Microsoft Sentinel Monitoring umfasst in der Praxis eine Vielzahl von Aufgaben - von der Datenquellenintegration über die regelbasierte Erkennung sicherheitsrelevanter Ereignisse bis hin zur strukturierten Reaktion auf Vorfälle. Als cloudbasierte SIEM- und SOAR-Plattform bietet Sentinel Funktionen zur zentralen Sicherheitsüberwachung in komplexen IT-Umgebungen. Die effektive Nutzung setzt Kenntnisse in Datenkonnektivität, Analyseregeln und Automatisierungslogik voraus.

Kursinhalt
1. Architektur und Datenquellen von Microsoft Sentinel
  • Aufbau des Log-Analytics-Workspace als Datenbasis
  • Anbindung von Datenquellen über Konnektoren und APIs
  • Strukturierung und Normalisierung von Sicherheitsdaten

2. Erkennung von Bedrohungen mit Analyseregeln
  • Erstellung und Konfiguration geplanter Abfrageregeln
  • Nutzung von Fusion-Regeln und Machine-Learning-basierter Erkennung
  • Anpassung von Microsoft Security Insights und Community-Regeln

3. Incident-Management und Untersuchungsworkflows
  • Ticket-Erstellung, Priorisierung und Zuweisung von Sicherheitsvorfällen
  • Nutzung des Untersuchungsdiagramms zur Ursachenanalyse
  • Dokumentation und Eskalationspfade im SOC-Betrieb

4. Automatisierung mit Playbooks und SOAR-Funktionen
  • Erstellung von Automatisierungsregeln und Playbooks auf Basis von Logic Apps
  • Reaktionsautomatisierung bei definierten Incident-Triggern
  • Integration externer Ticketing- und Kommunikationssysteme

Berufliche Relevanz
  • SOC-Analysten und Security Engineers nutzen Sentinel für tagesaktuelle Bedrohungserkennung
  • IT-Sicherheitsbeauftragte steuern Überwachungsprozesse und Compliance-Nachweise über die Plattform
  • Cloud-Administratoren integrieren Sentinel in bestehende Azure-Sicherheitsarchitekturen