Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
中文
Entry № 680

Microsoft Sentinel

Microsoft Sentinel 是什么?

Microsoft Sentinel微软在 Azure 上提供的云原生 SIEM 与 SOAR 服务,使用 Kusto Query Language(KQL)查询日志,并与 Microsoft 365 Defender 及 Azure 数据源原生集成。

Microsoft Sentinel 是构建在 Azure Log Analytics 工作区与 Azure Monitor 之上的 SaaS 化 SIEMSOAR,由微软于 2019 年发布(初始名为 Azure Sentinel),2021 年更名。分析人员使用 Kusto Query Language(KQL)进行数据查询,编写分析规则、近实时(NRT)规则与狩猎查询,并通过 Logic Apps Playbook 完成响应编排。Sentinel 提供超过 200 个内容连接器(Microsoft 365 Defender、Entra ID、Azure Activity、AWS CloudTrail、GCP、Syslog、CEF、MISP 与自定义数据采集规则),将检测对齐到 MITRE ATT&CK,并在与 Defender XDR 统一的 XDR 门户中呈现事件。按摄取的 GB 计费并支持承诺套餐,并与 Microsoft Copilot for Security 集成。

示例

  1. 01

    用 KQL 编写分析规则:当 Entra ID 登录出现不可能旅行模式且前序伴随 MFA Push 轰炸时告警。

  2. 02

    当 Sentinel 事件升级为高严重性时,触发 Logic App Playbook 通过 Defender for Endpoint 隔离设备。

常见问题

Microsoft Sentinel 是什么?

微软在 Azure 上提供的云原生 SIEM 与 SOAR 服务,使用 Kusto Query Language(KQL)查询日志,并与 Microsoft 365 Defender 及 Azure 数据源原生集成。 它属于网络安全的 防御与运营 分类。

Microsoft Sentinel 是什么意思?

微软在 Azure 上提供的云原生 SIEM 与 SOAR 服务,使用 Kusto Query Language(KQL)查询日志,并与 Microsoft 365 Defender 及 Azure 数据源原生集成。

Microsoft Sentinel 是如何工作的?

Microsoft Sentinel 是构建在 Azure Log Analytics 工作区与 Azure Monitor 之上的 SaaS 化 SIEM 与 SOAR,由微软于 2019 年发布(初始名为 Azure Sentinel),2021 年更名。分析人员使用 Kusto Query Language(KQL)进行数据查询,编写分析规则、近实时(NRT)规则与狩猎查询,并通过 Logic Apps Playbook 完成响应编排。Sentinel 提供超过 200 个内容连接器(Microsoft 365 Defender、Entra ID、Azure Activity、AWS CloudTrail、GCP、Syslog、CEF、MISP 与自定义数据采集规则),将检测对齐到 MITRE ATT&CK,并在与 Defender XDR 统一的 XDR 门户中呈现事件。按摄取的 GB 计费并支持承诺套餐,并与 Microsoft Copilot for Security 集成。

如何防御 Microsoft Sentinel?

针对 Microsoft Sentinel 的防御通常结合技术控制与运营实践,详见上方完整定义。

Microsoft Sentinel 还有哪些其他名称?

常见的别称包括: Azure Sentinel, MS Sentinel。

相关术语