[Einleitung]
Wir führen geplante Breaking Changes bei einigen Advanced Security Information Model (ASIM) KQL-Funktionen ein, die in Microsoft Sentinel for Developers verwendet werden. Diese Änderungen bringen die Parameter in Einklang mit der Dokumentation, um Konsistenz und Leistung zu verbessern.
[Wann dies geschieht]
Der Zeitpunkt der Einführung ist noch nicht festgelegt.
Wir werden diesen Beitrag im Message Center mit den genauen Start- und Enddaten aktualisieren, sobald diese bestätigt sind.
[Auswirkungen auf Ihre Organisation]
Wer ist betroffen
- Organisationen, die ASIM- oder Normalisierungs-KQL-Funktionen in Microsoft Sentinel for Developers verwenden
- Sicherheitsteams und Partner, die Erkennungen und Analyseregeln erstellen oder pflegen, welche auf diesen Funktionen basieren
Was passiert (19. April)
- Wir aktualisieren _Im_ProcessCreate mit dem korrekten Parameter, sodass sowohl targetusername als auch targetusername_has akzeptiert werden.
- Dies gibt Partnern Zeit, ihre Erkennungen und KQL-Abfragen auf den Parameternamen targetusername_has umzustellen, ohne bestehende Anwendungen zu unterbrechen.
Was passiert (25. Mai oder später)
- Nachdem ausreichend Zeit verstrichen ist und die Nutzungs-Telemetrie bestätigt hat, dass targetusername nicht verwendet wird, werden wir targetusername als Parameter entfernen.
[Was Sie zur Vorbereitung tun können]
- Überprüfen Sie Erkennungen und Analyseregeln, die ASIM- oder Normalisierungsfunktionen nutzen.
- Aktualisieren Sie Abfragen, um targetusername_has zu verwenden.
- Testen Sie die aktualisierten Erkennungen vor der Einführung.
- Informieren Sie Teams oder Partner, die Sentinel-Erkennungen pflegen.
Weitere Informationen: The Advanced Security Information Model (ASIM) Process Event normalization schema reference | Microsoft Sentinel | Security | Azure | Microsoft Learn
[Compliance-Überlegungen]
Es wurden keine Compliance-Bedenken festgestellt. Prüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.
