Microsoft Sentinel

Kurzfazit

Microsoft Sentinel ist 2025/26 das ehrliche Default-SIEM für jedes Unternehmen, das ohnehin in Microsoft 365 und Entra ID lebt, und damit für den deutschen Mittelstand und Großteile der Konzern-IT die naheliegende Wahl. UEBA, MITRE-ATT&CK-Mapping, automatisierte Playbooks und EU-Hosting in Frankfurt sind Standard, nicht Aufpreis. Mit der Verlagerung ins Defender-Portal als Teil der Unified-SecOps-Plattform und der Integration von Microsoft Security Copilot wird Sentinel strategisch zur KI-gestützten SOC-Plattform. Die echten Schwächen: Kosten skalieren hart linear mit dem Log-Volumen (ohne Disziplin teuer), die Migration ins Defender-Portal bis März 2027 verlangt Planung, und für Nicht-Microsoft-Stacks gibt es naheliegendere Alternativen.

Für wen ist Microsoft Sentinel?

Microsoft-365- und Entra-ID-zentrierte Unternehmen: Die offensichtliche Zielgruppe. Wer ohnehin in der Microsoft-Welt lebt, bekommt mit Sentinel das SIEM, das jede Datenquelle (Entra-Login, Defender-Alerts, Exchange-Aktivität, SharePoint-Zugriff, Windows-Events) ohne Konnektor-Bastelei einsammelt. Die operative Reibung ist minimal, gegenüber Drittanbieter-SIEMs ein deutlicher Vorteil.

Mittelständische IT-Security-Teams mit Compliance-Bedarf: BSI C5, ISO 27001, BAIT, MaRisk, die typischen deutschen Compliance-Frameworks setzen ein SIEM voraus. Sentinel mit Frankfurt-Hosting und AVV erfüllt das technisch und vertraglich. Für ein Mittelstandsunternehmen, das nicht selbst ein SOC aufbauen will, ist Sentinel mit einem MSSP-Partner oft der pragmatische Pfad.

SOCs und SecOps-Teams in der Cloud-Transformation: Wer von Splunk-On-Premises oder klassischem QRadar weggehen will, findet in Sentinel die ausgereifteste Cloud-SIEM-Plattform. Skalierung, Integration mit Azure-Native-Diensten und das Microsoft-Threat-Intelligence-Feed sind echte Hebel.

Insider-Threat- und UEBA-Use-Cases: Verhaltensbaselines pro Nutzer, Anomalie-Scoring, Risikobewertung, alles ohne Aufpreis. Wer Insider-Bedrohungen ernsthaft adressieren will (verdächtiges Datenkopieren, unübliche Zugriffsmuster, anomale Zeitfenster), bekommt mit Sentinel die schmerzärmste Einstiegsplattform.

Branchen mit hohem Compliance-Druck: Pharma, Banken, kritische Infrastruktur, öffentliche Verwaltung. Sentinel ist in vielen behördlich validierten Cloud-Katalogen aufgeführt; die Vertragsbasis mit Microsoft Deutschland ist etabliert.

Weniger geeignet für: Linux-/Google-Workspace-zentrierte Stacks (dann eher Elastic, Splunk oder Chronicle), Self-Hosted-SIEM-Anforderungen aus regulatorischen Gründen (Wazuh, Elastic on-prem), kleine Unternehmen unter ~20 Mitarbeitenden ohne SOC-Funktion (Defender for Business reicht oft) und alle, die kurzfristig produktiv werden müssen, ohne KQL- und Azure-Know-how aufzubauen.

Preise im Detail

Plan	Abrechnung	Was du bekommst
Analytics-Tier, Pay-as-you-go	pro GB Ingestion (regions- und wechselkursabhängig)	Volle Funktionalität, UEBA inklusive, ideal für Workloads unter 100 GB/Tag
Commitment Tiers (100 GB bis 50.000 GB/Tag)	reservierte Tageskapazität, monatlich/jährlich	Planbare Kosten, bis zu ~52 % Ersparnis gegenüber Pay-as-you-go; jederzeit upgradebar, nach 31 Tagen reduzierbar
50-GB-Commitment-Tier (Public Preview)	Aktionspreis bis 31.12.2026	Promotion-Tarif, der bis 31. März 2027 gehalten wird (regionsabhängig)
Data-Lake-/Auxiliary-Tier	Low-Cost pro GB	Günstigere Speicheroption für selten abgefragte Logs; während der Data-Lake-Preview teils kostenfreie Speicherung
Microsoft Security Copilot	Security Compute Units (USD/Stunde)	KI-Investigation-Assistent, optional zubuchbar

Einordnung: Die Kosten skalieren linear mit dem Log-Volumen. Microsoft beziffert die Preise in US-Dollar und nennt sie ausdrücklich als Schätzwerte, die je nach Region, Vertrag und Wechselkurs schwanken, eine fixe Euro-pro-GB-Zahl gibt es nicht. Genaue Werte rechnest du am besten über den Azure-Preisrechner für deine Zielregion (z. B. Germany West Central) aus. Was sicher ist: Wer ohne Volumen-Disziplin in Sentinel kippt, sieht innerhalb von zwei Quartalen unangenehme Rechnungen. Wichtige Hebel: Filtere unnötige Logs vor der Ingestion (Azure Monitor Data Collection Rules), lege selten abgefragte Compliance-Daten in den günstigeren Data-Lake-/Auxiliary-Tier, wechsle bei stabilem Volumen ab 100 GB/Tag in Commitment-Tiers (bis zu ~52 % Ersparnis). Security Copilot ist mächtig, aber kostet pro Nutzungsstunde extra, für viele Mittelständler reichen die Standard-Sentinel-Analytics ohne Copilot völlig aus.

Stärken im Detail

UEBA ohne Aufpreis ist 2026 eine Seltenheit. Wettbewerber lizenzieren User and Entity Behavior Analytics typischerweise als separate Add-on-Module. Bei Sentinel ist UEBA Bestandteil der Standardplattform, Verhaltensbaselines pro Nutzer, Anomalie-Scoring, Risikobewertung. Für Insider-Threat-Erkennung ist das ein erheblicher Kostenvorteil, der oft übersehen wird.

EU-Hosting mit deutscher Region ist real. Sentinel speichert die Daten in der Region des zugehörigen Log-Analytics-Workspace, und Germany West Central (Frankfurt) ist laut Microsoft eine unterstützte SIEM-Region. Auch West Europe und North Europe halten die Daten in Europa. Der AVV ist Standard, BSI-C5-Zertifizierung ist dokumentiert. Für DSGVO-sensitive Branchen, Banken, Versicherungen, Gesundheit, öffentliche Verwaltung, ist Sentinel damit eines der wenigen Hyperscaler-SIEMs, das die regulatorischen Anforderungen ohne juristischen Klimmzug erfüllt.

Konnektor-Vielfalt ist außergewöhnlich. Hunderte vorgefertigte Konnektoren decken Microsoft 365, Entra ID, Azure, AWS, GCP, Cisco, Palo Alto, CrowdStrike, Okta, Salesforce und viele weitere Quellen ab. Was bei Drittanbieter-SIEMs Wochen Implementierungsarbeit kostet, sind in Sentinel Klicks. Für nicht abgedeckte Quellen funktionieren CEF, Syslog und REST-API als Fallback.

KQL ist die richtige Abfragesprache für Log-Analyse. Kusto Query Language ist deutlich ausdrucksstärker und lesbarer als die SPL-Abfragesprache von Splunk und um Welten leistungsfähiger als klassische SIEM-Filtersprachen. Wer einmal KQL gelernt hat, will nicht zurück, für Threat Hunter:innen ist das eine echte Produktivitäts-Aufwertung.

MITRE-ATT&CK-Mapping integriert. Die Sentinel-Workbooks zeigen die Sicherheitsabdeckung im MITRE-Framework, welche Taktiken und Techniken sind durch Analytics-Rules gedeckt, welche nicht? Für CISOs und SOC-Manager ist das eine ehrliche Visualisierung, wie weit das eigene Detection-Programm wirklich ist.

Microsoft Security Copilot als KI-SOC-Assistent. Seit 2024 produktiv, mittlerweile reifer. Copilot beantwortet KQL-Fragen in natürlicher Sprache („Welche Login-Anomalien hatten wir letzten Donnerstag in der Buchhaltung?”), erklärt Incidents, schlägt Response-Schritte vor. Das verkürzt die Lernkurve für Junior-SOC-Analyst:innen erheblich, die Kosten sind aber spürbar.

Unified SecOps im Defender-Portal. Seit 2025 wandert Sentinel zunehmend ins Microsoft Defender Portal, gemeinsam mit Defender XDR, Threat Intelligence und Attack Surface Management. Eine einheitliche Oberfläche statt fünf Konsolen ist ein operativer Gewinn, sobald die Migration durchlaufen ist.

Playbooks via Azure Logic Apps. Automatisierte Response: Ticket in ServiceNow erstellen, Nutzer in Entra deaktivieren, Endpoint in Defender isolieren, Slack-Channel benachrichtigen. Die Logic-Apps-Galerie ist riesig, was du dir vorstellen kannst, lässt sich orchestrieren. Voraussetzung: jemand im Team, der Logic Apps verstehen will.

Schwächen ehrlich betrachtet

Pricing-Disziplin ist Pflicht, nicht Kür. Sentinel ist verbrauchsabhängig, und verbrauchsabhängige Cloud-Dienste können böse Rechnungen produzieren. Ein einzelner Log-Spam (Anwendungs-Bug, der Stack-Traces ins Log schreibt) kann das Tagesvolumen verzehnfachen. Ohne Budget-Alerts und Data-Collection-Rules erlebst du Überraschungen, die in Beschaffungsabteilungen Konflikte erzeugen. Plane Volumen-Monitoring vom ersten Tag an.

Migration ins Defender-Portal bis März 2027. Bestandskunden auf dem Azure-Portal müssen migrieren, die Frist endet am 31. März 2027. Die Migration ist nicht trivial: Workbooks, Notebooks, Automation Rules und Eigenentwicklungen müssen geprüft werden. Wer das nicht plant, wird im letzten Quartal 2026/Q1 2027 unter Zeitdruck arbeiten. Microsoft kommuniziert das aktiv, aber die Erfahrung zeigt: Migrationsprojekte werden routinemäßig unterschätzt.

Microsoft-Lock-in ist real. Sentinel ist Azure-only. Wer einen Multi-Cloud- oder Linux-First-Stack betreibt, kann Sentinel zwar nutzen (Konnektoren für AWS, GCP, Linux-Syslog), aber die operativen Schwerpunkte sind klar Microsoft-zentriert. Wer Microsoft-Distanz strategisch hält, ist mit Elastic, Splunk oder Chronicle besser bedient.

KQL muss gelernt werden. Die Sprache ist mächtig, aber nicht intuitiv für SQL- oder SPL-gewöhnte Analyst:innen. Mindestens zwei bis vier Wochen Lernzeit für produktive Threat-Hunting-Arbeit sind realistisch. Microsoft Learn hat gute Kurse, aber Lernzeit ist Personalkosten.

Security Copilot ist teuer. Die Abrechnung läuft über Security Compute Units pro Nutzungsstunde, bei intensiver Nutzung durch ein SOC-Team summiert sich das schnell auf einen vierstelligen Monatsbetrag. Der Nutzen ist real, aber die Investition muss wirtschaftlich begründet werden. Für viele Mittelständler ist Standard-Sentinel ohne Copilot die ausreichende Wahl.

Kein Self-Hosted-Betrieb möglich. Für Branchen, die SIEM-Self-Hosting regulatorisch zwingend brauchen (manche kritische Infrastruktur, Geheimschutz), ist Sentinel raus. Wazuh, Elastic on-prem oder Splunk Enterprise on-prem sind dort die naheliegenden Alternativen.

Physische Zugangssysteme ohne nativen Konnektor. Badge-Systeme (Kaba exos, Salto, Interflex) sind in vielen deutschen Unternehmen relevant für Insider-Threat-Erkennung. Sentinel hat dafür keinen nativen Konnektor, du brauchst CEF/Syslog-Export oder eine REST-API-Integration. Funktioniert, ist aber Custom-Arbeit.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Self-Hosted-SIEM mit voller Datensouveränität willst
Elastic-basiertes SIEM mit Open-Source-Kern brauchst
Spezialisierte UEBA-Funktionalität in der Splunk-Welt willst

Erwähnenswert ohne eigene Tool-Seite: Google Chronicle / SecOps (gute Wahl für Google-Workspace- und GCP-zentrierte Stacks), Splunk Enterprise Security (Marktführer im großen Enterprise-Segment), IBM QRadar (Klassiker im Bankensektor, zunehmend Cloud-fähig), Exabeam (UEBA-Spezialist), LogRhythm (etabliertes Mid-Market-SIEM), Sumo Logic (Cloud-natives Log-Management), Securonix (UEBA und SOAR-Fokus). Im Microsoft-Ökosystem ist Sentinel die naheliegende Wahl, die operativen Reibungen mit anderen SIEMs sind real und teuer. Außerhalb von Microsoft ist die Wahl offener, und Sentinel ist nicht automatisch erste Wahl.

So steigst du ein

Schritt 1: Erstelle einen Azure-Account und aktiviere Microsoft Sentinel im Azure Portal in der Region Germany West Central (Frankfurt). Verbinde die ersten Datenquellen über die vorgefertigten Konnektoren: Microsoft 365, Microsoft Entra ID und Windows Security Events sind in wenigen Klicks verbunden. Wichtiger Hinweis: Wenn du 2026 neu startest, läuft das Onboarding automatisch ins Defender-Portal (Stand Juli 2025), plane das gleich von Anfang an in der Unified-SecOps-Oberfläche.

Schritt 2: Aktiviere UEBA unter „Settings → UEBA” und wähle die Entitätstypen aus, die analysiert werden sollen (Nutzer, Geräte, IPs). Sentinel beginnt sofort mit dem Aufbau der Verhaltensbaseline, für zuverlässige Anomalieerkennung rechne mit 30–60 Tagen Lernphase. Für physische Zugangssysteme: Exportiere Badge-Logs als CEF/Syslog oder über eine REST-API und konfiguriere einen Custom Connector. Sofort einrichten: Data Collection Rules zur Vorfilterung der Logs (verhindert Log-Spam-Kostenexplosion) und Budget-Alerts in der Azure-Kostenanalyse.

Schritt 3: Aktiviere vorhandene Analytics Rules für deine Bedrohungsszenarien (z. B. „Anomalous Access to Resources”, „Impossible Travel”, „Brute Force”). Passe die Alert-Schwellen an deine Organisation an, die Default-Schwellen produzieren oft False Positives. Richte Automation Rules ein, die bei UEBA-Alerts automatisch ein Ticket in deinem ITSM-System erstellen. Optional: Microsoft Security Copilot evaluieren, startet mit überschaubarem Stundenkontingent, bevor du fest committest.

Ein konkretes Beispiel

Ein Pharmaunternehmen mit 400 Mitarbeitenden und zwei Produktionsstandorten verbindet Microsoft Sentinel mit dem Zutrittssystem (Kaba exos) über einen CEF-Syslog-Export. UEBA erstellt automatisch Baselines pro Mitarbeiter: wer betritt wann welche Zone? Nach 45 Tagen erkennt Sentinel, dass ein Laborant an einem Sonntag die Wirkstoffkammer betritt, eine Zone, die er in den letzten sechs Monaten nie sonntags betreten hat. Der Alert landet automatisch im Security-Ticket-System und wird vom Bereitschaftsdienst innerhalb einer Stunde untersucht. Im konkreten Fall war es ein autorisierter Notfalleinsatz, dokumentiert per Telefonat mit der Werksleitung, aber die Detection-Schleife hat funktioniert und wäre bei einem echten Insider-Vorfall der entscheidende Hinweis gewesen. Monatliche Sentinel-Kosten: ein niedriger vierstelliger Betrag (rund 7 GB/Tag Ingestion, Pay-as-you-go, EU-Region Frankfurt; die exakte Höhe hängt von Region und Wechselkurs ab). Ohne UEBA wäre dieser Use Case in einem klassischen SIEM mit separaten Lizenzkosten verbunden gewesen.

DSGVO & Datenschutz

• Datenhosting: EU. Germany West Central (Frankfurt) ist als SIEM-Region verfügbar, ebenso West Europe und North Europe. Microsoft Sentinel speichert die Daten in der Region des zugehörigen Log-Analytics-Workspace; für europäische Workspaces wird die Verarbeitung in Europa durchgeführt. (Hinweis: Eine dedizierte Region Germany North / Berlin ist für Sentinel-SIEM aktuell nicht gelistet.)
• Auftragsverarbeitung (AVV): Standard im Microsoft Online Services DPA (Data Protection Addendum). Microsoft Deutschland als Vertragspartner möglich.
• Datennutzung: Sentinel-Inhaltsdaten werden nicht für Microsoft-Produktverbesserung oder KI-Training verwendet. Diagnostische Telemetrie (z. B. Performance-Metriken) ist optional und konfigurierbar.
• Compliance-Zertifizierungen: SOC 1/2/3, ISO 27001/27017/27018, BSI C5, HIPAA, FedRAMP High, PCI DSS. Für deutsche Behörden und kritische Infrastruktur ist BSI C5 die zentrale Referenz.
• Aufbewahrung: Über die Retention-Policy des Log-Analytics-Workspace frei konfigurierbar; Daten bleiben bis zur kundenseitig gesetzten Frist oder bis zum Offboarding erhalten. Nach Vertragsende werden die Daten spätestens nach 90 Tagen unwiderruflich gelöscht. Der Data-Lake-/Auxiliary-Tier bietet eine günstige Langzeit-Option für selten abgefragte Compliance-Daten.
• Datensouveränität: EU Data Boundary ist als Service verfügbar, garantiert Datenverarbeitung innerhalb der EU/EWR. Für hochsensitive Workloads (klassifizierte Daten) ist Microsoft Cloud for Sovereignty die ergänzende Option.
• Empfehlung für Unternehmen: Bei der Workspace-Erstellung explizit Germany West Central (oder eine andere EU-Region) wählen. AVV mit Microsoft Deutschland abschließen. Daten-Retention an die regulatorischen Vorgaben anpassen, viele Branchen überspezifizieren hier und treiben unnötig die Kosten hoch. Für Unternehmen mit höchster Datensouveränitäts-Anforderung: EU Data Boundary aktivieren.

Gut kombiniert mit

• , als Erkennung in der E-Mail- und Collaboration-Schicht, deren Alerts und Threat-Signale direkt in Sentinel landen. Klassische Defense-in-Depth-Kombination in Microsoft-Umgebungen.
• , für eigene KI-gestützte Analysen über Sentinel-Daten, ohne Security Copilot lizenzieren zu müssen. KQL-Ergebnisse als Kontext an ein GPT-Modell, das Erklärungen und Hypothesen liefert.
• , für Incident-Response-Workflows in ITSM-Umgebungen. Sentinel-Alerts erzeugen Tickets in ServiceNow, Workflow- und SLA-Management läuft dort.

Unser Testurteil

Microsoft Sentinel verdient 4 von 5 Sternen. Für Unternehmen im Microsoft-Ökosystem ist es die ausgereifteste Cloud-SIEM-Plattform mit klarem strategischen Pfad (Defender-Portal, Unified SecOps, Security Copilot). UEBA ohne Aufpreis, MITRE-Mapping integriert, EU-Hosting in Frankfurt und der reife Konnektor-Katalog sind echte Argumente. Den fünften Stern verliert es durch das harte volumenabhängige Pricing (das ohne Disziplin entgleist), die Migrations-Pflicht ins Defender-Portal bis 2027, die fehlende Self-Hosted-Option und die anhaltende Microsoft-Bindung. Für Microsoft-zentrierte Mittelständler ist es die naheliegende Default-Wahl, für Linux/Google-Workspace-Stacks sind Wettbewerber oft passender. Mit Microsoft Security Copilot wird Sentinel zur KI-SOC-Plattform, der Aufpreis muss aber wirtschaftlich begründbar sein.

Was wir bemerkt haben

• 2024, Microsoft Security Copilot wurde allgemein verfügbar. Erstmals lässt sich ein SIEM in natürlicher Sprache abfragen, und Junior-SOC-Analyst:innen können ohne tiefe KQL-Kenntnisse Hypothesen testen. Der Aufpreis ist spürbar, aber für SOCs ein echter Hebel.
• Juli 2025, Neue Sentinel-Kunden werden automatisch ins Defender-Portal onboarded, sofern sie die nötigen Berechtigungen haben. Das ist der erste klare Schritt der Konsolidierung, bestehende Azure-Portal-Kunden sehen Redirect-Links und Migrations-Hinweise.
• 2025, Ausbau der Low-Cost-Speicheroptionen (Auxiliary-Logs bzw. der neue Sentinel Data Lake). Damit werden bisher kostentechnisch unattraktive Compliance-Logs (Firewall-Volumen, NetFlow) wirtschaftlich speicherbar. Wer das früh in der Architektur einplant, spart erheblich gegenüber dem teuren Analytics-Tier.
• 2025–2026, Unified SecOps im Defender-Portal wird zur strategischen Hauptachse: Sentinel, Defender XDR, Threat Intelligence, Attack Surface Management und Security Copilot in einer Oberfläche. Operativer Gewinn, aber Migrationsaufwand für Bestandskunden.
• März 2027, Geplantes Ende des Azure-Portal-Pfads für Sentinel. Wer 2026 nicht migriert, arbeitet im letzten Quartal unter Zeitdruck. Microsoft kommuniziert das aktiv, die Frist ist verbindlich.
• Mai 2026, EU Data Boundary ist mittlerweile Standard für europäische Sentinel-Kunden. Für DSGVO-Audits ein wichtiges Argument, das vor zwei Jahren noch nicht in dieser Form verfügbar war.
• Mai 2026, Die Volumen-Kostenfalle ist nach wie vor real. Wir kennen mehrere Fälle, in denen ein einzelner Log-Spam-Vorfall die Monatsrechnung verdreifacht hat. Data Collection Rules und Budget-Alerts sind keine Optionen, sondern Pflichtbestandteil eines verantwortungsvollen Sentinel-Setups.
• Juni 2026, Faktencheck: In der offiziellen Microsoft-Regionsliste für Sentinel-SIEM ist nur Germany West Central (Frankfurt) als deutsche Region geführt, eine dedizierte Region Germany North / Berlin ist dort nicht aufgeführt. Wir haben die früher genannte Doppelregion entsprechend korrigiert. Außerdem nennt Microsoft die GB-Preise inzwischen ausschließlich in US-Dollar und ausdrücklich als Schätzwerte, daher verzichten wir auf fixe Euro-pro-GB-Angaben und verweisen auf den Azure-Preisrechner.