Microsoft Sentinel auf Microsoft Azure
Was ist Microsoft Sentinel?
Microsoft Sentinel ist Microsofts cloud-natives Security Information and Event Management (SIEM) und Security Orchestration, Automation and Response (SOAR) System. Der Service sammelt Security-Events aus der gesamten IT-Landschaft (Cloud, On-Premises, SaaS), korreliert sie mit Machine-Learning-Algorithmen, erkennt Bedrohungen und automatisiert Incident-Response über Playbooks.
Im Kern basiert Sentinel auf Azure Monitor Log Analytics und nutzt Kusto Query Language (KQL) für Abfragen, Analytics Rules für Alerting und Workbooks für Visualisierung. Sentinel ingestiert Logs über 400+ Data Connectors von Microsoft-Services (Microsoft Defender, Entra ID, Office 365), Third-Party-Lösungen (Firewalls, EDR, Cloud-Plattformen) und benutzerdefinierten Quellen via Syslog, CEF oder REST API. Die cloud-native Architektur skaliert automatisch und eliminiert die Notwendigkeit für On-Premises-SIEM-Infrastruktur.
Sentinels Machine-Learning-Modelle und User and Entity Behavior Analytics (UEBA) etablieren Baselines für normales Verhalten und erkennen Anomalien wie ungewöhnliche Logins, Privilege Escalation oder Lateral Movement. SOAR-Playbooks (basierend auf Azure Logic Apps) automatisieren Responses wie Benutzersperre, Email-Benachrichtigungen oder Ticket-Erstellung. Threat-Hunting-Notebooks (Jupyter) ermöglichen interaktive Investigations über große Datenmengen mit Python und KQL.
Typische Anwendungsfälle
Multi-Cloud Security Monitoring
Unternehmen nutzen Sentinel als zentrales SIEM für Azure, AWS und GCP. Data Connectors ingestieren CloudTrail-Logs von AWS, VPC Flow Logs, Google Cloud Audit Logs und Azure Activity Logs in ein einziges Sentinel Workspace. Analytics Rules korrelieren Events über Cloud-Grenzen hinweg und erkennen lateral Movement zwischen Clouds. Ein globaler Konzern monitort 50.000 Cloud-Ressourcen über 3 Cloud-Provider aus einer Sentinel-Instanz.
Automated Incident Response mit SOAR
Security-Teams erstellen Playbooks, die bei Incidents automatisch reagieren: Bei Brute-Force-Angriff wird der Benutzer temporär gesperrt, das Security-Team per Teams benachrichtigt und ein Ticket im ITSM-System erstellt. Playbooks integrieren mit 400+ Connectors (ServiceNow, Slack, PagerDuty) und reduzieren Mean Time to Respond (MTTR) von Stunden auf Minuten. Ein Finanzunternehmen automatisiert 80 Prozent seiner Tier-1-Responses.
Threat Hunting mit KQL und UEBA
SOC-Analysten nutzen KQL-Queries, um proaktiv nach Bedrohungen zu suchen. UEBA erstellt Risk Scores für User und Entities basierend auf Verhaltensanomalien. Ein Analyst fragt “Zeige alle Benutzer, die in den letzten 24 Stunden von mehr als 3 Ländern aus eingeloggt haben” und findet kompromittierte Accounts. Hunting Queries werden als Analytics Rules gespeichert für kontinuierliche Überwachung.
Compliance-Reporting für DSGVO und NIS2
Unternehmen nutzen Sentinel Workbooks für Compliance-Dashboards: Wer hat wann auf sensible Daten zugegriffen, welche Änderungen wurden an kritischen Systemen vorgenommen, wurden alle Failed-Login-Attempts geloggt. Retention Policies halten Logs für gesetzlich vorgeschriebene Zeiträume (z.B. 6 Monate für NIS2). Audit-Reports werden automatisch generiert und archiviert.
Integration mit Microsoft Defender Suite
Sentinel aggregiert Alerts von Microsoft Defender for Cloud, Defender for Endpoint, Defender for Office 365 und Defender for Identity in ein einziges Incident. Correlation Rules erkennen Multi-Stage-Angriffe: Phishing-Email (Defender for Office) führt zu Malware-Download (Defender for Endpoint) und Privilege Escalation (Defender for Identity). Ein Incident fasst alle Alerts zusammen statt isolierter Silos.
Best Practices für Microsoft Sentinel
Start mit Microsoft Connectors
Aktivieren Sie zuerst die kostenlosen Microsoft-Connectors (Entra ID, Azure Activity, Microsoft Defender), bevor Sie Third-Party-Integrationen aufbauen. Diese sind vorinstalliert, erfordern keine Konfiguration und bieten sofort wertvollen Kontext. Aktivieren Sie dann kritische On-Premises-Systeme (Domain Controllers via Windows Event Forwarding, Firewalls via Syslog/CEF).
Nutzen Sie Analytics Rule Templates
Sentinel bietet Hunderte vordefinierte Analytics Rules für Common Attack Patterns (Brute Force, Privilege Escalation, Malware). Aktivieren Sie relevante Templates statt alles von Grund auf zu schreiben. Passen Sie Thresholds und Filter an Ihre Umgebung an. Deaktivieren Sie noisy Rules und tunen Sie False Positives kontinuierlich.
Implementieren Sie Data Retention Policies
Log-Analytics-Retention ist auf 90 Tage defaultiert, aber Sie zahlen für längere Retention. Definieren Sie Retention nach Log-Typ: Security-kritische Logs (Sign-ins, Audit) für 12 Monate, weniger kritische (Performance) für 30 Tage. Nutzen Sie Archive für Compliance-Retention (günstiger als Hot-Retention, aber Query-Performance langsamer).
Automatisieren Sie häufige Responses mit Playbooks
Identifizieren Sie repetitive Incident-Response-Tasks und automatisieren Sie sie. Typische Playbooks: Bei Phishing-Alert Email sperren und Postfach-Quarantäne aktivieren, bei Compromised User Account Passwort zurücksetzen und Sessions invalidieren, bei Malware-Detection Host isolieren und Forensik-Daten sammeln. Start klein und erweitern Sie Automation schrittweise.
Kostenoptimierung durch Log-Filtering
Nicht alle Logs sind gleich wertvoll. Filtern Sie verbose, low-value Logs vor der Ingestion (Transformation Rules in Data Collection Rules). Beispiel: Ingestieren Sie nur Failed Authentications, nicht alle Successful Logins. Nutzen Sie Basic Logs für weniger kritische Log-Typen (80% Kostenersparnis, aber eingeschränkte Query-Möglichkeiten).
Threat Hunting mit Hunting Queries
Nutzen Sie die Community-Hunting-Queries aus dem Sentinel GitHub-Repo. Führen Sie regelmäßige Hunting Sessions durch (wöchentlich oder bei neuen Threat Intelligence). Konvertieren Sie erfolgreiche Hunting Queries zu Scheduled Analytics Rules für kontinuierliche Überwachung. Nutzen Sie Notebooks für komplexe Multi-Step-Investigations mit Python.
Häufig gestellte Fragen zu Microsoft Sentinel
Was ist der Unterschied zwischen SIEM und SOAR?
SIEM (Security Information and Event Management) sammelt, korreliert und analysiert Security-Events aus verschiedenen Quellen, um Bedrohungen zu erkennen. SOAR (Security Orchestration, Automation and Response) automatisiert Incident-Response-Prozesse über Playbooks. Sentinel kombiniert beide Funktionen: SIEM-Analytics erkennen Incidents, SOAR-Playbooks automatisieren Responses. Dies reduziert manuelle Arbeit und Mean Time to Respond.
Wie funktioniert das Preismodell?
Sentinel berechnet nach ingested Data (Pay-as-you-go: ca. 2.50 Euro/GB oder Commitment Tiers für Rabatte bei vorhersagbarem Volumen) plus Log Analytics Retention (erste 90 Tage inkludiert, danach ca. 0.12 Euro/GB/Monat). Automation (Playbook-Ausführungen) kostet extra (Logic Apps Pricing). Typische Kosten: 50.000 Security Events/Tag = ca. 500 GB/Monat = 1.000-1.250 Euro/Monat. Nutzen Sie Commitment Tiers ab 100 GB/Tag für bis zu 50% Rabatt.
Was ist UEBA und wie funktioniert es?
User and Entity Behavior Analytics (UEBA) nutzt Machine Learning, um Baselines für normales Benutzer- und Entity-Verhalten zu erstellen. Bei Abweichungen (z.B. Benutzer greift plötzlich auf ungewöhnliche Ressourcen zu, Login zu ungewöhnlicher Uhrzeit, massenhafter Daten-Download) wird ein Risk Score erhöht und Alerts generiert. UEBA erkennt Insider-Bedrohungen und kompromittierte Accounts ohne explizite Regeln.
Welche Data Connectors sind verfügbar?
Sentinel bietet 400+ Connectors: Microsoft-Services (Entra ID, Defender Suite, Office 365, Azure), Cloud-Plattformen (AWS CloudTrail, GCP Audit Logs), Firewalls (Palo Alto, Fortinet, Cisco), EDR/XDR (CrowdStrike, SentinelOne), Identity (Okta, Ping), Ticketing (ServiceNow, Jira) und generische Protocols (Syslog, CEF, REST API). Community-Connectors erweitern die Liste kontinuierlich.
Kann ich Sentinel für Nicht-Microsoft-Umgebungen nutzen?
Ja, Sentinel ist cloud-agnostisch. Über Syslog/CEF-Connectors ingestieren Sie Logs von On-Premises-Systemen, AWS via CloudTrail-Connector, GCP via Pub/Sub-Connector. Sentinel unterstützt Third-Party-EDR, Firewalls und Cloud-Services. Viele Unternehmen nutzen Sentinel als zentrales SIEM für hybride und Multi-Cloud-Umgebungen. Die beste Integration ist naturgemäß mit Microsoft-Services.
Was ist KQL und muss ich es lernen?
Kusto Query Language (KQL) ist Microsofts Query-Sprache für Log Analytics. KQL ist essenziell für Threat Hunting, Custom Analytics Rules und Dashboards. Die Syntax ist ähnlich zu SQL, aber optimiert für Log-Daten und Zeitreihen. Microsoft bietet umfangreiche Tutorials und eine KQL-Playground. Für grundlegende Nutzung (vordefinierte Rules, Workbooks) ist KQL optional, für fortgeschrittene Analysten erforderlich.
Wie integriert sich Sentinel mit Microsoft Defender?
Sentinel ist das zentrale XDR (Extended Detection and Response) für alle Microsoft Defender-Produkte. Defender for Cloud, Defender for Endpoint, Defender for Office 365 und Defender for Identity senden Alerts zu Sentinel. Sentinel korreliert Alerts über Produkte hinweg zu Incidents, fügt Kontext hinzu und ermöglicht einheitliche Response-Playbooks. Unified Security Operations kombiniert Sentinels SIEM mit Defenders XDR-Fähigkeiten.
Ist Microsoft Sentinel DSGVO-konform?
Ja, Sentinel kann DSGVO-konform betrieben werden, wenn Sie europäische Azure-Regionen (z.B. Germany West Central, West Europe) wählen. Logs verlassen die gewählte Region nicht. Microsoft bietet Datenverarbeitungsverträge gemäß Art. 28 DSGVO. Beachten Sie, dass Security-Logs personenbezogene Daten enthalten (IP-Adressen, User-Namen) und entsprechend geschützt werden müssen (RBAC, Encryption at Rest).
Was kostet Sentinel im Vergleich zu traditionellen SIEMs?
Traditionelle On-Premises-SIEMs (Splunk, QRadar) haben hohe Upfront-Kosten (Hardware, Lizenzen) und skalieren schlecht. Sentinel hat keine Upfront-Kosten und skaliert elastisch (pay for what you use). Für kleine Umgebungen (unter 50 GB/Tag) ist Sentinel oft günstiger. Für sehr große Umgebungen (über 500 GB/Tag) können Commitment Tiers oder Hybrid-Architekturen (Log-Filtering) notwendig sein, um Kosten zu kontrollieren.
Integration mit innFactory
Als Microsoft Solutions Partner unterstützt innFactory Sie bei der Implementierung von Microsoft Sentinel. Wir helfen bei Connector-Konfiguration, Analytics-Rule-Tuning, Playbook-Entwicklung und SOC-Prozess-Optimierung.
Kontaktieren Sie uns für eine unverbindliche Beratung zu Microsoft Sentinel und Cloud-Security-Monitoring.
