Neuerungen in Microsoft Sentinel

In diesem Artikel werden die neuesten Features aufgeführt, die für Microsoft Sentinel hinzugefügt wurden, sowie neue Features in verwandten Diensten, die eine verbesserte Benutzererfahrung in Microsoft Sentinel bieten. Informationen zu neuen Features im Zusammenhang mit einheitlichen Sicherheitsvorgängen im Defender-Portal finden Sie unter What's new for unified security operations?.

Die aufgeführten Features wurden in den letzten sechs Monaten veröffentlicht. Informationen zu früher bereitgestellten Features finden Sie in unseren Tech Community-Blogs.

Hinweis

Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.

Mai 2026

UEBA-Verbesserungen: Neue Einstellungsoberfläche, Okta V2-Unterstützung und weitere GCP-Anomalieerkennungen

  • Wir haben einen neuen Einstiegspunkt eingeführt und eine konsolidierte Ansicht für die UEBA-Einstellungen und die Verhaltenseinstellungen erstellt. Sie können jetzt auf der neuen UEBA-Registerkarte auf der Seite Microsoft Sentinel Einstellungen auf die UEBA-Einstellungen zugreifen. Weitere Informationen finden Sie unter Enable User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel.

  • UEBA-Okta-Anomalien unterstützen jetzt die OktaV2_CL Tabelle neben der vorhandenen Okta_CL Tabelle. Dadurch werden die vorhandenen Erkennungen von Anomalen Aktivitäten und Anomalen MFA-Fehlern auf Kunden erweitert, die das neuere Okta-Connectorformat verwenden– es werden keine neuen Anomalietypen eingeführt. Weitere Informationen finden Sie in der UEBA-Referenz.

  • UEBA unterstützt jetzt fünf neue Anomalieerkennungen von GCP-Überwachungsprotokollen, die ungewöhnliches Anmeldeverhalten, privilegierte Aktionen, Ressourcenbereitstellungen, Zugriff auf Geheimnisse/KMS-Schlüssel und Infrastrukturnutzungsmuster identifizieren. Weitere Informationen finden Sie unter UEBA-Anomalien.

April 2026

[Aktualisiert] Handlungsaufforderung: Aktualisieren der Automatisierung bis zum 1. Juli 2026: Kontoname ist jetzt konsistent das UPN-Präfix für Analyseregelwarnungen.

Microsoft Sentinel aktualisiert, wie der Kontonamewert der Kontoentität für Analyseregelwarnungen aufgefüllt wird, wenn der vollständige UPN dem Kontonamen zugeordnet ist. Diese Änderung verbessert die Konsistenz für nachgeschaltete Automatisierungsregeln und Logic Apps-Playbooks.

Diese Änderung kann sich auf die Automatisierungslogik auswirken, die die AccountName Eigenschaft filtert oder vergleicht (Logic Apps: AccountName), insbesondere, wenn der vollständige UPN erwartet wird.

Änderungen

  • Wenn dem Kontonamen in einer Analyseregel ein vollständiger UPN (z. B user@domain.com. ) zugeordnet ist, ist Kontoname immer nur das UPN-Präfix (user). Früher konnte es manchmal und manchmal user@domain.comseinuser.
  • Zusätzliche UPN-bezogene Felder werden der Kontoentität in der SecurityAlert Tabelle hinzugefügt: UserPrincipalName (vollständiger UPN, z. B user@domain.com. ), UPNSuffixund das UPN-Präfix.

Zum Beispiel:

  • Vorher: Analyse: user@domain.com –> Automation-Regel Kontoname: user oder user@domain.com
  • Nach: Analyse: user@domain.com -> Automation-Regel Kontoname: user + UPNSuffix: domain.com

Was Sie tun müssen

Aktualisieren Sie alle Automatisierungsregeln oder Logik-Apps, die mit dem vollständigen UPN verglichen werden. Ersetzen Sie direkte Gleichheitsprüfungen durch separate Vergleiche für das UPN-Präfix und das UPN-Suffix. Es wird dringend empfohlen, Contains - und Starts with-Vorgänge anstelle von strikter Gleichheit zu verwenden, um die Kompatibilität sowohl vor als auch nach der Änderung aufrechtzuerhalten.

Ersetzen Sie z. B. Bedingungen wie AccountNameGleich durchuser@domain.com Logik wie:

  • AccountName Enthältuser oder Beginnt mituser
  • UPNSuffix domain.com / GleichBeginnt mitdomain.com / Enthältdomain.com

Weitere Informationen, einschließlich Vor- und Nachher-Beispielen, finden Sie im Blogartikel Update: Changing the Account Name Entity Mapping in Microsoft Sentinel.

Microsoft Sentinel Datenverbund (Vorschau)

Mit Microsoft Sentinel Datenverbund von Microsoft Fabric können Sie Sicherheitsdaten an dem Ort analysieren, an dem sie sich bereits befinden, ohne sie zu kopieren oder zu duplizieren. Sie können Daten aus Microsoft Fabric, Azure Data Lake Storage und Azure Databricks in Microsoft Sentinel Data Lake verbinden und dann vertraute Microsoft Sentinel Erfahrungen wie KQL, Notebooks und benutzerdefinierte Diagramme für Verbunddaten und systemeigene Daten verwenden.

Weitere Informationen finden Sie unter Übersicht über den Datenverbund in Microsoft Sentinel Data Lake.

Transformieren von Daten mit Filter- und Split-Features (Vorschau)

Durch die native Filterung und Aufteilung im Microsoft Defender-Portal können Sie Rauschen vor der Erfassung reduzieren, Kosten kontrollieren und Daten intelligent zwischen Analyse- und Data Lake-Ebenen weiterleiten, sodass Sie das, was analysiert und beibehalten wird, optimieren können. Weitere Informationen finden Sie unter Transformieren von Daten mithilfe von Filtern und Teilen in Microsoft Sentinel.

Beschleunigen der Microsoft Sentinel Connectorentwicklung mit dem Connector-Generator-Agent von Visual Studio Code (Vorschau)

Ein KI-gestützter Low-Code-Agent in Visual Studio Code hilft Ihnen, Microsoft Sentinel Connectors in wenigen Minuten zu erstellen, wodurch neue Datenquellen schneller bereitgestellt werden und sicherheitsrelevante Ergebnisse schneller verfügbar sind. Weitere Informationen finden Sie unter Erste Schritte mit benutzerdefinierten Connectors mithilfe des KI-Agents in Microsoft Sentinel.

Erstellen von benutzerdefinierten Diagrammen (Vorschau)

Erstellen Sie maßgeschneiderte Sicherheitsdiagramme für den Sentinel Data Lake und Daten von Drittanbietern, um Angriffspfade, Explosionsradius und ausgeblendete Beziehungen aufzudecken. Diese Graphen dienen auch als Grundlage für fortgeschrittene Untersuchungen und KI-Agents. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Graphen.

Graphenoberfläche im Microsoft Defender-Portal (Vorschau)

Nachdem Sie Ihre benutzerdefinierten Diagramme erstellt haben, können Sie im Abschnitt Graphen des Defender-Portals unter Microsoft Sentinel darauf zugreifen. Von dort aus können Sie GQL-Abfragen (Graph Query Language) ausführen, das Diagrammschema anzeigen, das Diagramm visualisieren, Diagrammergebnisse im tabellarischen Format anzeigen und das Diagramm mit einem einfachen Klick interaktiv zum nächsten Hop durchlaufen.

Entity Analyzer ist jetzt allgemein verfügbar

Mit der Entitätsanalyse in der MCP-Datensammlung (Microsoft Sentinel Model Context Protocol) können Sie sofort einsatzbereite, erklärbare Entitätsrisikobewertungen für URLs und Identitäten mithilfe von Threat Intelligence, Prävalenz und Organisationskontext abrufen.

Wichtig

Ab dem 1. April 2026 werden Ihnen die sicherheitsrelevanten Computeeinheiten (Security Compute Units, SCUs) in Rechnung gestellt, die bei Verwendung des Entity Analyzers erforderlich sind. Weitere Informationen finden Sie unter Grundlegendes zu Preisen, Grenzwerten und Verfügbarkeit Microsoft Sentinel MCP-Servers.

KI-basiertes SIEM-Migrationstool ist jetzt allgemein verfügbar

Beschleunigen Sie Migrationen zu Microsoft Sentinel von Splunk und QRadar mithilfe einer KI-gestützten SIEM-Migrationsumgebung, die den manuellen Aufwand reduzieren und die Time-to-Value beschleunigen soll. Weitere Informationen finden Sie unter Migrieren zu Microsoft Sentinel mit der SIEM-Migrationsumgebung.

Kostenschätzungstool für Kunden und Partner (Vorschau)

Ein geführter, Microsoft Sentinel Kostenschätzungsfaktor auf Verbrauchseinheitsebene mit dreijährigen Projektionen hilft Organisationen dabei, das Datenwachstum zu modellieren, Ausgaben vorherzusagen und Microsoft Sentinel Einführung mit Vertrauen zu planen. Weitere Informationen finden Sie unter Microsoft Sentinel Preise.

Konfigurieren des Zugriffs auf Zeilenebene mit Microsoft Sentinel Bereich (Vorschau)

Microsoft Sentinel unterstützt jetzt Bereichsgrenzen (RBAC auf Zeilenebene), um den Zugriff auf bestimmte Teilmengen Sentinel Daten zu steuern, ohne dass eine Trennung des Arbeitsbereichs erforderlich ist. Administratoren können mithilfe der einheitlichen RBAC logische Bereiche definieren, Daten zur Erfassungszeit markieren und Benutzern oder Gruppen Bereichen zuweisen, sodass mehrere Teams sicher in einer freigegebenen Sentinel-Umgebung arbeiten können. Die Bereichsdefinition wird im Microsoft Defender-Portal konfiguriert. Weitere Informationen finden Sie unter Konfigurieren von Microsoft Sentinel Bereich (RBAC auf Zeilenebene).

März 2026

Handlungsaufruf: Aktualisieren älterer Microsoft Sentinel-API-Versionen als Code (Sentinel Repositorys) vor dem 15. Juni 2026

Ab dem 15. Juni 2026 werden ältere API-Versionen, die von Microsoft Sentinel Repositorys verwendet werden, nicht mehr unterstützt. Diese Änderung wirkt sich auf alle Quellcodeverwaltungs- und Quellcodeverwaltungsaktionen in der Microsoft Sentinel REST-API für die betroffenen API-Versionen aus.

Die eingestellten API-Versionen werden nicht mehr unterstützt, und anforderungen, die sie verwenden, schlagen fehl. Vorhandene Repositoryverbindungen, die mit diesen APIs erstellt wurden, sind nicht betroffen, und die Repositorys werden weiterhin ausgeführt.

Erforderliche Aktion

Wenn Sie APIs zum Erstellen oder Verwalten von Repositoryverbindungen verwenden, wechseln Sie vor dem 1. Juni 2026 zur API-Version 2025-09-01, 2025-06-01 oder 2025-07-01-preview .

Betroffene API-Versionen

Die folgenden API-Versionen werden am 1. Juni 2026 eingestellt:

Vorschau der API-Versionen (zum Erweitern klicken)
  • 2021-03-01-preview
  • 2021-09-01-preview
  • 2021-10-01-preview
  • 2022-01-01-preview
  • 2022-04-01-preview
  • 2022-05-01-preview
  • 2022-06-01-preview
  • 2022-07-01-preview
  • 2022-08-01-preview
  • 2022-09-01-preview
  • 2022-10-01-preview
  • 2022-11-01-preview
  • 2022-12-01-preview
  • 2023-02-01-preview
  • 2023-03-01-preview
  • 2023-04-01-preview
  • 2023-05-01-preview
  • 2023-06-01-preview
  • 2023-07-01-preview
  • 2023-08-01-preview
  • 2023-09-01-preview
  • 2023-10-01-preview
  • 2023-11-01-preview
  • 2023-12-01-preview
  • 2024-01-01-preview
  • 2024-04-01-preview
  • 2024-10-01-preview
  • 2025-01-01-preview
  • 2025-04-01-preview
  • 2025-07-01-preview
Stabile API-Versionen (zum Erweitern klicken)
  • 2023-11-01
  • 2024-03-01
  • 2024-09-01
  • 2025-03-01

Empfohlene API-Versionen für die Verwendung:

  • 2025-09-01 (stabil)
  • 2025-06-01 (stabil)
  • 2025-07-01-preview (Vorschau)

Februar 2026

Microsoft Sentinel UEBA-Verhaltensebene ist jetzt allgemein verfügbar

Die UEBA-Verhaltensschicht in Microsoft Sentinel ist jetzt allgemein verfügbar und fasst klare, lesbare Verhaltenserkenntnisse aus großvolumigen, unformatierten Sicherheitsprotokollen zusammen. Die Verhaltensschicht aggregiert und sequenziert verwandte Ereignisse in normalisierte Verhaltensweisen, sodass Analysten schneller verstehen können, wer was mit wem gemacht hat, ohne dass sie die rohen Protokolle manuell korrelieren. Weitere Informationen finden Sie unter Übersetzen von unformatierten Sicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhalten in Microsoft Sentinel.

Sehen Sie sich das Webinar zu UEBA-Verhalten an, um eine vollständige Übersicht und Demo der UEBA-Verhaltensebene zu erhalten.

Neue UEBA-Verhaltensarbeitsmappe

Um SOC-Teams beim Nutzen von Verhaltensweisen vom ersten Tag an zu unterstützen, stellt Microsoft Sentinel jetzt die Verhaltensarbeitsmappe als Teil der UEBA Essentials-Lösung bereit. Die Arbeitsmappe bietet geführte Ansichten und vordefinierte, anpassbare Analysen, die umfangreiche Verhaltensdaten in verwertbare Einblicke in drei kernige SOC-Workflows umwandeln:

  • Übersicht: Allgemeine Metriken und Trends, die SOC-Managern und Führungskräften ein schnelles Situationsbewusstsein vermitteln
  • Untersuchung: Detaillierte, entitätsorientierte Zeitachsen, die Analysten helfen, die Reaktion auf Vorfälle zu beschleunigen
  • Hunting: Proaktive Bedrohungsermittlung für Bedrohungsjäger mithilfe von Anomalieerkennung und Angriffskettenanalyse

Weitere Informationen zur Arbeitsmappe finden Sie im Blogbeitrag Microsoft Sentinel Verhaltensarbeitsmappe.

Generieren von Playbooks mithilfe von KI in Microsoft Sentinel (Vorschau)

Sie können playbooks jetzt mithilfe von KI in Microsoft Sentinel generieren. Der SOAR-Playbook-Generator erstellt Python-basierte Automatisierungsworkflows, die über eine Konversationserfahrung mit Cline, einem KI-Codierungs-Agent, erstellt werden. Weitere Informationen finden Sie im Blogbeitrag Zur Playbookgenerierung.

Januar 2026

Neues UEBA-Widget (Entity Behavior Analytics) auf der Startseite des Defender-Portals (Vorschau)

Die Startseite des Defender-Portals enthält jetzt ein UEBA-Widget, in dem Analysten sofort Einblick in anomales Benutzerverhalten erhalten und somit Workflows zur Bedrohungserkennung beschleunigen können. Weitere Informationen finden Sie unter How UEBA empowers analysts and streamlines workflows (Wie UEBA Analysten unterstützt und Workflows optimiert).

Datum der Aktualisierung: Microsoft Sentinel im Azure-Portal, das im März 2027 eingestellt wird

Microsoft Sentinel ist allgemein im Microsoft Defender-Portal verfügbar, auch für Kunden ohne Microsoft Defender XDR oder E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal auch dann verwenden können, wenn Sie keine anderen Microsoft Defender-Dienste verwenden.

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar.

Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Weitere Informationen finden Sie unter:

UEBA-Verhaltensschicht aggregiert umsetzbare Erkenntnisse aus rohen Protokollen nahezu in Echtzeit (Vorschau)

Microsoft Sentinel führt eine UEBA-Verhaltensebene ein, die sicherheitsrelevante Protokolle mit hohem Volumen und niedriger Ebene im Defender-Portal in klare, lesbare Verhaltenserkenntnisse transformiert. Diese KI-gestützte Funktion aggregiert und sequenziert Rohereignisse aus unterstützten Datenquellen in normalisierte Verhaltensweisen, die erklären, "wer was mit wem gemacht hat" mit MITRE ATT&CK-Kontext.

Wie Verhalten die Lücke zwischen Warnungen und rohen Protokollen überbrücken

Eingehende rohe Protokolle sind zwar laut, nicht korreliert und schwer zu interpretieren, und Warnungen rufen Analysten auf, maßnahmen bei potenziellen Problemen zu ergreifen, aber UEBA-Verhaltensweisen fassen Verhaltensmuster zusammen – normal oder anormal – die aus unterstützten Datenquellen erfasst wurden. Dadurch wird eine Abstraktionsebene erstellt, die Daten für Untersuchungen, Hunting und Erkennung optimiert. Anstatt beispielsweise einzelne AWS CloudTrail-Ereignisse oder Firewallprotokolle zu analysieren, sehen Analysten ein Verhalten wie "Eingehende Remoteverwaltungssitzung von externer Adresse", das mehrere unformatierte Ereignisse zusammenfasst und diese bekannten Taktiken, Techniken und Prozeduren (TTPs) zuordnet.

UEBA-Verhalten:

  • Beschleunigen von Untersuchungen: Ermöglichen Sie eine schnellere Reaktion auf Vorfälle, indem Sie Verhaltensweisen aggregieren und sequenzieren, sodass analysten sich auf sinnvolle Aktionen konzentrieren können, anstatt Tausende von Ereignissen zu durchsuchen.
  • Umwandeln von verrauschten Telemetriedaten in umsetzbare Erkenntnisse: Konvertieren Sie fragmentierte Protokolle mit hohem Volumen in klare, lesbare Verhaltensbeobachtungen, um sicherheitsrelevante Ereignisse leichter zu verstehen.
  • Befähigen aller SOC-Personas: Verbessern Sie Workflows für SOC-Analysten, Bedrohungsjäger und Erkennungstechniker, indem Sie einheitliche Kontextansichten und Bausteine für Erkennungsregeln und Automatisierung bereitstellen.
  • Sicherstellen der Erklärbarkeit: Ordnen Sie MITRE ATT&CK-Taktiken, Entitätsrollen und rohen Protokollen zu, um die Rückverfolgbarkeit und Klarheit zu gewährleisten.

UEBA-Verhalten können unabhängig von der UEBA-Anomalieerkennung aktiviert werden.

Unterstützte Datenquellen während der öffentlichen Vorschau: AWS CloudTrail, CommonSecurityLog (CyberArk Vault, Palo Alto Threats) und GCPAuditLogs.

Weitere Informationen finden Sie unter Übersetzen von unformatierten Sicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhalten in Microsoft Sentinel.

Aktivieren von UEBA direkt über die Konfiguration des Datenconnectors (Vorschau)

Sie können jetzt UEBA für unterstützte Datenquellen direkt über die Konfigurationsseite des Datenconnectors aktivieren, um die Verwaltungszeit zu verkürzen und Abdeckungslücken zu vermeiden. Wenn Sie neue Connectors aktivieren, können Sie die Datenquelle in UEBA integrieren, ohne zu einer separaten Konfigurationsseite zu navigieren.

Mit dieser Integration können Sie sehen, welche Datenquellen in UEBA fließen, und diesen Feed direkt aus der Connectorkonfiguration aktivieren.

Weitere Informationen finden Sie unter Verbinden von Datenquellen mit Microsoft Sentinel mithilfe von Datenconnectors.

Neue Erkennungen für Sentinel Lösung für SAP BTP

Dieses Update erweitert die Erkennungsabdeckung für SAP BTP und stärkt den Einblick in die Steuerungsebene, Integration und Identitätsaktivitäten mit hohem Risiko.

  • SAP Integration Suite: Erkennt nicht autorisierte Änderungen an Integrationsartefakten, Zugriffsrichtlinien, JDBC-Datenquellen und Paketimporten, die Datenexfiltration oder Backdoors ermöglichen könnten.
  • SAP Cloud Identity Service: Überwacht Benutzerlöschungen, Berechtigungserteilungen und SAML/OIDC-Konfigurationsänderungen, die Authentifizierungssteuerungen schwächen oder dauerhaften Zugriff erzeugen.
  • SAP Build Work Zone: Identifiziert Massenlöschungen von Rollen und nicht autorisierten Zugriff auf eingeschränkte Portalressourcen.
  • SAP BTP-Überwachungsprotokollierung: Erkennt Lücken und Unterbrechungen bei der Erfassung von Überwachungsprotokollen, die die Sicherheitstransparenz verringern und heimliche Aktivitäten ermöglichen.

November 2025

Neue Benutzeroberfläche für Die Verhaltensanalyse von Entitäten (Entity Behavior Analytics, UEBA) im Defender-Portal (Vorschau)

Microsoft Sentinel führt neue UEBA-Erfahrungen im Defender-Portal ein und bringt Verhaltenserkenntnisse direkt in wichtige Analystenworkflows ein. Diese Verbesserungen helfen Analysten dabei, Untersuchungen zu priorisieren und den UEBA-Kontext effektiver anzuwenden.

Anomaliebezogene Benutzeruntersuchungen

Im Defender-Portal werden Benutzer mit Verhaltensanomalien automatisch mit UEBA-Anomalien gekennzeichnet, sodass Analysten schnell ermitteln können, welche Benutzer priorisiert werden sollen.

Analysten können die drei wichtigsten Anomalien der letzten 30 Tage in einem dedizierten Abschnitt Top UEBA-Anomalien anzeigen, verfügbar in:

  • Benutzerseitige Bereiche, auf die von verschiedenen Portalstandorten aus zugegriffen werden kann.
  • Die Registerkarte Übersicht der Benutzerentitätsseiten.

Dieser Abschnitt enthält auch direkte Links zu Anomalieabfragen und den Microsoft Sentinel Ereignissen Zeitleiste, die eine tiefere Untersuchung und schnellere Kontexterfassung ermöglichen.

Drilldown zu Benutzeranomalien aus Incidentdiagrammen

Analysten können schnell auf alle Anomalien zugreifen, die sich auf einen Benutzer beziehen, indem sie im Incidentdiagramm Die Option Go Hunt > All user anomalies (Alle Benutzeranomalien ) auswählen. Diese integrierte Abfrage bietet sofortigen UEBA-Kontext, um eine tiefergehende Untersuchung zu unterstützen.

Erweiterte Such- und benutzerdefinierte Erkennungsabfragen mit Verhaltenserkenntnissen

Erweiterte Such- und benutzerdefinierte Erkennungsfunktionen enthalten jetzt ein kontextbezogenes Banner, das Analysten auffordert, die Tabelle UEBA-Anomalien mit Abfragen zu verknüpfen, die UEBA-Datenquellen enthalten.

Für alle Features muss UEBA aktiviert sein, und der Arbeitsbereich gilt für den aktuell ausgewählten Arbeitsbereich.

Weitere Informationen finden Sie unter How UEBA empowers analysts and streamlines workflows (Wie UEBA Analysten unterstützt und Workflows optimiert).

SAP-Datenconnectors

Handlungsaufforderung: Aktualisieren von Abfragen und Automatisierung bis zum 1. Juli 2026 – standardisierte Benennung von Kontoentitäten in Incidents und Warnungen

Microsoft Sentinel aktualisiert, wie Kontoentitäten in Incidents und Warnungen identifiziert werden. Diese Änderung führt eine standardisierte Benennungslogik ein, um die Konsistenz und Zuverlässigkeit in Ihren Analyse- und Automatisierungsworkflows zu verbessern.

Wichtig

Diese Änderung kann sich auf Ihre Analyseregeln, Automatisierungsregeln, Playbooks, Arbeitsmappen, Huntingabfragen und benutzerdefinierten Integrationen auswirken.

Microsoft Sentinel wählen nun den zuverlässigsten Kontobezeichner mit der folgenden Priorität aus:

  1. UPN-Präfix – der Teil vor "@" in einem Benutzerprinzipalnamen

    • Beispiel: john.doe@contoso.comjohn.doe

  2. Name : Wird verwendet, wenn das UPN-Präfix nicht verfügbar ist.

  3. Anzeigename – Fallback, wenn beide oben aufgeführten fehlen

Aktualisieren Sie Ihre KQL-Abfragen und die Automatisierungslogik, um dem neuen Rangfolgen-fähigen Muster zu folgen. Verwenden Sie die coalesce()Funktion (/kusto/query/coalesce-function), um die Kompatibilität sicherzustellen:

coalesce(Account.UPNprefix, Account.Name, Account.DisplayName)

Testen Sie alle Änderungen in einem Nichtproduktionsarbeitsbereich, bevor Sie in der Produktion eingeführt werden.

Oktober 2025

Exportieren von STIX-Threat Intelligence-Objekten (Vorschau)

Microsoft Sentinel unterstützt jetzt das Exportieren von STIX-Threat Intelligence-Objekten an andere Ziele, z. B. externe Plattformen. Wenn Sie Threat Intelligence für Microsoft Sentinel von einer externen Plattform erfasst haben, z. B. bei Verwendung des Threat Intelligence - TAXII-Datenconnectors, können Sie threat intelligence zurück auf diese Plattform exportieren, um bidirektionale Intelligenzfreigabe zu ermöglichen. Diese neue Unterstützung bietet eine direkte und sichere Freigabe und reduziert die Notwendigkeit manueller Prozesse oder benutzerdefinierter Playbooks zum Verteilen von Threat Intelligence.

Das Exportieren von TI-Objekten wird derzeit nur für TAXII 2.1-basierte Plattformen unterstützt. Sie können sowohl über das Defender-Portal als auch über die Azure-Portal auf das Exportfeature zugreifen:

Weitere Informationen finden Sie unter:

September 2025

Microsoft Sentinel entwickelt sich zu einem SIEM und einer Plattform

Die Sicherheit wird für das KI-Zeitalter umgestaltet und geht über statische, regelbasierte Kontrollen und Reaktion nach Einer Sicherheitsverletzung hinaus hin zu einer plattformgesteuerten Verteidigung mit Maschinengeschwindigkeit. Um die Herausforderung fragmentierter Tools, ausufernder Signale und Legacyarchitekturen zu bewältigen, die nicht mit der Geschwindigkeit und Demkalierung moderner Angriffe übereinstimmen können, hat sich Microsoft Sentinel sowohl zu einem SIEM als auch zu einer Plattform entwickelt, die Daten für die agentische Verteidigung vereint. Dieses Update spiegelt Architekturverbesserungen wider, die KI-gesteuerte Sicherheitsvorgänge im großen Stil unterstützen. Weitere Informationen finden Sie unter Was ist Microsoft Sentinel?

Wichtige Ergänzungen sind Microsoft Sentinel Data Lake, Microsoft Sentinel Graph und Microsoft Sentinel MCP-Server (Model Context Protocol), wie unten beschrieben.

Microsoft Sentinel Data Lake ist jetzt allgemein verfügbar (GA)

Eine skalierbare, kosteneffiziente Grundlage für die langfristige Datenaufbewahrung und multimodale Analysen. Microsoft Sentinel Data Lake ermöglicht Es Organisationen, Sicherheitsdaten quellenübergreifend zu vereinheitlichen und erweiterte Analysen ohne Infrastrukturaufwand auszuführen.

Weitere Informationen finden Sie unter Microsoft Sentinel Data Lake.

Microsoft Sentinel Graph (Vorschau)

Einheitliche Graphanalysen für tiefere Kontext- und Bedrohungsargumente. Microsoft Sentinel graph modelliert Beziehungen zwischen Benutzern, Geräten und Aktivitäten, um komplexe Bedrohungsuntersuchungen und Analysen vor und nach Sicherheitsverletzungen zu unterstützen.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Graph? (Vorschau).

Microsoft Sentinel MCP-Server (Model Context Protocol) (Vorschau)

Eine gehostete Schnittstelle zum Erstellen intelligenter Agents in natürlicher Sprache. Microsoft Sentinel MCP-Server vereinfacht die Agent-Erstellung und Datenuntersuchung, da Techniker Sicherheitsdaten abfragen und ermitteln können, ohne Schemakenntnisse zu benötigen.

Weitere Informationen finden Sie unter Übersicht über das Modellkontextprotokoll (Model Context Protocol, MCP).

Neue Datenquellen für erweiterte Benutzer- und Entitätsverhaltensanalyse (UEBA) (Vorschau)

Microsoft Sentinel UEBA ermöglicht SOC-Teams die KI-gestützte Anomalieerkennung basierend auf Verhaltenssignalen in Ihrem Mandanten. Sie hilft bei der Priorisierung von Bedrohungen mithilfe dynamischer Baselines, Peervergleiche und angereicherter Entitätsprofile.

UEBA unterstützt jetzt die Anomalieerkennung mithilfe von sechs neuen Datenquellen:

  • Microsoft-Authentifizierungsquellen:

    Diese Quellen bieten einen tieferen Einblick in das Identitätsverhalten in Ihrer Microsoft-Umgebung.

    • Microsoft Defender XDR Geräteanmeldungsereignisse: Erfassen Sie Anmeldeaktivitäten von Endpunkten, um Lateral Movement, ungewöhnliche Zugriffsmuster oder kompromittierte Geräte zu identifizieren.
    • Microsoft Entra ID Anmeldeprotokolle für verwaltete Identitäten: Nachverfolgen von Anmeldungen durch verwaltete Identitäten, die in der Automatisierung verwendet werden, z. B. Skripts und Dienste. Dies ist entscheidend für das Erkennen des automatischen Missbrauchs von Dienstidentitäten.
    • Microsoft Entra ID Anmeldeprotokolle des Dienstprinzipals: Überwachen Sie Anmeldungen von Dienstprinzipalen , die häufig von Apps oder Skripts verwendet werden, um Anomalien wie unerwartete Zugriffs- oder Berechtigungsausweitung zu erkennen.

  • Cloud- und Identitätsverwaltungsplattformen von Drittanbietern:

    UEBA ist jetzt in führende Cloud- und Identitätsverwaltungsplattformen integriert, um die Erkennung von Identitätskompromittierung, Missbrauch von Berechtigungen und riskanten Zugriffsverhalten in Multicloudumgebungen zu verbessern.

    • AWS CloudTrail-Anmeldeereignisse: Kennzeichnen Sie riskante Anmeldeversuche in Amazon Web Services (AWS), z. B. fehlgeschlagene mehrstufige Authentifizierung (MFA) oder die Verwendung des Stammkontos – kritische Indikatoren für eine potenzielle Kontogefährdung.
    • GCP-Überwachungsprotokolle – Fehlgeschlagene IAM-Zugriffsereignisse: Erfassen Sie verweigerte Zugriffsversuche in Google Cloud Platform, um Berechtigungsausweitungsversuche oder falsch konfigurierte Rollen zu identifizieren.
    • Okta MFA- und Authentifizierungssicherheitsänderungen: Surface MFA fordert und ändert Authentifizierungsrichtlinien in Okta – Signale, die auf gezielte Angriffe oder Identitätsmanipulationen hinweisen können.

Diese neuen Quellen verbessern die Fähigkeit von UEBA, Bedrohungen in Microsoft- und Hybridumgebungen basierend auf angereicherten Benutzer-, Geräte- und Dienstidentitätsdaten, verbessertem Verhaltenskontext und neuen funktionen zur plattformübergreifenden Anomalieerkennung zu erkennen.

Um die neuen Datenquellen zu aktivieren, müssen Sie im Defender-Portal integriert sein.

Weitere Informationen finden Sie unter:

August 2025

Bearbeiten von Arbeitsmappen direkt im Microsoft Defender-Portal (Vorschau)

Jetzt können Sie Microsoft Sentinel Arbeitsmappen direkt im Microsoft Defender-Portal erstellen und bearbeiten. Diese Verbesserung optimiert Ihren Workflow, ermöglicht es Ihnen, Ihre Arbeitsmappen effizienter zu verwalten und die Arbeitsmappenerfahrung enger an der Benutzeroberfläche im Azure-Portal auszurichten.

Microsoft Sentinel Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen und helfen Ihnen, die in Microsoft Sentinel erfassten Daten zu visualisieren und zu überwachen. Arbeitsmappen fügen Tabellen und Diagramme mit Analysen für Ihre Protokolle und Abfragen zu den bereits verfügbaren Tools hinzu.

Arbeitsmappen sind im Defender-Portal unter Microsoft Sentinel > Arbeitsmappen zur Bedrohungsverwaltung >verfügbar. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.

Juli 2025

Microsoft Sentinel Data Lake

Microsoft Sentinel wurde jetzt um einen modernen Data Lake erweitert, der zur Optimierung der Datenverwaltung, Kostensenkung und Beschleunigung der KI-Einführung für Sicherheitsteams entwickelt wurde. Der neue Microsoft Sentinel Data Lake bietet kostengünstige, langfristige Speicherung und entfällt die Notwendigkeit, zwischen Erschwinglichkeit und robuster Sicherheit zu wählen. Sicherheitsteams erhalten eine tiefere Transparenz und schnellere Lösung von Vorfällen, alles innerhalb der vertrauten Microsoft Sentinel Erfahrung, die durch die nahtlose Integration mit erweiterten Datenanalysetools erweitert wird.

Zu den wichtigsten Vorteilen der Microsoft Sentinel Data Lake gehören: + Kopie von Daten im offenen Format für effizienten und kostengünstigen Speicher +Trennung von Speicher und Compute für mehr Flexibilität + Unterstützung mehrerer Analyse-Engines, um tiefere Erkenntnisse aus Ihren Sicherheitsdaten zu gewinnen + Native Integration mit Microsoft Sentinel, einschließlich der Möglichkeit, tiering für Protokolldaten über Analyse- und Lake-Ebenen auszuwählen. Weitere Informationen finden Sie unter

Erkunden Sie den Data Lake mithilfe von KQL-Abfragen, oder verwenden Sie das neue Microsoft Sentinel Data Lake Notebook für VS Code, um Ihre Daten zu visualisieren und zu analysieren.

Weitere Informationen finden Sie unter:

Tabellenverwaltungs- und Aufbewahrungseinstellungen im Microsoft Defender-Portal

Tabellenverwaltungs- und Aufbewahrungseinstellungen sind jetzt in den Microsoft Defender-Portalen verfügbar. Sie können Tabelleneinstellungen im Microsoft Defender-Portal anzeigen und verwalten, einschließlich Aufbewahrungseinstellungen für Microsoft Sentinel und Defender XDR Tabellen, und zwischen Analyse- und Data Lake-Ebenen wechseln.

Weitere Informationen finden Sie unter:

Microsoft Sentinel Data Lake-Berechtigungen, die in Microsoft Defender XDR einheitliche rBAC integriert sind

Ab Juli 2025 werden Microsoft Sentinel Data Lake-Berechtigungen über Microsoft Defender XDR einheitliche RBAC bereitgestellt. Unterstützung für einheitliche RBAC ist zusätzlich zur Unterstützung durch globale Microsoft Entra ID Rollen verfügbar.

Weitere Informationen finden Sie unter:

Nur für Neukunden: Automatisches Onboarding und Umleitung zum Microsoft Defender-Portal

Für dieses Update sind neue Microsoft Sentinel Kunden, die den ersten Arbeitsbereich in ihrem Mandanten in Microsoft Sentinel am oder nach dem 1. Juli 2025 integrieren.

Ab dem 1. Juli 2025 lassen neue Kunden, die über die Berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators verfügen und auch keine Azure von Lighthouse delegierten Benutzern sind, ihre Arbeitsbereiche automatisch in das Defender-Portal integriert werden, zusammen mit dem Onboarding in Microsoft Sentinel. Benutzer solcher Arbeitsbereiche, die auch keine Azure lighthouse-delegierten Benutzer sind, sehen Links in Microsoft Sentinel im Azure-Portal, die sie zum Defender-Portal umleiten. Diese Benutzer verwenden Microsoft Sentinel nur im Defender-Portal.

Screenshot: Umleitungslinks im Azure-Portal zum Defender-Portal.

Neue Kunden, die nicht über relevante Berechtigungen verfügen, werden nicht automatisch in das Defender-Portal integriert, aber sie sehen weiterhin Umleitungslinks im Azure-Portal zusammen mit Aufforderungen, einen Benutzer mit relevanten Berechtigungen manuell in das Defender-Portal zu integrieren.

Diese Änderung optimiert den Onboardingprozess und stellt sicher, dass neue Kunden sofort die Funktionen für einheitliche Sicherheitsvorgänge nutzen können, ohne den zusätzlichen Schritt des manuellen Onboardings ihrer Arbeitsbereiche zu nutzen.

Weitere Informationen finden Sie unter:

Keine Beschränkung für die Anzahl der Arbeitsbereiche, die Sie in das Defender-Portal integrieren können

Es gibt keine Beschränkung mehr für die Anzahl von Arbeitsbereichen, die Sie in das Defender-Portal integrieren können.

Einschränkungen gelten weiterhin für die Anzahl von Arbeitsbereichen, die Sie in eine Log Analytics-Abfrage einschließen können, sowie für die Anzahl der Arbeitsbereiche, die Sie in eine geplante Analyseregel einschließen können oder sollten.

Weitere Informationen finden Sie unter:

Microsoft Sentinel im Azure-Portal im Juli 2026 eingestellt

Microsoft Sentinel ist allgemein im Microsoft Defender-Portal verfügbar, auch für Kunden ohne Microsoft Defender XDR oder E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal auch dann verwenden können, wenn Sie keine anderen Microsoft Defender-Dienste verwenden.

Ab Juli 2026 werden Microsoft Sentinel nur noch im Defender-Portal unterstützt, und alle verbleibenden Kunden, die die Azure-Portal verwenden, werden automatisch umgeleitet.

Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Weitere Informationen finden Sie unter:

Juni 2025

Codeless Connector Platform (CCP) umbenannt in Codeless Connector Framework (CCF)

Die Microsoft Sentinel Codeless Connector Platform (CCP) wurde in Codeless Connector Framework (CCF) umbenannt. Der neue Name spiegelt die Entwicklung der Plattform wider und vermeidet Verwechslungen mit anderen plattformorientierten Diensten und bietet gleichzeitig die gleiche Benutzerfreundlichkeit und Flexibilität, die benutzer erwartet haben.

Weitere Informationen finden Sie unter Erstellen eines Connectors ohne Code für Microsoft Sentinel.

Referenz zum konsolidierten Microsoft Sentinel-Datenconnector

Wir haben die Referenzdokumentation zu Connectors konsolidiert und die separaten Connectorartikel in einer einzigen, umfassenden Referenztabelle zusammengeführt.

Die neue Connectorreferenz finden Sie unter Microsoft Sentinel Datenconnectors. Weitere Informationen finden Sie unter Erstellen eines codelosen Connectors und Entsperren des Potenzials des codelosen Connectorframeworks von Microsoft Sentinel und schnelleren Microsoft Sentinel.

Zusammenfassungsregelvorlagen jetzt in der öffentlichen Vorschau

Sie können jetzt Zusammenfassungsregelvorlagen verwenden, um vordefinierte Zusammenfassungsregeln bereitzustellen, die auf gängige Sicherheitsszenarien zugeschnitten sind. Diese Vorlagen helfen Ihnen, große Datasets effizient zu aggregieren und zu analysieren, erfordern keine umfassenden Kenntnisse, verkürzen die Einrichtungszeit und stellen bewährte Methoden sicher. Weitere Informationen finden Sie unter Aggregieren Microsoft Sentinel Daten mit Zusammenfassungsregeln (Vorschau).

Mai 2025

Alle Microsoft Sentinel Anwendungsfälle allgemein im Defender-Portal verfügbar

Alle Microsoft Sentinel Anwendungsfälle, die allgemein verfügbar sind, einschließlich mehrinstanzenfähiger und arbeitsbereichsübergreifender Funktionen sowie Unterstützung für alle öffentlichen und kommerziellen Clouds, werden jetzt auch für die allgemeine Verfügbarkeit im Defender-Portal unterstützt.

Es wird empfohlen, dass Sie Ihre Arbeitsbereiche in das Defender-Portal integrieren , um einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter:

Weitere Informationen finden Sie unter:

Unified IdentityInfo-Tabelle

Kunden von Microsoft Sentinel im Defender-Portal, die UEBA aktiviert haben, können jetzt eine neue Version der IdentityInfo-Tabelle nutzen, die sich im Abschnitt Erweiterte Suche des Defender-Portals befindet und den größtmöglichen Satz von Feldern enthält, die sowohl für das Defender- als auch für Azure-Portal gemeinsam sind. Diese einheitliche Tabelle trägt dazu bei, Ihre Sicherheitsuntersuchungen im gesamten Defender-Portal zu erweitern.

Weitere Informationen finden Sie unter IdentityInfo-Tabelle.

Ergänzungen zur SOC-Optimierungsunterstützung (Vorschau)

SOC-Optimierungsunterstützung für:

  • AI MITRE ATT&CK-Taggingempfehlungen (Vorschau): Verwendet künstliche Intelligenz, um das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken vorzuschlagen.
  • Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich betrieblicher, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.

Weitere Informationen finden Sie in der Referenz zur SOC-Optimierung.

April 2025

Microsoft Sentinel Lösung für Microsoft Business Apps allgemein verfügbar im Azure-Portal

Die Microsoft Sentinel-Lösung für Microsoft Business Apps ist jetzt allgemein im Azure-Portal verfügbar.

Security Copilot generiert Incidentzusammenfassungen in Microsoft Sentinel im Azure-Portal (Vorschau)

Microsoft Sentinel in der Azure-Portal jetzt features (in der Vorschau) Incidentzusammenfassungen, die von Security Copilot generiert wurden, und bringen sie in Einklang mit dem Defender-Portal. Diese Zusammenfassungen geben Ihren Sicherheitsanalysten die Vorabinformationen, die sie benötigen, um schnell zu verstehen, zu selektieren und mit der Untersuchung der Entwicklung von Vorfällen zu beginnen.

Weitere Informationen finden Sie unter Zusammenfassen Microsoft Sentinel Incidents mit Security Copilot.

Unterstützung für mehrere Arbeitsbereiche und mehrinstanzenfähige Microsoft Sentinel im Defender-Portal (Vorschau)

Stellen Sie für die Vorschau im Defender-Portal eine Verbindung mit einem primären Arbeitsbereich und mehreren sekundären Arbeitsbereichen für Microsoft Sentinel her. Wenn Sie Microsoft Sentinel mit Defender XDR integrieren, werden die Warnungen eines primären Arbeitsbereichs mit Defender XDR Daten korreliert. Incidents umfassen also Warnungen aus dem primären Arbeitsbereich und Defender XDR von Microsoft Sentinel. Alle anderen integrierten Arbeitsbereiche werden als sekundäre Arbeitsbereiche betrachtet. Incidents werden basierend auf den Daten des Arbeitsbereichs erstellt und enthalten keine Defender XDR Daten.

  • Wenn Sie Microsoft Sentinel im Defender-Portal ohne Defender XDR verwenden möchten, können Sie mehrere Arbeitsbereiche verwalten. Der primäre Arbeitsbereich enthält jedoch keine Defender XDR Daten, und Sie haben keinen Zugriff auf Defender XDR Funktionen.
  • Wenn Sie mit mehreren Mandanten und mehreren Arbeitsbereichen pro Mandant arbeiten, können Sie auch Microsoft Defender mehrinstanzenfähige Verwaltung verwenden, um Incidents und Warnungen anzuzeigen und in der erweiterten Suche nach Daten sowohl für mehrere Arbeitsbereiche als auch für Mandanten zu suchen.

Weitere Informationen finden Sie in den folgenden Artikeln:

Microsoft Sentinel erfasst jetzt alle STIX-Objekte und -Indikatoren in neuen Threat Intelligence-Tabellen (Vorschau)

Microsoft Sentinel erfasst jetzt STIX-Objekte und -Indikatoren in den neuen Threat Intelligence-Tabellen ThreatIntelIndicators und ThreatIntelObjects. Die neuen Tabellen unterstützen das neue STIX 2.1-Schema, mit dem Sie verschiedene Threat Intelligence-Objekte wie identity, attack-pattern, threat-actorund erfassen und relationshipabfragen können.

Microsoft Sentinel erfasst alle Bedrohungsinformationen in den neuen ThreatIntelIndicators Tabellen und ThreatIntelObjects und erfasst die gleichen Daten bis zum 31. Juli 2025 in der LegacytabelleThreatIntelligenceIndicator.

Aktualisieren Sie Ihre benutzerdefinierten Abfragen, Analyse- und Erkennungsregeln, Arbeitsmappen und Automatisierungen bis zum 31. Juli 2025, um die neuen Tabellen zu verwenden. Nach diesem Datum wird Microsoft Sentinel die Erfassung von Daten in der Legacytabelle ThreatIntelligenceIndicator beenden. Wir aktualisieren alle sofort einsatzbereiten Threat Intelligence-Lösungen im Content Hub, um die neuen Tabellen zu nutzen.

Weitere Informationen finden Sie in den folgenden Artikeln:

SOC-Optimierungsunterstützung für nicht verwendete Spalten (Vorschau)

Um Ihr Kosten-/Sicherheits-Wert-Verhältnis zu optimieren, werden bei der SOC-Optimierung kaum genutzte Datenconnectors oder Tabellen angezeigt. Die SOC-Optimierung zeigt jetzt nicht verwendete Spalten in Ihren Tabellen an. Weitere Informationen finden Sie unter SOC-Optimierungsreferenz zu Empfehlungen.

Nächste Schritte

Azure Sentinel an Bord

Erhalten von Einblicken in Warnungen

  • Last updated on