你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Microsoft Sentinel 在不同 Azure 环境中可用的功能。 列出的功能状态包括 GA(正式发布)、公共预览版或显示为不可用。
Note
这些列表和表不包括 Azure 政府机密或 Azure 政府最高机密云中的功能或捆绑包可用性。 有关气隙云的特定可用性的详细信息,请联系你的帐户团队。
重要
根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将于 2026 年 8 月 18 日在世纪互联运营的 Azure 区域中正式停用。 由于即将停用此服务,客户将无法再启用新的订阅。
我们建议客户与由世纪互联运营的 Microsoft Azure 的帐户代表合作,以评估此停用对自身运营的影响。
Defender 门户中的体验
Microsoft Sentinel 还可在 Microsoft Defender 门户中使用。 在 Defender 门户中,所有正式发布的功能均可在商业云、GCC、GCC High 和 DoD 云中使用。 仍处于预览状态的功能仅在商业云中可用。
有关详细信息,请参阅面向美国政府客户的 Microsoft Defender XDR。
Analytics
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 分析规则运行状况 | 公共预览 | Yes | No | No |
| MITRE ATT&CK 仪表板 | 公共预览 | Yes | Yes | Yes |
| NRT 规则 | GA | Yes | Yes | Yes |
| Recommendations | 公共预览 | Yes | Yes | No |
| 计划和 Microsoft 规则 | GA | Yes | Yes | Yes |
内容和内容管理
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 内容中心和解决方案 | GA | Yes | Yes | Yes |
| Repositories | 公共预览 | Yes | No | No |
| Workbooks | GA | Yes | Yes | Yes |
数据收集
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| Amazon Web Services | GA | Yes | Yes | No |
| Amazon Web Services S3 | GA | Yes | Yes | No |
| Microsoft Entra ID | GA | Yes | Yes | Yes1 |
| Microsoft Entra ID 保护 | GA | Yes | Yes | No |
| Azure 活动 | GA | Yes | Yes | Yes |
| Azure DDoS 防护 | GA | Yes | Yes | No |
| Azure 防火墙 | GA | Yes | Yes | Yes |
| Azure 信息保护(预览版) | Deprecated | No | No | No |
| Azure Key Vault | 公共预览 | Yes | Yes | Yes |
| Azure Kubernetes 服务 (AKS) | 公共预览 | Yes | Yes | Yes |
| Azure SQL 数据库 | GA | Yes | Yes | Yes |
| Azure Web 应用程序防火墙 (WAF) | GA | Yes | Yes | Yes |
| Cisco ASA | GA | Yes | Yes | Yes |
| 无代码连接器平台 | 公共预览 | Yes | No | No |
| 通用事件格式 (CEF) | GA | Yes | Yes | Yes |
| 通过 AMA 的通用事件格式 (CEF) | GA | Yes | Yes | Yes |
| DNS | 公共预览 | Yes | No | Yes |
| GCP Pub/Sub 审核日志 | 公共预览 | Yes | Yes | No |
| Microsoft Defender XDR | GA | Yes | Yes | No |
| Microsoft Purview 内部风险管理(预览版) | 公共预览 | Yes | Yes | No |
| Microsoft Defender for Cloud | GA | Yes | Yes | Yes |
| Microsoft Defender for IoT | GA | Yes | Yes | No |
| Microsoft Power BI(预览版) | 公共预览 | Yes | Yes | No |
| Microsoft Project(预览版) | 公共预览 | Yes | Yes | No |
| Microsoft Purview(预览版) | 公共预览 | Yes | No | No |
| Microsoft Purview 信息保护 | 公共预览 | Yes | No | No |
| 适用于 Microsoft 商业应用的 Microsoft Sentinel 解决方案 | GA | Yes | Yes | Yes |
| Office 365 | GA | Yes | Yes | Yes |
| 摘要规则 | GA | Yes | No | No |
| Syslog | GA | Yes | Yes | Yes |
| Syslog(通过 AMA) | GA | Yes | Yes | Yes |
| 通过 AMA 支持的 Windows DNS 事件 | GA | Yes | Yes | Yes |
| Windows 防火墙 | GA | Yes | Yes | Yes |
| Windows 转发事件 | GA | Yes | Yes | Yes |
| 通过 AMA 使用 Windows 安全事件 | GA | Yes | Yes | Yes |
Hunting
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| Bookmarks | GA | Yes | Yes | Yes |
| Hunts | 公共预览 | Yes | No | No |
| Livestream | GA | Yes | Yes | Yes |
| Queries | GA | Yes | Yes | Yes |
| 还原历史数据 | GA | Yes | Yes | Yes |
| 搜索大型数据集 | GA | Yes | Yes | Yes |
Incidents
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 将实体添加到威胁智能 | 公共预览 | Yes | Yes | Yes |
| 高级和/或条件 | GA | Yes | Yes | Yes |
| 自动化规则 | GA | Yes | Yes | Yes |
| 自动化规则运行状况 | 公共预览 | Yes | Yes | No |
| 手动创建事件 | GA | Yes | Yes | Yes |
| 跨租户/跨工作区事件视图 | GA | Yes | Yes | Yes |
| 事件高级搜索 | GA | Yes | Yes | Yes |
| 事件任务 | GA | Yes | Yes | Yes |
| Microsoft Defender XDR 事件集成 | GA | Yes | Yes | No |
| Microsoft Teams 集成 | 公共预览 | Yes | Yes | No |
| 剧本模板库 | 公共预览 | Yes | Yes | No |
| 在实体上运行剧本 | GA | Yes | Yes | Yes |
| 在事件上运行剧本 | GA | Yes | Yes | Yes |
| SOC 事件审核指标 | GA | Yes | Yes | Yes |
机器学习
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 异常 RDP 登录检测 - 内置 ML 检测 | 公共预览 | Yes | Yes | No |
| 异常 SSH 登录检测 - 内置 ML 检测 | 公共预览 | Yes | Yes | No |
| 融合 - 高级多阶段攻击检测 1 | GA | Yes | Yes | Yes |
1 部分 GA:禁用漏洞扫描特定发现的功能处于公共预览状态。
管理 Microsoft Sentinel
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 工作区管理器 | 公共预览 | Yes | Yes | No |
| SIEM 迁移体验 | GA | Yes | No | No |
Normalization
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 高级安全信息模型 (ASIM) | 公共预览 | Yes | Yes | Yes |
Notebooks
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| Notebooks | GA | Yes | Yes | Yes |
| 笔记本与 Azure Synapse 的集成 | 公共预览 | Yes | Yes | Yes |
SOC 优化
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| SOC 优化 | 支持用于生产 | Yes | No | No |
SAP
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 适用于 SAP 的威胁防护 | GA | Yes | Yes | Yes |
| 无代理数据连接器 | 受限预览版 | Yes | No | No |
威胁情报支持
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 地理位置和 WhoIs 数据扩充 | 公共预览 | Yes | No | No |
| 从平面文件导入 TI | 公共预览 | Yes | Yes | Yes |
| 威胁情报平台数据连接器 | 公共预览 | Yes | No | No |
| 威胁情报研究页 | GA | Yes | Yes | Yes |
| 威胁情报 - TAXII 数据连接器 | GA | Yes | Yes | Yes |
| Microsoft Defender 威胁情报连接器 | 公共预览 | Yes | No | No |
| Microsoft Defender 威胁情报匹配分析 | 公共预览 | Yes | No | No |
| 威胁情报工作簿 | GA | Yes | Yes | Yes |
| URL 引爆 | 公共预览 | Yes | No | No |
| 威胁情报上传指示器 API | 公共预览 | Yes | No | No |
UEBA
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 通过 MDI 的 Active Directory 同步 | 公共预览 | Yes | Yes | No |
| Azure 资源实体页 | 公共预览 | Yes | Yes | No |
| 实体见解 | GA | Yes | Yes | Yes |
| 实体页 | GA | Yes | Yes | Yes |
| 标识信息表数据引入 | GA | Yes | Yes | Yes |
| IoT 设备实体页 | 公共预览 | Yes | Yes | No |
| 对等/影响范围扩充 | 公共预览 | Yes | No | No |
| SOC-ML 异常 | GA | Yes | Yes | No |
| UEBA 异常 | GA | Yes | Yes | No |
| UEBA 扩充\见解 | GA | Yes | Yes | Yes |
Watchlists
| Feature | 功能阶段 | Azure 商业版 | Azure 政府 | 由世纪互联运营的 Azure |
|---|---|---|---|---|
| 来自 Azure 存储的大型关注列表 | 公共预览 | Yes | No | No |
| Watchlists | GA | Yes | Yes | Yes |
| 关注列表模板 | 公共预览 | Yes | No | No |
后续步骤
在本文中,你已了解 Microsoft Sentinel 中的可用功能。