Was ist Microsoft Sentinel?

Microsoft Sentinel ist eine cloudnative Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM) und eine einheitliche Sicherheitsplattform für agentic defense. Um den Anforderungen der heutigen komplexen Bedrohungen gerecht zu werden, hat sich Microsoft Sentinel von einem herkömmlichen SIEM zu einem SIEM und einer Plattform entwickelt , das über statische, regelbasierte Kontrollen und Reaktion nach Einer Sicherheitsverletzung hinausgeht, um eine KI-fähige, datenorientierte Grundlage zu bieten, die Telemetriedaten in einen Sicherheitsgraphen transformiert, den Zugriff für Agents standardisiert und autonome Aktionen koordiniert, während Menschen die Kontrolle über Strategie und Untersuchungen mit hohen Auswirkungen behalten.

Als SIEM bietet Microsoft Sentinel KI-gesteuerte Sicherheit in Multicloud- und Plattformumgebungen und bietet robuste Funktionen für die Bedrohungserkennung, Untersuchung, Suche, Reaktion und automatisierte Angriffsunterbrechung. Als Plattform bietet Microsoft Sentinel eine Grundlage, die auf einem modernen Data Lake für tiefe Einblicke, Graphfunktionen für kontextbezogene Analysen, einen gehosteten MCP-Server (Model Context Protocol) für Agent-fähige Tools und Entwicklerfunktionen zum Erstellen und Bereitstellen von Lösungen über den Sicherheitsspeicher basiert.

Dieser Artikel bietet eine Übersicht über Microsoft Sentinel und ihre Kernkomponenten. Es wird erläutert, wie Microsoft Sentinel Sicherheitsteams dabei hilft, Bedrohungen zu erkennen und darauf zu reagieren und kontinuierlich anzupassen, indem Daten vereinheitlicht, Reaktionen automatisiert und KI-gesteuerte Erkenntnisse abgeleitet werden.

KI-first, End-to-End-SIEM- und Sicherheitsplattform

Dieses Diagramm veranschaulicht die Microsoft Sentinel KI-first,End-to-End-SIEM- und Sicherheitsplattform, wobei die Kernkomponenten und die Integration mit Microsoft Security Copilot hervorgehoben werden.

Ein Diagramm, das die Microsoft Sentinel KI-first,End-to-End-SIEM- und Sicherheitsplattform darstellt.

Microsoft Sentinel SIEM

Die cloudnative Microsoft Sentinel SIEM-Lösung bietet KI-gestützte Sicherheit in Multicloud- und Plattformumgebungen. Es bietet umfassende Funktionen für die Erkennung, Untersuchung, Reaktion und proaktive Bedrohungssuche und bietet Sicherheitsteams eine einheitliche Sicht auf ihr Unternehmen.

Microsoft Sentinel SIEM ist im Microsoft Defender-Portal für Kunden mit oder ohne Defender XDR- oder E5-Lizenz verfügbar und bietet eine einheitliche Benutzeroberfläche für Sicherheitsvorgänge. Diese Integration optimiert Workflows, verbessert die Sichtbarkeit und hilft Analysten, schneller und präziser auf immer komplexere Bedrohungen zu reagieren.

Die Integration von Microsoft Sentinel SIEM in das Defender-Portal und Security Copilot schafft ein leistungsfähiges Ökosystem, das die Sicherheitsvorgänge verbessert. Security Copilot ermöglicht Es Analysten, mit Microsoft Sentinel Daten in natürlicher Sprache zu interagieren, Huntingabfragen zu generieren und Untersuchungen zu automatisieren, um die Reaktion auf Bedrohungen schneller und zugänglicher zu machen.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel SIEM?

Datenconnectors

Sammeln Sie Daten in Ihrem gesamten digitalen Bestand, unabhängig davon, wo sich die Daten befinden, einschließlich aller Benutzer, Geräte, Anwendungen und Infrastruktur, sowohl lokal als auch in mehreren Clouds:

  • Mehr als 350 sofort einsatzbereite Datenconnectors mit Unterstützung für Sicherheitslösungen und Cloudplattformen von Erst- und Drittanbietern

  • Eine integrierte Tabellenverwaltungsoberfläche, die die Auswahl des Datenspeichers vereinfacht und die mehrstufige Platzierung über Analyse- und Data Lake-Ebenen hinweg unterstützt.

  • In der Analyseebene erfasste Daten werden automatisch auf der Data Lake-Ebene gespiegelt, um sicherzustellen, dass die Data Lake-Ebene das zentrale, einheitliche Repository für alle Sicherheitsdaten bleibt.

  • Optionen ohne Code und benutzerdefinierte Connectors

  • Datennormalisierung, um verschiedene Quellen in eine einheitliche, normalisierte Ansicht zu übersetzen

Weitere Informationen finden Sie unter Microsoft Sentinel Datenconnectors.

Kernkomponenten der Microsoft Sentinel-Plattform

Microsoft Sentinel Data Lake

Microsoft Sentinel Data Lake ist ein vollständig verwalteter, cloudnativer Data Lake, der für Sicherheitsvorgänge entwickelt wurde. Sie vereinheitlicht, speichert und analysiert Sicherheitsdaten im großen Stil und bietet die Grundlage für erweiterte Analysen, KI-gesteuerte Erkenntnisse und agentic Defense.

Der Data Lake wurde auf Flexibilität und Tiefe ausgelegt und unterstützt multimodale Analysen – einschließlich Kusto-Abfragen, graphbasierte Beziehungsanalyse, Microsoft Modeling Language (MML), Security Copilot-Agents und KI-gestützte Notebooks in Visual Studio Code – alles auf einer einzigen Kopie von Daten im offenen Format.

Dank kosteneffizienter Speicherung und Langzeitaufbewahrung können Sicherheitsteams persistente Bedrohungen untersuchen, Warnungen mit historischem Kontext anreichern und Verhaltensbaselines mit datenbasierten Monaten erstellen, ohne den Aufwand der herkömmlichen Infrastruktur zu verursachen.

zu den wichtigsten Funktionen von Data Lake Microsoft Sentinel gehören:

  • Zentralisiert Protokolle von Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune und mehr als 350 Datenconnectors , einschließlich Amazon Web Services (AWS) und Google Cloud Platform (GCP), um Datensilos zu beseitigen.

  • Optimiert die Kosten, indem die Datenerfassung von der Analyse entkoppelt wird, sodass Sie große Mengen an Sicherheitsdaten speichern und die effektivsten Analyse-Engines für Aufgaben wie Bedrohungssuche, Anomalieerkennung und umfassende forensische Untersuchungen anwenden können.

  • Ermöglicht die multimodale Analyse für eine einzelne Kopie von Daten im offenen Format mithilfe von Kusto-Abfragen, geplanten Aufträgen und KI-gestützten Notebooks in Visual Studio Code – keine Infrastruktureinrichtung erforderlich.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Data Lake?

Microsoft Sentinel Graph

Microsoft Sentinel Graph bietet eine einheitliche Graphanalysefunktion, indem komplexe Beziehungen zwischen Ressourcen, Identitäten, Aktivitäten und Threat Intelligence modelliert und analysiert werden. Es ermöglicht Microsoft Defenders und KI-Agents, über miteinander verbundene Daten zu denken und bietet tiefere Einblicke und schnellere Reaktion auf Cyberbedrohungen.

zu den wichtigsten Funktionen von Microsoft Sentinel Graph gehören:

  • Einheitliche graphbasierte Analysen, die integrierte Umgebungen für Sicherheit, Compliance, Identität und das Microsoft-Sicherheitsökosystem unterstützen.
  • Reale Beziehungsmodellierung, die Knoten und Kanten verwendet, um Benutzer, Geräte, Cloudressourcen, Datenflüsse und Angreiferaktionen darzustellen.
  • Erweiterte Bedrohungsargumente, um Defenders dabei zu helfen, komplexe Fragen zu beantworten, z. B. welche anfälligen Pfade ein Angreifer von einer kompromittierten Entität zu einem kritischen Objekt nehmen kann.
  • End-to-End-Verteidigung mit Unterstützung sowohl für Szenarien vor als auch nach einer Sicherheitsverletzung unter Verwendung von miteinander verbundenen Graphen in Microsoft Defender und Microsoft Purview.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Graph?

Microsoft Sentinel MCP-Server (Model Context Protocol)

Microsoft Sentinel MCP-Server bietet eine einheitliche, gehostete Schnittstelle, die es Sicherheitsteams ermöglicht, mit Sicherheitsdaten in natürlicher Sprache zu interagieren und intelligente Sicherheits-Agents zu erstellen – ohne Infrastruktureinrichtung oder benutzerdefinierte Connectors. Diese Integration vereinfacht das Durchsuchen und Automatisieren von Daten und macht KI-gesteuerte Sicherheitsvorgänge zugänglicher und effektiver.

zu den wichtigsten Funktionen Microsoft Sentinel MCP-Servers gehören:

  • Eine gehostete Schnittstelle, die Microsoft Entra als Identität verwendet und kompatible Clients für nahtlose KI-Vorgänge unterstützt.
  • Sicherheitstools in natürlicher Sprache, einschließlich szenarioorientierter Tools zum Abfragen und Denken über Microsoft Sentinel Data Lake ohne Schemakenntnisse oder Codierung.
  • Beschleunigte Agent-Erstellung, mit der Techniker maßgeschneiderte Sicherheits-Agents in natürlicher Sprache erstellen können, wodurch der manuelle Aufwand reduziert und die Automatisierung beschleunigt wird.
  • Die native Integration in den Data Lake von Microsoft Sentinel ermöglicht umfassende Kontextentwicklung ohne Kompromisse bei der Datenabdeckung oder den Kosten.

Weitere Informationen finden Sie unter Was unterstützt Microsoft Sentinel für das Model Context Protocol (MCP)?

Microsoft Sentinel Entwicklerumgebung

Microsoft Sentinel bietet umfassende Funktionen für Partner, um wirkungsvolle Lösungen zu erstellen, die sie über den Microsoft Security Store oder den Microsoft Sentinel SIEM Content Hub veröffentlichen können. Aufbauend auf Microsoft Sentinel können Sie neue Szenarien mit einer Vielzahl von Sicherheitsdaten, Verarbeitungsfunktionen und KI-Umgebungen unterstützen, ohne dass neue Pipelines, Compute-Engines oder Speicherinfrastruktur erforderlich sind.

Partner können beispielsweise Folgendes erstellen, packen und veröffentlichen:

  • Microsoft Sentinel SIEM-Inhalte wie Connectors, Analyseregeln, Huntingabfragen und Playbooks.
  • Microsoft Sentinel Plattforminhalte wie Connectors, Jupyter Notebook-Aufträge zum Analysieren der Daten und Agents, die diese Daten mit vorhandenen Lake-Inhalten korrelieren. Der Agent kann dann mit anderen Endpunkten und externen Anwendungen interagieren, um Kunden eine leistungsstarke einheitliche Erfahrung zu bieten.

Weitere Informationen finden Sie unter Erstellen und Veröffentlichen Microsoft Sentinel Lösungen.

Erste Schritte

Informationen zu den ersten Schritten mit der Microsoft Sentinel-Plattform und SIEM finden Sie unter:

  • Last updated on