你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Microsoft Sentinel 在不同 Azure 环境中可用的功能。 列出的功能状态包括 GA(正式发布)、公共预览版或显示为不可用。
注意
这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。
Defender 门户中的体验
Microsoft Sentinel 还可在 Microsoft Defender 门户中使用。 在 Defender 门户中,所有正式发布的功能均可在商业云、GCC、GCC High 和 DoD 云中使用。 仍处于预览状态的功能仅在商业云中可用。
有关详细信息,请参阅面向美国政府客户的 Microsoft Defender XDR。
Analytics
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 分析规则运行状况 | 公共预览版 | 是的 | 否 | 否 |
| MITRE ATT&CK 仪表板 | 公共预览版 | 是的 | 是的 | 是的 |
| NRT 规则 | GA | 是的 | 是的 | 是的 |
| 建议 | 公共预览版 | 是的 | 是的 | 否 |
| 计划和 Microsoft 规则 | GA | 是的 | 是的 | 是的 |
内容和内容管理
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 内容中心和解决方案 | GA | 是的 | 是的 | 是的 |
| 存储库 | 公共预览版 | 是的 | 否 | 否 |
| 工作簿 | GA | 是的 | 是的 | 是的 |
数据收集
搜寻
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 书签 | GA | 是的 | 是的 | 是的 |
| 搜寻 | 公共预览版 | 是的 | 否 | 否 |
| Livestream | GA | 是的 | 是的 | 是的 |
| 查询 | GA | 是的 | 是的 | 是的 |
| 还原历史数据 | GA | 是的 | 是的 | 是的 |
| 搜索大型数据集 | GA | 是的 | 是的 | 是的 |
事件
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 将实体添加到威胁智能 | 公共预览版 | 是的 | 是的 | 是的 |
| 高级和/或条件 | GA | 是的 | 是的 | 是的 |
| 自动化规则 | GA | 是的 | 是的 | 是的 |
| 自动化规则运行状况 | 公共预览版 | 是的 | 是的 | 否 |
| 手动创建事件 | GA | 是的 | 是的 | 是的 |
| 跨租户/跨工作区事件视图 | GA | 是的 | 是的 | 是的 |
| 事件高级搜索 | GA | 是的 | 是的 | 是的 |
| 事件任务 | GA | 是的 | 是的 | 是的 |
| Microsoft 365 Defender 事件集成 | GA | 是的 | 是的 | 否 |
| Microsoft Teams 集成 | 公共预览版 | 是的 | 是的 | 否 |
| 剧本模板库 | 公共预览版 | 是的 | 是的 | 否 |
| 在实体上运行剧本 | GA | 是的 | 是的 | 是的 |
| 在事件上运行剧本 | GA | 是的 | 是的 | 是的 |
| SOC 事件审核指标 | GA | 是的 | 是的 | 是的 |
机器学习
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 异常 RDP 登录检测 - 内置 ML 检测 | 公共预览版 | 是的 | 是的 | 否 |
| 异常 SSH 登录检测 - 内置 ML 检测 | 公共预览版 | 是的 | 是的 | 否 |
| 融合 - 高级多阶段攻击检测 1 | GA | 是的 | 是的 | 是的 |
1 部分 GA:禁用漏洞扫描特定发现的功能处于公共预览状态。
管理 Microsoft Sentinel
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 工作区管理器 | 公共预览版 | 是的 | 是的 | 否 |
| SIEM 迁移体验 | GA | 是的 | 否 | 否 |
规范化
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 高级安全信息模型 (ASIM) | 公共预览版 | 是的 | 是的 | 是的 |
Notebooks
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| Notebooks | GA | 是的 | 是的 | 是的 |
| 笔记本与 Azure Synapse 的集成 | 公共预览版 | 是的 | 是的 | 是的 |
SOC 优化
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| SOC 优化 | 支持用于生产 | 是的 | 否 | 否 |
SAP公司
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 适用于 SAP 的威胁防护 | GA | 是的 | 是的 | 是的 |
| 无代理数据连接器 | 有限预览版 | 是的 | 否 | 否 |
威胁情报支持
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 地理位置和 WhoIs 数据扩充 | 公共预览版 | 是的 | 否 | 否 |
| 从平面文件导入 TI | 公共预览版 | 是的 | 是的 | 是的 |
| 威胁情报平台数据连接器 | 公共预览版 | 是的 | 否 | 否 |
| 威胁情报研究页 | GA | 是的 | 是的 | 是的 |
| 威胁情报 - TAXII 数据连接器 | GA | 是的 | 是的 | 是的 |
| Microsoft Defender 威胁情报连接器 | 公共预览版 | 是的 | 否 | 否 |
| Microsoft Defender 威胁情报匹配分析 | 公共预览版 | 是的 | 否 | 否 |
| 威胁情报工作簿 | GA | 是的 | 是的 | 是的 |
| URL 引爆 | 公共预览版 | 是的 | 否 | 否 |
| 威胁情报上传指示器 API | 公共预览版 | 是的 | 否 | 否 |
UEBA
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 通过 MDI 的 Active Directory 同步 | 公共预览版 | 是的 | 是的 | 否 |
| Azure 资源实体页 | 公共预览版 | 是的 | 是的 | 否 |
| 实体见解 | GA | 是的 | 是的 | 是的 |
| 实体页 | GA | 是的 | 是的 | 是的 |
| 标识信息表数据引入 | GA | 是的 | 是的 | 是的 |
| IoT 设备实体页 | 公共预览版 | 是的 | 是的 | 否 |
| 对等/影响范围扩充 | 公共预览版 | 是的 | 否 | 否 |
| SOC-ML 异常 | GA | 是的 | 是的 | 否 |
| UEBA 异常 | GA | 是的 | 是的 | 否 |
| UEBA 扩充\见解 | GA | 是的 | 是的 | 是的 |
关注列表
| 功能 | 功能阶段 | Azure 商业版 | Azure 政府 | Azure 中国世纪互联 |
|---|---|---|---|---|
| 来自 Azure 存储的大型关注列表 | 公共预览版 | 是的 | 否 | 否 |
| 关注列表 | GA | 是的 | 是的 | 是的 |
| 关注列表模板 | 公共预览版 | 是的 | 否 | 否 |
后续步骤
在本文中,你已了解 Microsoft Sentinel 中的可用功能。