Microsoft Sentinel Monitoring umfasst in der Praxis eine Vielzahl von Aufgaben - von der Datenquellenintegration über die regelbasierte Erkennung sicherheitsrelevanter Ereignisse bis hin zur strukturierten Reaktion auf Vorfälle. Als cloudbasierte SIEM- und SOAR-Plattform bietet Sentinel Funktionen zur zentralen Sicherheitsüberwachung in komplexen IT-Umgebungen. Die effektive Nutzung setzt Kenntnisse in Datenkonnektivität, Analyseregeln und Automatisierungslogik voraus.
Kursinhalt1. Architektur und Datenquellen von Microsoft Sentinel
- Aufbau des Log-Analytics-Workspace als Datenbasis
- Anbindung von Datenquellen über Konnektoren und APIs
- Strukturierung und Normalisierung von Sicherheitsdaten
2. Erkennung von Bedrohungen mit Analyseregeln
- Erstellung und Konfiguration geplanter Abfrageregeln
- Nutzung von Fusion-Regeln und Machine-Learning-basierter Erkennung
- Anpassung von Microsoft Security Insights und Community-Regeln
3. Incident-Management und Untersuchungsworkflows
- Ticket-Erstellung, Priorisierung und Zuweisung von Sicherheitsvorfällen
- Nutzung des Untersuchungsdiagramms zur Ursachenanalyse
- Dokumentation und Eskalationspfade im SOC-Betrieb
4. Automatisierung mit Playbooks und SOAR-Funktionen
- Erstellung von Automatisierungsregeln und Playbooks auf Basis von Logic Apps
- Reaktionsautomatisierung bei definierten Incident-Triggern
- Integration externer Ticketing- und Kommunikationssysteme
Berufliche Relevanz
- SOC-Analysten und Security Engineers nutzen Sentinel für tagesaktuelle Bedrohungserkennung
- IT-Sicherheitsbeauftragte steuern Überwachungsprozesse und Compliance-Nachweise über die Plattform
- Cloud-Administratoren integrieren Sentinel in bestehende Azure-Sicherheitsarchitekturen