Microsoft Sentinel
O que é Microsoft Sentinel?
Microsoft SentinelServico SIEM e SOAR cloud-native da Microsoft em Azure, que consulta logs com Kusto Query Language (KQL) e integra nativamente com Microsoft 365 Defender e fontes de dados Azure.
O Microsoft Sentinel e um SIEM e SOAR SaaS construido sobre workspaces Azure Log Analytics e Azure Monitor, lancado pela Microsoft em 2019 (inicialmente como Azure Sentinel) e renomeado em 2021. Os analistas consultam dados em Kusto Query Language (KQL), criam regras analiticas, regras near-real-time (NRT) e consultas de hunting, e orquestram a resposta atraves de playbooks Logic Apps. O Sentinel ingere dados atraves de mais de 200 conectores de conteudo (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personalizadas), mapeia detecoes para MITRE ATT&CK e apresenta incidentes num portal XDR unificado com o Defender XDR. E faturado por gigabyte ingerido com tiers de commitment e integra-se ao Microsoft Copilot for Security.
● Exemplos
- 01
Escrever uma regra analitica KQL para alertar quando um sign-in Entra ID com padrao de viagem impossivel surge apos um surto de MFA push spam.
- 02
Disparar um playbook Logic Apps para isolar um dispositivo via Defender for Endpoint quando um incidente Sentinel atinge severidade alta.
● Perguntas frequentes
O que é Microsoft Sentinel?
Servico SIEM e SOAR cloud-native da Microsoft em Azure, que consulta logs com Kusto Query Language (KQL) e integra nativamente com Microsoft 365 Defender e fontes de dados Azure. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Microsoft Sentinel?
Servico SIEM e SOAR cloud-native da Microsoft em Azure, que consulta logs com Kusto Query Language (KQL) e integra nativamente com Microsoft 365 Defender e fontes de dados Azure.
Como funciona Microsoft Sentinel?
O Microsoft Sentinel e um SIEM e SOAR SaaS construido sobre workspaces Azure Log Analytics e Azure Monitor, lancado pela Microsoft em 2019 (inicialmente como Azure Sentinel) e renomeado em 2021. Os analistas consultam dados em Kusto Query Language (KQL), criam regras analiticas, regras near-real-time (NRT) e consultas de hunting, e orquestram a resposta atraves de playbooks Logic Apps. O Sentinel ingere dados atraves de mais de 200 conectores de conteudo (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, data collection rules personalizadas), mapeia detecoes para MITRE ATT&CK e apresenta incidentes num portal XDR unificado com o Defender XDR. E faturado por gigabyte ingerido com tiers de commitment e integra-se ao Microsoft Copilot for Security.
Como se defender contra Microsoft Sentinel?
As defesas contra Microsoft Sentinel costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Microsoft Sentinel?
Nomes alternativos comuns: Azure Sentinel, MS Sentinel.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 1062
SOAR
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Plataforma de segurança que unifica telemetria de endpoint, rede, identidade, e-mail e nuvem para entregar deteções correlacionadas e ações de resposta integradas.
- defense-ops№ 1080
Splunk Enterprise Security
Solucao SIEM comercial da Splunk Inc. (adquirida pela Cisco em 2024) que ingere, indexa e correlaciona dados de maquina usando Splunk Processing Language (SPL) para monitorizacao e investigacao de seguranca.
- defense-ops№ 448
Google Chronicle SecOps
SIEM e SOAR cloud-native do Google Cloud (antes Backstory) que armazena telemetria a escala de petabytes com preco fixo por empregado e a consulta com a linguagem de detecao YARA-L.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.