Fejléc

Microsoft Sentinel különböző környezetekben: felhő, on‑prem és hibrid

Szerző ikon Dobay Ivett

Dátum ikon 2026.03.12

A mai IT-környezetekben a biztonsági események nem egy helyen keletkeznek: felhőszolgáltatásokban, vállalati végpontokon, hálózati eszközökben és üzleti alkalmazásokban egyszerre. Egy SIEM (biztonsági eseménykezelő) szerepe ezért kulcsfontosságú: közös „gyűjtőpontot” ad az eseményeknek, segít összefüggéseket találni, és lehetővé teszi, hogy a jelzésekből incidens-szintű kép álljon össze. A piacon többféle SIEM megközelítés létezik (felhőalapú és helyben telepített), de a cél minden esetben ugyanaz: átlátható, követhető és automatizálható biztonsági működés – a manuális terhelés csökkentésével.

A Microsoft Sentinel sok szervezetnél már „be van kapcsolva” – mégis nagyon eltérő, ki mennyi értéket kap belőle. Ennek oka legtöbbször nem a Sentinel képességeiben, hanem a környezet kiindulópontjában és az adatok minőségében keresendő: más a helyzet egy Microsoft‑központú felhőben, más egy on‑prem domináns infrastruktúrában, és megint más egy hibrid felállásban.

A Sentinel önmagában egy Azure‑ban futó, felhőalapú biztonsági eseménykezelő (SIEM), automatizálási lehetőségekkel. Több forrásból eseményeket gyűjt, összefüggéseket keres, riasztást képez, majd incidensekké rendezi a jelzéseket. A döntő kérdés: milyen források érkeznek be, mennyire egységesek az azonosítók, és mennyire könnyű belőlük kontextust építeni.

1) Microsoft‑központú felhő (vagy vegyes) környezet

Itt a kiindulás jellemzően kedvezőbb, mert a Microsoft ökoszisztéma sok eleme „közös nyelvet beszél”. Tipikus források:

  • Microsoft 365 (pl. Exchange, SharePoint, Teams események)
  • Entra ID (Azure AD) bejelentkezések és hozzáférési események
  • Microsoft Defender jelzések (végpont, identitás, felhőalkalmazás)
  • Azure‑tevékenységnaplók és felhőműveletek

A közös azonosítók (felhasználó, eszköz, bérlő) és a kész integrációk miatt a kontextus gyakran gyorsabban összeáll. Ettől még itt is előfordul, hogy a „gyári” észlelési szabályok túl sok jelzést adnak – de általában gyorsabban azonosítható, hol a zaj forrása.

2) On‑prem domináns környezet

On‑prem környezetben a Sentinel értéke ugyanúgy megvan, csak a „munkát” más jellegű feladatok előzik meg. Tipikus források:

  • Windows eseménynaplók (szerverek, munkaállomások)
  • helyi címtár és hitelesítési események
  • hálózati eszközök (tűzfal, VPN, proxy)
  • alkalmazásnaplók és infrastruktúra‑események

A kihívás többnyire az, hogy a telemetria bejuttatása és egységesítése több előkészítést igényel: eltérő formátumok, hiányos mezők, időszinkron‑problémák, azonosítók következetlensége. Ezek mind rontják a korrelációt, és így azt is, hogy egy jelzésből gyorsan incidens‑szintű kép álljon össze.

3) Hibrid környezet

Hibrid felállásban a jelzések felhőből és helyi rendszerekből is érkeznek. Itt a legnagyobb érték (és egyben a legnagyobb feladat) az események összefésülése: hogy ugyanahhoz az ügyhöz összeálljon a felhasználó–eszköz–IP–alkalmazás kép. Tipikus nehézség, hogy ugyanaz a folyamat több helyen „látszik” (felhő‑hozzáférés, végpontjelzés, VPN esemény, tűzfalnapló), és következetes besorolás nélkül széttöredezett jelzések maradnak.

4) Nem „gyári” (nem Microsoft) adatforrások

A Sentinel nem csak Microsoft forrásokra építhető. Harmadik féltől származó eszközök és SaaS rendszerek is beköthetők (például syslog/CEF alapon vagy API‑kapcsolatokkal). A gyakorlatban ez három dolgot jelent:

  1. Bekötés és adatgyűjtés: meg kell választani a csatornát (syslog/CEF, API, egyedi naplóformátum).
  2. Eseménymezők értelmezése és egységesítése (normalizálás): ugyanaz az információ több rendszerből csak akkor „áll össze”, ha az azonosító mezők és elnevezések következetesek.
  3. Észlelési szabályok környezetre hangolása: a korreláció és a riasztási logika csak így lesz releváns (kivételek, szervezeti sajátosságok, belső rendszerek).


5) Miért nem elég a „bekötött Sentinel”?

A Sentinel adatot és jelzéseket ad, de önmagában nem garantálja, hogy a vállalat gyorsan és egységesen tud dönteni. A stabil működéshez általában ezek kellenek:

  • folyamatos észlelési szabály‑finomhangolás (a zaj csökkentésére)
  • következetes triázs (előszűrés) és átadási rend
  • adatforrás‑felügyelet (kiesések, kilengések észlelése)
  • automatizálási forgatókönyvek ott, ahol ismétlődő lépések vannak (címkézés, értesítés, alap dúsítás)

A következő cikkben azt nézzük meg, hogyan lesz a Sentinel jelzéseiből döntéstámogató incidens‑kép: milyen lépésekből áll a triázs (előszűrés), milyen „bizonyítékcsomag” kell az átadáshoz, és hol lehet automatizálással csökkenteni a humán terhelést.

Kérdése van, érdekelné megoldás? Vegye fel Kollégáinkkal a kapcsolatot!