Microsoft Sentinel: Cloud-Native SIEM/SOAR für kleine Unternehmen in Berlin
Die meisten Berliner Kleinunternehmen gehen davon aus, dass ein Cloud-SIEM ein dediziertes Security Operations Centre und ein sechsstelliges Softwarebudget voraussetzt. Microsoft Sentinel räumt mit dieser Annahme auf. Aufgebaut auf dem Log-Analytics-Modul von Azure Monitor ist Sentinel eine cloud-native SIEM- und SOAR-Plattform, die in Minuten bereitgestellt wird, Microsoft-365-Sicherheitssignale ohne zusätzliche Datenkosten aufnimmt und die Reaktion auf Vorfälle durch Logic-Apps-Playbooks automatisiert – ohne eigene Hardware und ohne gerätebasierte Lizenzstapelung.
Dieser Leitfaden erklärt, wie Sentinel funktioniert, welche Datenquellen für Microsoft-365-Mandanten kostenlos sind, wie Analyseregeln und UEBA Bedrohungen erkennen und wie Berliner Unternehmen die Plattform DSGVO-konform mit deutschem Datenstandort einsetzen können.
Was ist Microsoft Sentinel?
Microsoft Sentinel ist Microsofts cloud-native SIEM- (Security Information and Event Management) und SOAR-Plattform (Security Orchestration, Automation, and Response), seit September 2019 allgemein verfügbar. Alle Daten werden in einem Azure-Log-Analytics-Arbeitsbereich gespeichert – derselben Engine, die Azure Monitor, Entra-ID-Anmeldeprotokolle und Defender for Cloud antreibt. Sentinel ergänzt diesen Arbeitsbereich um vier Funktionsschichten:
- Datenerfassung – Konnektoren für Hunderte von Microsoft- und Drittanbieterquellen, von Entra ID bis zu Palo-Alto-Firewalls
- Analysen – geplante KQL-Abfragen, Near-Real-Time-Regeln (NRT) und ML-basierte Fusion-Anomalieerkennung
- Untersuchung – Vorfallswarteschlange mit entitätszugeordnetem Untersuchungsgraphen und UEBA-gesteuerter Priorisierung
- Automatisierung – Logic-Apps-Playbooks für aktive Reaktionen sowie No-Code-Automatisierungsregeln für die Triage
Kostenlose Microsoft-365-Datenquellen
Microsoft erlasst die Aufnahmekosten für folgende Konnektordaten, wenn Sentinel und der Quellmandant dasselbe Azure-Abonnement teilen oder der Microsoft-365-E5-Security-Benefit greift:
- Microsoft-365-Defender-Warnungen und -Vorfälle (deckt MDO, MDI, MDE und MCAS in einem einzigen Konnektor ab)
- Entra-ID-Anmeldeprotokolle, Audit-Protokolle und nicht-interaktive Anmeldeprotokolle – kostenlos bis zu 5 GB pro Arbeitsbereich und Monat
- Microsoft-Office-365-Aktivitätsprotokolle
- Azure-Aktivitätsprotokolle
- Microsoft-Defender-for-Cloud-Sicherheitswarnungen
Für einen 25-Benutzer-Mandanten mit Microsoft 365 Business Premium in Berlin, der nur diese Quellen aufnimmt, liegt das tägliche Datenvolumen typischerweise bei 1–3 GB – kostengünstig zu Pay-as-you-go-Sätzen und häufig unterhalb des kostenlosen Kontingents von 5 GB für Entra ID allein.
Datenkonnektoren-Architektur
Sentinel verbindet sich mit Quellen über ein typisiertes Konnektor-Framework:
| Konnektortyp | Aufnahmemethode | Beispiele |
|---|---|---|
| Microsoft nativ | Direkte API / Diagnoseeinstellungen | Entra ID, M365 Defender, Azure-Aktivität |
| CEF / Syslog | Linux-Protokollweiterleiter mit AMA-Agent | Palo Alto, Fortinet, Cisco ASA |
| REST-API-Polling | Logic App oder Azure Function | Salesforce, GitHub, benutzerdefinierte APIs |
| Windows-Sicherheitsereignisse | Azure Monitor Agent (AMA) über DCR | Domänencontroller, Windows-Server |
Für ein Berliner KMU mit Microsoft 365 Business Premium ist der minimale Konnektor-Satz: der einheitliche Microsoft-365-Defender-Konnektor (ein Konnektor für alle Defender-Workloads), Entra ID (Anmelde- und Audit-Protokolle) sowie Azure-Aktivität. Das liefert Identitäts-, E-Mail-, Endgeräte- und Cloud-Abdeckung zu nahezu null Mehrkosten.
Analyseregeln: Geplant, NRT und ML-Anomalie
Sentinel wird mit über 150 integrierten Analyseregel-Vorlagen geliefert. Es gibt drei Typen:
- Geplante Regeln führen KQL-Abfragen in einem definierten Rhythmus aus (alle 5 Minuten bis alle 24 Stunden). Ergebnisse, die eine Schwellenbedingung erfüllen, erzeugen Warnungen. Die meisten integrierten Erkennungen nutzen geplante Regeln.
- Near-Real-Time-Regeln (NRT) werden innerhalb von ca. 1 Minute nach Datenaufnahme ausgeführt. Sie werden für hochpräzise, volumenarme Erkennungen verwendet, bei denen Geschwindigkeit kritisch ist – etwa wenn ein privilegiertes Konto sich von einem Tor-Exitknoten aus anmeldet.
- ML-basierte Fusion- und Anomalie-Regeln verwenden von Microsoft trainierte Modelle, die kontinuierlich gegen Ihre Arbeitsbereichsdaten laufen. Fusion korreliert niedriggradige Signale über Identität, Netzwerk und Endgerät, um mehrstufige Angriffsketten zu erkennen, die keine einzelne Regel markieren würde.
Für Organisationen, die mit Sentinel beginnen, liefert das Aktivieren aller integrierten Vorlagen der Kategorien Microsoft 365 Defender und Entra ID sofortige Abdeckung. Die Aktivierung der Fusion-Regel (ein einziger Schalter) ermöglicht ML-basierte mehrstufige Angriffserkennung ohne zusätzlichen Konfigurationsaufwand.
User and Entity Behavior Analytics (UEBA)
UEBA erstellt statistische Verhaltens-Baselines für jeden Benutzer und jede Entität (Gerät, Anwendung, Ressource) im Mandanten. Wenn ein Benutzer von seiner Baseline abweicht – Anmeldung aus einem neuen Land, Zugriff auf bisher nie geöffnete Dateien, Download des Zehnfachen seines typischen Tagesvolumens – weist UEBA einen Anomalie-Score (0–10) zu und reichert zugehörige Vorfälle mit Kontext an:
- Peer-Group-Vergleich: kennzeichnet, ob die Aktivität im Vergleich zu Kollegen in derselben Rolle oder Abteilung anomal ist – nicht nur relativ zur eigenen Geschichte des Benutzers
- Anomalie-Score: numerische Bewertung direkt im Vorfalls-Entitätspanel, ermöglicht Triage ohne zusätzliche Datenabfragen
- Untersuchungsprioritäts-Score: kombiniert UEBA-Anomalie-Scores mit Vorfallsschweregraden, um die risikoreichsten Fälle an die Spitze der Warteschlange zu setzen
UEBA ist besonders wirksam bei der Erkennung kompromittierter Anmeldedaten (Verhalten passt zur Identität, aber nicht zu den Mustern des Benutzers) und Insider-Bedrohungen. Für die Korrelation von Identitätsbedrohungen arbeitet Sentinels UEBA eng mit den risikobasierten Signalen von Entra ID Protection zusammen – Risikoereignisse aus ID Protection fließen direkt in Sentinel-Analyseregeln ein.
Vorfälle und der Untersuchungsgraph
Sentinel trennt Warnungen (einzelne Erkennungen aus Analyseregeln oder verbundenen Produkten) von Vorfällen (korrelierten Gruppen zusammengehörender Warnungen). Warnungsgruppierungsregeln definieren, wie Warnungen zusammengeführt werden – nach gemeinsamer Entität (gleicher Benutzer, gleiche IP, gleicher Host), nach Zeitfenster oder nach Analyseregel.
Der Untersuchungsgraph visualisiert die Beziehungen zwischen allen beteiligten Entitäten: Benutzer, Geräte, IP-Adressen, Postfächer, Prozesse und Cloud-Anwendungen. Durch Klicken auf jeden Knoten wird dieser erweitert, um zugehörige Warnungen, Zeitachse und Risiko-Score anzuzeigen.
Automatisierung: Playbooks und Automatisierungsregeln
Sentinel bietet zwei Automatisierungsebenen:
Automatisierungsregeln sind No-Code-Bedingungs-Aktions-Regeln, die in Millisekunden bei der Vorfallserstellung oder -aktualisierung ausgeführt werden. Häufige Aktionen: Vorfall einem Analysten zuweisen, Schweregrad ändern, Kommentar hinzufügen oder ein Playbook auslösen.
Playbooks sind Azure-Logic-Apps-Workflows, die durch Sentinel-Warnungen oder -Vorfälle ausgelöst werden. Ein typisches Reaktions-Playbook für einen schwerwiegenden Anmelde-Anomalie-Vorfall: Token des Benutzers in Entra ID widerrufen, adaptive Karte in den Microsoft-Teams-Sicherheitskanal posten und automatisch ein ServiceNow-Ticket erstellen – ohne benutzerdefinierten Code, nur mit vorgefertigten Logic-Apps-Konnektoren.
Kostenmodell
- Pay-as-you-go: ca. 2,60 € pro GB aufgenommener Daten (Deutschland-West-Mitte, 2025)
- Verpflichtungsstufen: 100 GB/Tag (~156 €/Tag), 200 GB/Tag, 500 GB/Tag – 20–65 % Rabatt
- Interaktive Aufbewahrung: 90 Tage inklusive; Archivaufbewahrung bis zu 7 Jahre zu ~0,02 €/GB/Monat
- Microsoft-365-E5-Benefit: 5 MB pro lizenziertem Benutzer und Tag an Microsoft-365-Daten kostenlos
DSGVO und Datenstandort
Entra-ID-Anmeldeprotokolle enthalten IP-Adressen, die gemäß DSGVO Artikel 4 als personenbezogene Daten gelten. Wählen Sie beim Erstellen eines Sentinel-Arbeitsbereichs Deutschland West Mitte als Azure-Region. Alle aufgenommenen Daten verbleiben in Deutschland und erfüllen damit die DSGVO-Anforderungen an den Datenstandort ohne zusätzliche Datenübertragungsfolgenabschätzungen.
Bereitstellungsschritte für Berliner Kleinunternehmen
- Azure-Portal → Microsoft Sentinel → Erstellen → Neuen Arbeitsbereich erstellen → Region: Deutschland West Mitte
- Nach der Bereitstellung: Datenkonnektoren → „Microsoft 365 Defender“ suchen → Konnektorseite öffnen → Verbinden
- Konnektor Azure Active Directory hinzufügen – Anmeldeprotokolle, Audit-Protokolle und nicht-interaktive Anmeldeprotokolle aktivieren
- Analysen → Regelvorlagen → nach Microsoft 365 Defender filtern → alle Hochschwere-Vorlagen aktivieren
- Fusion-Regel aktivieren: Analysen → Aktive Regeln → „Advanced Multistage Attack Detection“ bestätigen
- Einstellungen → User Entity Behaviour Analytics → UEBA aktivieren → Entra ID als Identitätsquelle auswählen
- Automatisierung → Playbook-Vorlagen → „Benutzer in Entra ID blockieren“ und „Nachricht in Teams posten“ als Starter-Automatisierungs-Kit bereitstellen
Microsoft Sentinel fungiert als zentrales Nervensystem einer Zero-Trust-Sicherheitsarchitektur: Es nimmt Signale von jeder Durchsetzungsschicht auf – Identität, Gerät, Netzwerk, Anwendung – und korreliert sie zu handlungsfähigen Vorfällen.
Weiterfuehrende Artikel
- Entra ID Protection: Risikoereignisse in Microsoft Sentinel aufnehmen und auf SIEM-Ebene korrelieren
- Zero Trust: Microsoft Sentinel als SIEM/SOAR-Überwachungs- und Automatisierungsschicht im Zero-Trust-Modell
- Microsoft Defender for Identity: Identitätsbedrohungssignale aus MDI über den M365-Defender-Konnektor in Sentinel aufnehmen
Auch zu diesem Thema
Auch zu diesem Thema
Auch zu diesem Thema