Was ist Microsoft Sentinel Siem (Security Information and Event Management)?

Microsoft Sentinel ist eine cloudnative SIEM-Lösung, die skalierbare, kosteneffiziente Sicherheit in Multicloud- und Plattformumgebungen bietet. Es kombiniert KI, Automatisierung und Threat Intelligence, um Bedrohungserkennung, Untersuchung, Reaktion und proaktive Suche zu unterstützen.

Microsoft Sentinel SIEM ermöglicht Es Analysten, Angriffe über Clouds und Plattformen hinweg schneller und präziser zu antizipieren und zu stoppen.

In diesem Artikel werden die wichtigsten Funktionen in Microsoft Sentinel hervorgehoben.

Microsoft Sentinel übernimmt die Verfahren für Manipulationsschutz und Unveränderlichkeit von Azure Monitor. Azure Monitor ist zwar eine Plattform, die nur anfügebar ist, enthält jedoch Bestimmungen zum Löschen von Daten aus Compliancegründen.

Dieser Dienst unterstützt Azure Lighthouse, mit dem sich Dienstanbieter bei ihrem eigenen Mandanten anmelden können, um Abonnements und Ressourcengruppen zu verwalten, die Kunden delegiert haben.

Sofort einsatzbereite Sicherheitsinhalte aktivieren

Microsoft Sentinel bietet Sicherheitsinhalte, die in SIEM-Lösungen gepackt sind und mit denen Sie Daten erfassen, überwachen, warnen, suchen, untersuchen, reagieren und mit verschiedenen Produkten, Plattformen und Diensten verbinden können.

Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel Inhalten und Lösungen.

Sammeln von Daten im großen Stil

Sammeln Sie Daten für alle Benutzer, Geräte, Anwendungen und Infrastruktur, sowohl lokal als auch in mehreren Clouds.

In dieser Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Datensammlung hervorgehoben.

Fähigkeit Beschreibung Erste Schritte
Sofort einsatzbereite Datenkonnektoren Viele Connectors sind mit SIEM-Lösungen für Microsoft Sentinel gepackt und bieten Echtzeitintegration. Zu diesen Connectors gehören Microsoft-Quellen und Azure-Quellen wie Microsoft Entra ID, Azure Activity, Azure Storage und mehr.

Standardmäßig sind auch Konnektoren für die breiteren Sicherheits- und Anwendungsökosysteme für Lösungen anderer Anbieter als Microsoft verfügbar. Sie können auch das allgemeine Ereignisformat Syslog oder die REST-API verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Microsoft Sentinel-Datenkonnektoren
Benutzerdefinierte Konnektoren Microsoft Sentinel unterstützt das Erfassen von Daten aus einigen Quellen ohne dedizierten Connector. Wenn Sie Ihre Datenquelle nicht mithilfe einer vorhandenen Lösung mit Microsoft Sentinel verbinden können, erstellen Sie einen eigenen Datenquellenconnector. Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Konnektoren.
Datennormalisierung Microsoft Sentinel verwendet sowohl die Abfragezeit als auch die Erfassungszeitnormalisierung, um verschiedene Quellen in eine einheitliche, normalisierte Ansicht zu übersetzen. Normalisierung und das erweiterte Sicherheitsinformationsmodell (ASIM)

Erkennen von Bedrohungen

Erkennen Sie zuvor nicht erkannte Bedrohungen, und minimieren Sie falsch positive Ergebnisse mithilfe der Analysen von Microsoft und beispielloser Threat Intelligence.

In dieser Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Bedrohungserkennung hervorgehoben.

Kapazität Beschreibung Erste Schritte
Analytics Hilft Ihnen, Rauschen zu reduzieren und die Anzahl der Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen. Microsoft Sentinel verwendet Analysen, um Warnungen in Incidents zu gruppieren. Verwenden Sie die vordefinierten Analyseregeln unverändert oder als Ausgangspunkt, um Ihre eigenen Regeln zu erstellen. Microsoft Sentinel stellt auch Regeln bereit, um Ihr Netzwerkverhalten zuzuordnen und dann nach Anomalien in Ihren Ressourcen zu suchen. Diese Analysen verbinden die Punkte, indem Warnungen mit niedriger Genauigkeit zu verschiedenen Entitäten zu potenziellen Sicherheitsvorfällen mit hoher Genauigkeit kombiniert werden. Sofort einsatzbereite Bedrohungen erkennen
MITRE ATT&CK-Abdeckung Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei Untersuchungen zu unterstützen, sondern auch, um die Art und den Umfang des Sicherheitsstatus Ihrer Organisation anhand der Taktiken und Techniken des MITRE ATT&CK®-Frameworks zu visualisieren. Verstehen der Sicherheitsabdeckung mit dem MITRE ATT&CK®-Framework
Bedrohungsinformationen Integrieren Sie zahlreiche Quellen von Threat Intelligence in Microsoft Sentinel, um schädliche Aktivitäten in Ihrer Umgebung zu erkennen und Sicherheitsermittlern Kontext für fundierte Reaktionsentscheidungen bereitzustellen. Bedrohungsinformationen in Microsoft Sentinel
Beobachtungslisten Korrelieren Sie Daten aus einer von Ihnen bereitgestellten Datenquelle , einer Watchlist, mit den Ereignissen in Ihrer Microsoft Sentinel Umgebung. Sie können beispielsweise eine Watchlist mit einer Liste von hochwertigen Ressourcen, gekündigten Mitarbeitern oder Dienstkonten in Ihrer Umgebung erstellen. Verwenden Sie Watchlists bei der Suche, in Erkennungsregeln, bei der Bedrohungssuche und in Reaktionsplaybooks. Watchlists in Microsoft Sentinel
Arbeitsmappen Erstellen Sie interaktive visuelle Berichte mithilfe von Arbeitsmappen. Microsoft Sentinel enthält integrierte Arbeitsmappenvorlagen, mit denen Sie schnell Einblicke in Ihre Daten gewinnen können, sobald Sie eine Verbindung mit einer Datenquelle herstellen. Oder erstellen Sie ihre eigenen benutzerdefinierten Arbeitsmappen. Visualisieren gesammelter Daten.

Untersuchen von Bedrohungen

Untersuchen Sie Bedrohungen mithilfe künstlicher Intelligenz und suchen Sie nach verdächtigen Aktivitäten in großem Umfang, und profitieren Sie dabei von den vielen Jahren Erfahrung im Bereich Cybersicherheit bei Microsoft.

Screenshot einer Vorfalluntersuchung, der eine Entität und verbundene Entitäten in einem interaktiven Graphen zeigt.

In dieser Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Untersuchung von Bedrohungen hervorgehoben.

Funktion Beschreibung Erste Schritte
Vorfälle Microsoft Sentinel umfassenden Untersuchungstools helfen Ihnen, den Umfang zu verstehen und die Grundursache einer potenziellen Sicherheitsgefährdung zu finden. Sie können eine Entität im interaktiven Diagramm auswählen, um interessante Fragen zu einer bestimmten Entität zu stellen, und einen Drilldown in diese Entität und ihre Verbindungen ausführen, um zur Grundursache der Bedrohung zu gelangen. Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel
Jagt Microsoft Sentinel leistungsstarke Such- und Abfragetools, die auf dem MITRE-Framework basieren, ermöglichen Es Ihnen, proaktiv nach Sicherheitsbedrohungen in den Datenquellen Ihrer organization zu suchen, bevor eine Warnung ausgelöst wird. Erstellen Sie benutzerdefinierte Erkennungsregeln basierend auf Ihrer Huntingabfrage. Zeigen Sie diese Erkenntnisse dann als Warnungen an Ihre Reaktionshelfer für Sicherheitsvorfälle an. Bedrohungssuche in Microsoft Sentinel
Notizbücher Microsoft Sentinel unterstützt Jupyter Notebooks in Azure Machine Learning-Arbeitsbereichen, einschließlich vollständiger Bibliotheken für maschinelles Lernen, Visualisierung und Datenanalyse.

Verwenden Sie Notebooks in Microsoft Sentinel, um die Einsatzmöglichkeiten mit Microsoft-Sentinel-Daten zu erweitern. Zum Beispiel:

– Führen Sie Analysen durch, die nicht in Microsoft Sentinel integriert sind, z. B. einige Features für maschinelles Lernen in Python.
– Erstellen Sie Datenvisualisierungen, die nicht in Microsoft Sentinel integriert sind, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen.
– Integrieren von Datenquellen außerhalb von Microsoft Sentinel, z. B. ein lokales Dataset.
Jupyter Notebooks mit Microsoft Sentinel Hunting-Funktionen

Reagieren Sie schnell auf Vorfälle

Automatisieren Sie Ihre allgemeinen Aufgaben und vereinfachen Sie die Sicherheitsorchestrierung mit Playbooks, die in Azure-Dienste und Ihre vorhandenen Tools integriert werden können. Die Automatisierung und Orchestrierung von Microsoft Sentinel bietet eine in hohem Maße erweiterbare Architektur, die skalierbare Automatisierung mit dem Aufkommen neuer Technologien und Bedrohungen ermöglicht.

Playbooks in Microsoft Sentinel basieren auf Workflows, die in Azure Logic Apps erstellt wurden. Wenn Sie beispielsweise das ServiceNow Ticketsystem verwenden, verwenden Sie Azure Logic Apps, um Ihre Workflows zu automatisieren und jedes Mal, wenn eine bestimmte Warnung oder ein Incident generiert wird, ein Ticket in ServiceNow zu öffnen.

Screenshot eines automatisierten Beispielworkflows in Azure Logic Apps, bei dem ein Incident verschiedene Aktionen auslösen kann.

In dieser Tabelle werden die wichtigsten Funktionen in Microsoft Sentinel für die Reaktion auf Bedrohungen hervorgehoben.

Funktion Beschreibung Erste Schritte
Automatisierungsregeln Verwalten Sie die Automatisierung der Incidentbehandlung in Microsoft Sentinel zentral, indem Sie einen kleinen Satz von Regeln definieren und koordinieren, die verschiedene Szenarien abdecken. Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln
Playbooks Automatisieren und orchestrieren Sie Ihre Reaktion auf Bedrohungen mithilfe von Playbooks, bei denen es sich um eine Sammlung von Korrekturaktionen handelt. Führen Sie ein Playbook bei Bedarf oder automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle aus, wenn es durch eine Automatisierungsregel ausgelöst wird.

Um Playbooks mit Azure Logic Apps zu erstellen, wählen Sie aus einem ständig wachsenden Katalog von Connectors für verschiedene Dienste und Systeme wie ServiceNow, Jira und mehr. Mit diesen Connectors können Sie eine beliebige benutzerdefinierte Logik in Ihrem Workflow anwenden.
Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel

Liste aller Logic App-Connectors

Zeitplan für die Einstellung von Microsoft Sentinel im Azure-Portal

Microsoft Sentinel ist allgemein im Microsoft Defender-Portal verfügbar, auch für Kunden ohne Microsoft Defender XDR oder E5-Lizenz. Dies bedeutet, dass Sie Microsoft Sentinel im Defender-Portal auch dann verwenden können, wenn Sie keine anderen Microsoft Defender-Dienste verwenden.

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar.

Wenn Sie derzeit Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal jetzt zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Weitere Informationen finden Sie unter:

Änderungen für neue Kunden ab Juli 2025

Im Sinne der in diesem Abschnitt beschriebenen Änderungen sind neue Microsoft Sentinel-Kunden Kunden, die den ersten Arbeitsbereich in ihrem Mandanten erstmalig bei Microsoft Sentinel einbinden.

Ab Juli 2025 werden bei solchen Neukunden, die außerdem über die Berechtigungen eines Besitzers eines Abonnements oder eines Administrators für Benutzerzugriff verfügen und keine über Azure Lighthouse delegierten Benutzer sind, ihre Arbeitsbereiche zusammen mit dem Onboarding bei Microsoft Sentinel automatisch in das Defender-Portal eingebunden.

Benutzer solcher Arbeitsbereiche, die auch keine Azure lighthouse-delegierten Benutzer sind, sehen Links in Microsoft Sentinel im Azure-Portal, die sie zum Defender-Portal umleiten.

Zum Beispiel:

Screenshot eines Umleitungslinks vom Azure-Portal zum Defender-Portal.

Diese Benutzer verwenden Microsoft Sentinel nur im Defender-Portal.

Neue Kunden, die nicht über entsprechende Berechtigungen verfügen, werden nicht automatisch für das Defender-Portal aktiviert, sehen jedoch weiterhin Umleitungslinks im Azure-Portal sowie Aufforderungen, den Arbeitsbereich durch einen Benutzer mit entsprechenden Berechtigungen manuell für das Defender-Portal zu aktivieren.

In dieser Tabelle sind die folgenden Erfahrungen zusammengefasst:

Kundentyp Erlebnis
Bestandskunden, die neue Arbeitsbereiche in einem Mandanten erstellen, in dem bereits ein Arbeitsbereich für Microsoft Sentinel aktiviert ist Arbeitsbereiche werden nicht automatisch integriert, und Benutzern werden keine Umleitungslinks angezeigt.
Azure Lighthouse-delegierte Benutzer, die neue Arbeitsbereiche in einem beliebigen Mandanten erstellen Arbeitsbereiche werden nicht automatisch integriert, und Benutzern werden keine Umleitungslinks angezeigt.
Neue Kunden integrieren den ersten Arbeitsbereich in ihrem Mandanten in Microsoft Sentinel - Benutzer, die über die erforderlichen Berechtigungen verfügen, verfügen über ein automatisches Onboarding ihres Arbeitsbereichs. Andere Benutzer solcher Arbeitsbereiche sehen Umleitungslinks im Azure-Portal.

- Benutzer, die nicht über die erforderlichen Berechtigungen verfügen , verfügen nicht über ein automatisches Onboarding ihres Arbeitsbereichs. Alle Benutzer solcher Arbeitsbereiche sehen Umleitungslinks im Azure-Portal, und ein Benutzer mit den erforderlichen Berechtigungen muss den Arbeitsbereich in das Defender-Portal integrieren.