Freigeben über

Was ist Microsoft Sentinel?

Microsoft Sentinel ist eine cloudnative Sicherheitsinformations- und Ereignisverwaltung (SIEM) und eine einheitliche Sicherheitsplattform für die agentische Verteidigung. Um den Anforderungen der heutigen komplexen Bedrohungen gerecht zu werden, hat Sich Microsoft Sentinel von einem herkömmlichen SIEM zu einem SIEM und einer Plattform entwickelt – erweitert über statische, regelbasierte Steuerelemente und Reaktion nach einer Sicherheitsverletzung hinaus, um eine KI-fähige, daten erste Grundlage bereitzustellen, die Telemetrie in ein Sicherheitsdiagramm transformiert, den Zugriff für Agents standardisiert und autonome Aktionen koordiniert, während der Mensch die Kontrolle über Strategie und Untersuchungen mit hohen Auswirkungen erhält.

Als SIEM bietet Microsoft Sentinel KI-gesteuerte Sicherheit in multicloud- und multiplatform-Umgebungen und bietet robuste Funktionen für die Bedrohungserkennung, Untersuchung, Suche, Reaktion und automatisierte Angriffsunterbrechungen. Als Plattform bietet Microsoft Sentinel eine Grundlage auf einem modernen Data Lake für tiefe Einblicke, Graphfunktionen für kontextbezogene Analysen, einen gehosteten MCP-Server (Model Context Protocol) für agentfähige Tools und Entwicklerfunktionen zum Erstellen und Bereitstellen von Lösungen über den Security Store.

Dieser Artikel enthält eine Übersicht über Microsoft Sentinel und seine Kernkomponenten. Es wird erläutert, wie Microsoft Sentinel Sicherheitsteams hilft, Bedrohungen zu erkennen und darauf zu reagieren und kontinuierlich anzupassen, indem Daten vereinheitlicht, Antworten automatisiert und KI-gesteuerte Erkenntnisse abgeleitet werden.

KI-nativ, End-to-End-Plattform für SIEM und Sicherheit

Dieses Diagramm veranschaulicht die Microsoft Sentinel AI-first, End-to-End-SIEM- und Sicherheitsplattform, wobei die Kernkomponenten und die Integration in Microsoft Security Copilot hervorgehoben werden.

Ein Diagramm, das die Microsoft Sentinel AI-first- und End-to-End-SIEM- und Sicherheitsplattform darstellt.

Microsoft Sentinel SIEM

Die cloudnative Microsoft Sentinel SIEM-Lösung bietet KI-gestützte Sicherheit in multicloud- und multiplatform-Umgebungen. Es bietet umfassende Funktionen für die Bedrohungserkennung, Untersuchung, Reaktion und proaktive Suche, sodass Sicherheitsteams eine einheitliche Ansicht ihres Unternehmens erhalten.

Microsoft Sentinel SIEM ist im Microsoft Defender-Portal verfügbar – für Kunden mit oder ohne Defender XDR oder eine E5-Lizenz – mit einer einheitlichen Sicherheitsoperationserfahrung. Diese Integration optimiert Workflows, verbessert die Sichtbarkeit und hilft Analysten, schneller und präziser auf immer komplexere Bedrohungen zu reagieren.

Die Integration von Microsoft Sentinel SIEM mit dem Defender-Portal und Security Copilot schafft ein leistungsfähiges Ökosystem, das Sicherheitsvorgänge verbessert. Security Copilot ermöglicht Es Analysten, mit Microsoft Sentinel-Daten mit natürlicher Sprache zu interagieren, Suchabfragen zu generieren und Untersuchungen zu automatisieren, um die Reaktion auf Bedrohungen schneller und barrierefreier zu gestalten.

Weitere Informationen finden Sie unter "Was ist Microsoft Sentinel SIEM?"

Datenconnectors

Sammeln Sie Daten überall dort, wo sich die Daten befinden, einschließlich aller Benutzer, Geräte, Anwendungen und Infrastruktur, sowohl lokal als auch in mehreren Clouds:

  • 350+ sofort einsatzbereite Datenkonnektoren mit Unterstützung für Erstanbieter- und Drittanbieter-Sicherheitslösungen sowie Cloudplattformen

  • Eine integrierte Tabellenverwaltungserfahrung, die die Auswahl von Datenspeichern vereinfacht und die gestufte Platzierung über Analyse- und Data-Lake-Ebenen hinweg unterstützt.

  • Daten, die in die Analyseebene aufgenommen werden, werden automatisch auf der Datenseeebene gespiegelt, um sicherzustellen, dass die Datenseeebene das zentrale, einheitliche Repository für alle Sicherheitsdaten bleibt.

  • No-Code- und benutzerdefinierte Connectoroptionen

  • Datennormalisierung zum Übersetzen verschiedener Quellen in eine einheitliche, normalisierte Ansicht

Weitere Informationen finden Sie unter Microsoft Sentinel-Daten-Connectors.

Kernkomponenten der Microsoft Sentinel-Plattform

Microsoft Sentinel-Datensee

Microsoft Sentinel Data Lake ist ein vollständig verwalteter, cloudeigener Datensee, der für Sicherheitsvorgänge entwickelt wurde. Es vereint, speichert und analysiert Sicherheitsdaten im großen Maßstab – die Grundlage für erweiterte Analysen, KI-gesteuerte Erkenntnisse und agentische Verteidigung.

Der Data Lake wurde für Flexibilität und Tiefe entwickelt und unterstützt multi modale Analysen – einschließlich Kusto-Abfragen, graphbasierter Beziehungsanalyse, Microsoft Modeling Language (MML), Security Copilot Agents und KI-fähige Notizbücher in Visual Studio Code – alle auf einer einzigen Kopie von Open-Format-Daten.

Mit kosteneffizienter Speicherung und langfristiger Aufbewahrung können Sicherheitsteams dauerhafte Bedrohungen untersuchen, Warnungen mit historischem Kontext bereichern und Verhaltensbasispläne mithilfe von Monaten mit Daten erstellen, ohne den Aufwand der herkömmlichen Infrastruktur zu erhöhen.

Zu den wichtigsten Funktionen des Microsoft Sentinel Data Lake gehören:

  • Zentralisiert Protokolle von Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune und mehr als 350 Daten-Connectors, einschließlich Amazon Web Services (AWS) und Google Cloud Platform (GCP), um Datensilos zu beseitigen.

  • Optimiert die Kosten durch Entkoppeln der Datenaufnahme von Analysen, sodass Sie massive Mengen von Sicherheitsdaten speichern und die effektivsten Analysemodule für Aufgaben wie Bedrohungssuche, Anomalieerkennung und umfassende forensische Untersuchungen anwenden können.

  • Ermöglicht multimodische Analysen auf einer einzigen Kopie von Open-Format-Daten mithilfe von Kusto-Abfragen, geplanten Aufträgen und KI-Notizbüchern in Visual Studio Code – keine Infrastruktureinrichtung erforderlich.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Data Lake?.

Microsoft Sentinel graph

Microsoft Sentinel Graph bietet einheitliche Graph-Analysefunktionen, indem komplexe Beziehungen über Ressourcen, Identitäten, Aktivitäten und Bedrohungsintelligenz hinweg modelliert und analysiert werden. Es ermöglicht Microsoft Defenders und KI-Agenten, über miteinander verbundene Daten zu schlussfolgern, was tiefere Einblicke und eine schnellere Reaktion auf Cyberbedrohungen bietet.

Zu den wichtigsten Funktionen von Microsoft Sentinel graph gehören:

  • Einheitliche graphbasierte Analysen, die integrierte Erfahrungen über Sicherheit, Compliance, Identität und das Microsoft Security-Ökosystem hinweg ermöglichen.
  • Reale Beziehungsmodellierung, die Knoten und Kanten verwendet, um Benutzer, Geräte, Cloudressourcen, Datenflüsse und Angreiferaktionen darzustellen.
  • Verbesserte Bedrohungsgründe, um Defenders dabei zu helfen, komplexe Fragen zu beantworten, z. B. welche anfälligen Pfade ein Angreifer von einer kompromittierten Entität zu einem kritischen Objekt annehmen könnte.
  • End-to-End-Verteidigung mit Unterstützung sowohl vor als auch nach Sicherheitsvorfällen mithilfe von miteinander verbundenen Graphen in Microsoft Defender und Microsoft Purview.

Weitere Informationen finden Sie unter Was ist Microsoft Sentinel Graph?.

Microsoft Sentinel-Modellkontextprotokollserver (MCP)

Microsoft Sentinel MCP-Server bietet eine einheitliche, gehostete Schnittstelle, die Es Sicherheitsteams ermöglicht, mit Sicherheitsdaten mit natürlicher Sprache zu interagieren und intelligente Sicherheits-Agents zu erstellen – ohne Infrastruktureinrichtung oder benutzerdefinierte Connectors. Diese Integration vereinfacht die Datensuche und Automatisierung, wodurch KI-gesteuerte Sicherheitsvorgänge barrierefreier und effektiver werden.

Zu den wichtigsten Funktionen des Microsoft Sentinel MCP-Servers gehören:

  • Eine gehostete Schnittstelle, die Microsoft Entra für Identität verwendet und kompatible Clients für nahtlose KI-Vorgänge unterstützt.
  • Tools für die Sicherheit natürlicher Sprachen, einschließlich szenarioorientierter Tools zum Abfragen und Denken über Microsoft Sentinel-Datensee ohne Schemakenntnisse oder Codierung.
  • Beschleunigte Agentenerstellung, mit der Techniker angepasste Sicherheitsmitarbeiter mit natürlicher Sprache erstellen können, wodurch der manuelle Aufwand reduziert und die Automatisierung beschleunigt wird.
  • Die native Integration in den Data Lake von Microsoft Sentinel ermöglicht ein umfassendes Kontext-Engineering, ohne die Datenabdeckung oder -kosten zu beeinträchtigen.

Weitere Informationen finden Sie unter Was ist die Unterstützung von Microsoft Sentinel für Model Context Protocol (MCP)?.

Microsoft Sentinel-Entwicklererfahrung

Microsoft Sentinel bietet umfassende Funktionen für Partner, um wirkungsvolle Lösungen zu erstellen, die sie über den Microsoft Security Store oder den Microsoft Sentinel SIEM Content Hub veröffentlichen können. Bei Nutzung der Erweiterungen von Microsoft Sentinel können Sie neue Szenarien mit einer breiten Palette von Sicherheitsdaten, Verarbeitungsfunktionen und KI-Erfahrungen unterstützen, ohne dass neue Pipelines, Rechenmodule oder Speicherinfrastruktur erforderlich sind.

Partner können z. B. Folgendes erstellen, packen und veröffentlichen:

  • Microsoft Sentinel SIEM-Inhalte wie Connectors, Analyseregeln, Suchabfragen und Playbooks.
  • Microsoft Sentinel-Plattforminhalte wie Connectors, Jupyter Notebook-Aufträge zum Analysieren der Daten und Agents, die diese Daten mit vorhandenen Lake-Inhalten korrelieren. Der Agent kann dann mit anderen Endpunkten und externen Anwendungen interagieren, um Kunden eine leistungsstarke einheitliche Erfahrung zu bieten.

Weitere Informationen finden Sie unter Erstellen und Veröffentlichen von Microsoft Sentinel-Lösungen.

Get started

Informationen zu den ersten Schritten mit der Microsoft Sentinel-Plattform und SIEM finden Sie unter:

  • Last updated on