Microsoft Sentinel
Что такое Microsoft Sentinel?
Microsoft SentinelОблачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure.
Microsoft Sentinel — это SaaS-SIEM/SOAR, построенный поверх рабочих областей Azure Log Analytics и Azure Monitor, выпущенный Microsoft в 2019 году (под именем Azure Sentinel) и переименованный в 2021-м. Аналитики запрашивают данные на Kusto Query Language (KQL), создают аналитические правила, правила near-real-time (NRT) и охотничьи запросы, оркестрируют реагирование с помощью плейбуков Logic Apps. Sentinel принимает данные через более чем 200 контентных коннекторов (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, пользовательские data collection rules), привязывает обнаружения к MITRE ATT&CK и отображает инциденты в едином XDR-портале вместе с Defender XDR. Тарификация — за принятый гигабайт с уровнями commitment, есть интеграция с Microsoft Copilot for Security.
● Примеры
- 01
KQL-правило, оповещающее, когда вход в Entra ID с признаком impossible travel следует за всплеском MFA push spam.
- 02
Запуск Logic Apps плейбука, изолирующего устройство через Defender for Endpoint, когда инцидент Sentinel получает уровень High.
● Частые вопросы
Что такое Microsoft Sentinel?
Облачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure. Относится к категории Защита и операции в кибербезопасности.
Что означает Microsoft Sentinel?
Облачный сервис SIEM и SOAR от Microsoft на Azure, который запрашивает журналы на Kusto Query Language (KQL) и нативно интегрируется с Microsoft 365 Defender и источниками данных Azure.
Как работает Microsoft Sentinel?
Microsoft Sentinel — это SaaS-SIEM/SOAR, построенный поверх рабочих областей Azure Log Analytics и Azure Monitor, выпущенный Microsoft в 2019 году (под именем Azure Sentinel) и переименованный в 2021-м. Аналитики запрашивают данные на Kusto Query Language (KQL), создают аналитические правила, правила near-real-time (NRT) и охотничьи запросы, оркестрируют реагирование с помощью плейбуков Logic Apps. Sentinel принимает данные через более чем 200 контентных коннекторов (Microsoft 365 Defender, Entra ID, Azure Activity, AWS CloudTrail, GCP, Syslog, CEF, MISP, пользовательские data collection rules), привязывает обнаружения к MITRE ATT&CK и отображает инциденты в едином XDR-портале вместе с Defender XDR. Тарификация — за принятый гигабайт с уровнями commitment, есть интеграция с Microsoft Copilot for Security.
Как защититься от Microsoft Sentinel?
Защита от Microsoft Sentinel обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Microsoft Sentinel?
Распространённые альтернативные названия: Azure Sentinel, MS Sentinel.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
- defense-ops№ 1254
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
- defense-ops№ 1080
Splunk Enterprise Security
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
- defense-ops№ 448
Google Chronicle SecOps
Облачная SIEM/SOAR от Google Cloud (ранее Backstory), которая хранит петабайтные объёмы телеметрии по фиксированной цене за сотрудника и запрашивает их на языке детекций YARA-L.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.