Microsoft Sentinel
Qu'est-ce que Microsoft Sentinel ?
Microsoft SentinelService SIEM et SOAR cloud-native de Microsoft sur Azure, interrogeant les logs en Kusto Query Language (KQL) et integre nativement a Microsoft 365 Defender et aux sources de donnees Azure.
Microsoft Sentinel est un SIEM et SOAR SaaS construit sur les workspaces Azure Log Analytics et Azure Monitor, lance par Microsoft en 2019 (initialement Azure Sentinel) et renomme en 2021. Les analystes interrogent les donnees en Kusto Query Language (KQL), creent des regles analytiques, des regles NRT (near-real-time) et des requetes de hunting, et orchestrent la reponse via des playbooks Logic Apps. Sentinel ingere des donnees depuis plus de 200 connecteurs de contenu (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personnalisees), mappe les detections sur MITRE ATT&CK et expose les incidents dans un portail XDR unifie avec Defender XDR. La facturation se fait au Go ingere avec des paliers de commitment et l'integration de Microsoft Copilot for Security.
● Exemples
- 01
Ecrire une regle analytique KQL alertant lorsqu'une connexion Entra ID en impossible travel suit un burst de MFA push spam.
- 02
Declencher un playbook Logic Apps pour isoler un poste via Defender for Endpoint quand un incident Sentinel atteint la severite High.
● Questions fréquentes
Qu'est-ce que Microsoft Sentinel ?
Service SIEM et SOAR cloud-native de Microsoft sur Azure, interrogeant les logs en Kusto Query Language (KQL) et integre nativement a Microsoft 365 Defender et aux sources de donnees Azure. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Microsoft Sentinel ?
Service SIEM et SOAR cloud-native de Microsoft sur Azure, interrogeant les logs en Kusto Query Language (KQL) et integre nativement a Microsoft 365 Defender et aux sources de donnees Azure.
Comment fonctionne Microsoft Sentinel ?
Microsoft Sentinel est un SIEM et SOAR SaaS construit sur les workspaces Azure Log Analytics et Azure Monitor, lance par Microsoft en 2019 (initialement Azure Sentinel) et renomme en 2021. Les analystes interrogent les donnees en Kusto Query Language (KQL), creent des regles analytiques, des regles NRT (near-real-time) et des requetes de hunting, et orchestrent la reponse via des playbooks Logic Apps. Sentinel ingere des donnees depuis plus de 200 connecteurs de contenu (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personnalisees), mappe les detections sur MITRE ATT&CK et expose les incidents dans un portail XDR unifie avec Defender XDR. La facturation se fait au Go ingere avec des paliers de commitment et l'integration de Microsoft Copilot for Security.
Comment se défendre contre Microsoft Sentinel ?
Les défenses contre Microsoft Sentinel combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Microsoft Sentinel ?
Noms alternatifs courants : Azure Sentinel, MS Sentinel.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Plateforme de sécurité qui unifie la télémétrie des postes, du réseau, de l'identité, de la messagerie et du cloud pour fournir des détections corrélées et des actions de réponse intégrées.
- defense-ops№ 1080
Splunk Enterprise Security
Solution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite.
- defense-ops№ 448
Google Chronicle SecOps
SIEM et SOAR cloud-native de Google Cloud (ex-Backstory) qui stocke des telemetries a l'echelle du petaoctet a un tarif forfaitaire par employe et les interroge avec le langage de detection YARA-L.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.