Microsoft Sentinel
Was ist Microsoft Sentinel?
Microsoft SentinelCloud-nativer SIEM- und SOAR-Dienst von Microsoft auf Azure, der Logs mit Kusto Query Language (KQL) abfragt und sich nativ in Microsoft 365 Defender und Azure-Datenquellen integriert.
Microsoft Sentinel ist ein SaaS-SIEM und -SOAR auf Basis von Azure-Log-Analytics-Workspaces und Azure Monitor, das Microsoft 2019 als Azure Sentinel veroffentlichte und 2021 umbenannte. Analystinnen und Analysten formulieren Abfragen in Kusto Query Language (KQL), erstellen Analytics-Rules, Near-Real-Time-(NRT-)Regeln und Hunting-Queries und orchestrieren die Reaktion uber Logic-Apps-Playbooks. Sentinel ingestiert Daten uber mehr als 200 Content-Connectoren (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, Custom Data Collection Rules), mappt Detektionen auf MITRE ATT&CK und stellt Incidents im vereinheitlichten XDR-Portal mit Defender XDR dar. Abrechnung pro ingestiertem Gigabyte mit Commitment-Tiers und Integration in Microsoft Copilot for Security.
● Beispiele
- 01
Eine KQL-Analytics-Rule, die alarmiert, wenn ein Entra-ID-Login im Impossible-Travel-Muster auf MFA-Push-Spam folgt.
- 02
Ein Logic-Apps-Playbook, das ein Geraet uber Defender for Endpoint isoliert, sobald ein Sentinel-Incident High-Severity erreicht.
● Häufige Fragen
Was ist Microsoft Sentinel?
Cloud-nativer SIEM- und SOAR-Dienst von Microsoft auf Azure, der Logs mit Kusto Query Language (KQL) abfragt und sich nativ in Microsoft 365 Defender und Azure-Datenquellen integriert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Microsoft Sentinel?
Cloud-nativer SIEM- und SOAR-Dienst von Microsoft auf Azure, der Logs mit Kusto Query Language (KQL) abfragt und sich nativ in Microsoft 365 Defender und Azure-Datenquellen integriert.
Wie funktioniert Microsoft Sentinel?
Microsoft Sentinel ist ein SaaS-SIEM und -SOAR auf Basis von Azure-Log-Analytics-Workspaces und Azure Monitor, das Microsoft 2019 als Azure Sentinel veroffentlichte und 2021 umbenannte. Analystinnen und Analysten formulieren Abfragen in Kusto Query Language (KQL), erstellen Analytics-Rules, Near-Real-Time-(NRT-)Regeln und Hunting-Queries und orchestrieren die Reaktion uber Logic-Apps-Playbooks. Sentinel ingestiert Daten uber mehr als 200 Content-Connectoren (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, Custom Data Collection Rules), mappt Detektionen auf MITRE ATT&CK und stellt Incidents im vereinheitlichten XDR-Portal mit Defender XDR dar. Abrechnung pro ingestiertem Gigabyte mit Commitment-Tiers und Integration in Microsoft Copilot for Security.
Wie schützt man sich gegen Microsoft Sentinel?
Schutzmaßnahmen gegen Microsoft Sentinel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Microsoft Sentinel?
Übliche alternative Bezeichnungen: Azure Sentinel, MS Sentinel.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 1062
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Sicherheitsplattform, die Telemetrie aus Endpoint, Netzwerk, Identity, E-Mail und Cloud vereint und korrelative Erkennung mit integrierten Response-Aktionen kombiniert.
- defense-ops№ 1080
Splunk Enterprise Security
Kommerzielle SIEM-Losung von Splunk Inc. (2024 von Cisco ubernommen), die Maschinendaten uber Splunk Processing Language (SPL) ingestiert, indiziert und korreliert.
- defense-ops№ 448
Google Chronicle SecOps
Cloud-natives SIEM und SOAR von Google Cloud (vormals Backstory), das Telemetrie im Petabyte-Massstab zu einem pauschalen Preis pro Mitarbeiter speichert und mit der YARA-L-Detektionssprache abfragt.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.