые рекомендации по оптимизации SOC на основе аналогичных организаций (предварительная версия)
Оптимизации SOC теперь включают новые рекомендации по добавлению источников данных в рабочую область на основе состояния защищенности других организаций, работающих в тех же или схожих отраслях и секторах, что и ваша организация, и использующих схожие схемы приема данных.
Дополнительные сведения см. в справочнике по рекомендациям по оптимизации SOC.
Рабочие книги Microsoft Sentinel теперь можно просматривать напрямую на портале Microsoft Defender
Книги Microsoft Sentinel теперь можно просматривать непосредственно на портале Microsoft Defender. Теперь на портале Defender при выборе Microsoft Sentinel > Управление угрозами > Книги вы остаетесь на портале Defender вместо того, чтобы книги открывались в новой вкладке на портале Azure. Продолжайте переход на вкладку портал Azure только в том случае, если вам нужно изменить книги.
Книги Microsoft Sentinel основаны на книгах Azure Monitor и помогают визуализировать и отслеживать данные, поступающие в Microsoft Sentinel. Рабочие книги дополняют уже доступные средства таблицами, диаграммами и средствами аналитики для журналов и запросов.
Дополнительные сведения см. в разделах Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel и Подключение Microsoft Sentinel к Microsoft Defender XDR.
Связанные материалы
Для получения дополнительных сведений о новых возможностях других средств обеспечения безопасности Microsoft Defender и Microsoft Sentinel см.:
- Новые возможности Microsoft Sentinel
- Новые возможности Microsoft Defender XDR
- Новые возможности Microsoft Defender для Office 365
- Новые возможности Microsoft Defender для конечной точки
- Новые возможности Microsoft Defender для идентификации
- Новые возможности Microsoft Defender for Cloud Apps
- Новые возможности Microsoft Security Exposure Management
Вы также можете получать обновления продуктов и важные уведомления через Центр сообщений.