Microsoft Sentinel
¿Qué es Microsoft Sentinel?
Microsoft SentinelServicio SIEM y SOAR cloud-native de Microsoft en Azure, que consulta logs con Kusto Query Language (KQL) y se integra nativamente con Microsoft 365 Defender y orígenes de datos de Azure.
Microsoft Sentinel es un SIEM y SOAR SaaS construido sobre Azure Log Analytics y Azure Monitor, lanzado por Microsoft en 2019 (originalmente como Azure Sentinel) y renombrado en 2021. Los analistas consultan datos con Kusto Query Language (KQL), crean reglas analiticas, reglas near-real-time (NRT) y consultas de hunting, y orquestan la respuesta mediante playbooks de Logic Apps. Sentinel ingiere datos a traves de mas de 200 connectores de contenido (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personalizadas), mapea detecciones a MITRE ATT&CK y muestra incidentes en un portal XDR unificado junto a Defender XDR. Se factura por gigabyte ingerido con tramos de compromiso e integra Microsoft Copilot for Security.
● Ejemplos
- 01
Escribir una regla analitica KQL para alertar cuando un inicio de sesion Entra ID con patron de viaje imposible llega tras un MFA push spam.
- 02
Disparar un playbook de Logic Apps para aislar un dispositivo en Defender for Endpoint cuando un incidente de Sentinel alcanza severidad alta.
● Preguntas frecuentes
¿Qué es Microsoft Sentinel?
Servicio SIEM y SOAR cloud-native de Microsoft en Azure, que consulta logs con Kusto Query Language (KQL) y se integra nativamente con Microsoft 365 Defender y orígenes de datos de Azure. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Microsoft Sentinel?
Servicio SIEM y SOAR cloud-native de Microsoft en Azure, que consulta logs con Kusto Query Language (KQL) y se integra nativamente con Microsoft 365 Defender y orígenes de datos de Azure.
¿Cómo funciona Microsoft Sentinel?
Microsoft Sentinel es un SIEM y SOAR SaaS construido sobre Azure Log Analytics y Azure Monitor, lanzado por Microsoft en 2019 (originalmente como Azure Sentinel) y renombrado en 2021. Los analistas consultan datos con Kusto Query Language (KQL), crean reglas analiticas, reglas near-real-time (NRT) y consultas de hunting, y orquestan la respuesta mediante playbooks de Logic Apps. Sentinel ingiere datos a traves de mas de 200 connectores de contenido (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personalizadas), mapea detecciones a MITRE ATT&CK y muestra incidentes en un portal XDR unificado junto a Defender XDR. Se factura por gigabyte ingerido con tramos de compromiso e integra Microsoft Copilot for Security.
¿Cómo defenderse de Microsoft Sentinel?
Las defensas contra Microsoft Sentinel combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Microsoft Sentinel?
Nombres alternativos comunes: Azure Sentinel, MS Sentinel.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
- defense-ops№ 1254
XDR (Detección y Respuesta Extendidas)
Plataforma de seguridad que unifica telemetría de endpoint, red, identidad, correo y nube para entregar detecciones correlacionadas y acciones de respuesta integradas.
- defense-ops№ 1080
Splunk Enterprise Security
Solucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad.
- defense-ops№ 448
Google Chronicle SecOps
SIEM y SOAR cloud-native de Google Cloud (antes Backstory) que almacena telemetria a escala de petabytes con precio plano por empleado y la consulta con el lenguaje de deteccion YARA-L.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.