Was ist Microsoft Sentinel?

  • 6 Minuten

Zunächst werden einige Definitionen, SIEM-Systeme sowie Microsoft Sentinel vorgestellt.

Was ist Security Information and Event Management (SIEM)?

Ein SIEM-System dient einer Organisation zur Erfassung, Analyse und Durchführung sicherheitsrelevanter Vorgänge auf ihren Computersystemen. Bei diesen Systemen kann es sich um Hardwaregeräte, Anwendungen oder beides handeln.

In seiner einfachsten Form ermöglicht ein SIEM-System Folgendes:

  • Erfassen und Abfragen von Protokollen
  • Ausführen einer Form der Korrelation oder Anomalieerkennung
  • Erstellen von Warnungen und Incidents basierend auf Ihren Ergebnissen

Ein SIEM-System bietet möglicherweise Funktionen wie die folgenden:

  • Protokollverwaltung: Die Fähigkeit, Protokolldaten von Ressourcen innerhalb Ihrer Umgebung zu erfassen, zu speichern und abzufragen

  • Warnungen: Eine proaktive Suche in den Protokolldaten nach potenziellen sicherheitsrelevanten Incidents und Anomalien

  • Visualisierung: Graphen und Dashboards, die visuelle Einblicke in Ihre Protokolldaten bieten

  • Incidentmanagement: Die Fähigkeit, Incidents zu erstellen, zu aktualisieren, zuzuweisen und zu untersuchen, die identifiziert wurden.

  • Abfragen von Daten: Eine umfangreiche Abfragesprache, die derjenigen zur Protokollverwaltung ähnelt, mit deren Hilfe Sie Ihre Daten abfragen und verstehen können.

Was ist Microsoft Sentinel?

Microsoft Sentinel ist ein cloudnatives SIEM-System, das einem für sicherheitsrelevante Vorgänge zuständigen Team folgende Möglichkeiten bietet:

  • Abrufen von Erkenntnissen zur Sicherheit im gesamten Unternehmen, indem Daten aus praktisch jeder Quelle erfasst werden
  • Schnelles Erkennen und Untersuchen von Bedrohungen mithilfe des integrierten maschinellen Lernens und von Threat Intelligence von Microsoft
  • Automatisieren von Reaktionen auf Bedrohungen mithilfe von Playbooks und Integration von Azure Logic Apps

Im Gegensatz zu herkömmlichen SIEM-Lösungen müssen Sie weder lokal noch in der Cloud Server installieren, um Microsoft Sentinel auszuführen. Microsoft Sentinel ist ein Dienst, den Sie in Azure bereitstellen. Sie können Azure Sentinel innerhalb weniger Minuten über das Azure-Portal einrichten.

Microsoft Sentinel ist eng mit anderen Clouddienste verzahnt. Sie können nicht nur schnell Protokolle erfassen, sondern auch andere Clouddienste nativ nutzen (z. B. zur Autorisierung und Automatisierung).

Microsoft Sentinel hilft Ihnen, vollumfassende sicherheitsrelevante Vorgänge zu implementieren, einschließlich Erfassung, Erkennung, Untersuchung und Reaktion:

Diagram showing the end-to-end functionality of Microsoft Sentinel.

Als Nächstes werfen wir einen Blick auf die Hauptkomponenten von Microsoft Sentinel.