本周早些时候，我们宣布azuresentinel现在可以正常使用了。这标志着我们为云时代重新定义安全信息和事件管理（SIEM）的一个重要里程碑。有了azuresentinel，全世界的企业现在可以跟上安全数据的指数级增长，在不增加分析师资源的情况下提高安全效果，并降低硬件和运营成本。在客户和合作伙伴的帮助下，包括预览期间12000多次试用的反馈，我们设计了Azure Sentinel，将Azure和AI的力量结合在一起，使安全运营中心能够实现更多目标。本周将有许多新功能上线。我会带你看看这里的几个。收集和分析几乎无限量的安全数据有了azuresentinel，我们的使命是提高整个企业的安全性。许多Microsoft和非Microsoft数据源都是内置的，只需单击即可启用。针对Microsoft服务的新连接器（如云应用程序安全和信息保护）加入了越来越多的第三方连接器列表，使您能够比以往任何时候都更容易地从您的数字资产中获取和分析数据。工作簿提供了丰富的可视化选项，可以深入了解数据。使用或修改现有工作簿或创建自己的工作簿。应用分析，包括机器学习，来检测威胁现在，您可以从100多个内置警报规则中进行选择，也可以使用"新建警报向导"创建自己的规则。警报可以由单个事件或基于阈值触发，也可以通过关联不同的数据集（例如，与威胁指标匹配的事件）或使用内置的机器学习算法来触发。我们将预告两种新的机器学习方法，为客户提供人工智能带来的好处，同时又不增加复杂性。首先，我们应用成熟的现成机器学习模型来识别跨Microsoft identity services的可疑登录，以发现恶意的SSH访问。通过使用现有机器学习模型的转移学习，azuresentinel可以准确地从单个数据集检测异常。此外，我们使用一种称为fusion的机器学习技术来连接来自多个来源的数据，如Azure AD异常登录和可疑的Office 365活动，以检测跨越杀戮链上不同点的35种不同威胁。加快威胁搜寻、事件调查和响应对于安全运营中心来说，主动的威胁搜索是一项关键但耗时的任务。azuresentinel提供了一个丰富的搜索界面，该界面提供了越来越多的搜索查询、探索性查询和python库，可以在Jupyter笔记本电脑中使用。使用这些来识别感兴趣的事件，并将它们标记为书签以供以后参考。事件（以前是案例）包含一个或多个需要进一步调查的警报。事件现在支持标记、注释和分配。新规则向导允许您决定哪些Microsoft警报触发事件的创建。使用新的调查图预览，您可以可视化和遍历实体（如用户、资产、应用程序或URL）和相关活动（如登录、数据传输或应用程序使用）之间的连接，以快速了解事件的范围和影响。新的操作和剧本使用Azure逻辑应用程序简化了事件自动化和补救过程。发送电子邮件以验证用户操作，使用地理位置数据丰富事件，阻止可疑用户，并隔离Windows计算机。以Microsoft和社区成员的专业知识为基础azuresentinel GitHub存储库已经发展到超过400个检测、探索和搜索查询，另外还有azurenotebooks示例和相关的Python库、playbooks示例和解析器。其中大部分是由我们的MSTIC安全研究人员根据他们丰富的全球安全经验和威胁情报开发的。支持托管安全服务提供商和复杂的客户实例azuresentinel现在与azurelighthouse合作，使客户和托管安全服务提供商（mssp）能够查看多个租户的azuresentinel，而无需在租户之间导航。我们与合作伙伴密切合作，共同开发解决方案，满足他们对现代SIEM的需求DXC技术公司，全球最大的MSSP之一，就是这种设计合作伙伴关系的一个很好的例子："通过我们与微软的战略合作伙伴关系，作为微软安全合作伙伴咨询委员会的成员，DXC将整合并部署Azure Sentinel到我们为客户提供的网络防御解决方案和智能安全操作中。"DXC高级副总裁兼安全总经理Mark Hughes说我们的集成解决方案利用Azure Sentinel的云本地功能和资产来协调和自动化大量安全事件，使我们的安全专家能够集中精力对高优先级事件和威胁进行取证调查。"开始开始真的很容易。我们有很多信息可以帮助您，从优秀的文档到通过Yammer和电子邮件与我们联系。开始试验，踢轮胎观看概述视频审查技术文件请参加9月26日（星期四）太平洋时间上午10:00的网络研讨会，了解更多关于这些创新的信息，并查看Azure Sentinel如何帮助检测以前未发现的威胁的真实示例。下一步是什么azuresentinel是我们未来的SOC平台，我们将继续改进它，以更好地满足我们所生活的复杂世界的安全需求。让我们保持联系：关注TechCommunity博客，了解最新情况加入我们的技术社区给我们发一封包含反馈和建议的电子邮件变成一个蓝色的猎手哨兵