Ein Portal weniger, schnellere Incident-Reaktion – so profitieren Sie von der Microsoft-Sentinel-Integration in Defender
Die Sicherheitswelt entwickelt sich ständig weiter und Microsoft kündigt eine tiefgreifende Veränderung seiner Sicherheitsplattform an. Microsoft Sentinel, das bewährte cloud-native SIEM, wird vollständig in das Microsoft-Defender-Portal integriert. Was auf dem ersten Blick ein reines UI-Update zu sein scheint, ist in Wahrheit ein strategischer Schritt hin zu einer ganzheitlichen Sicherheitsarchitektur. In diesem Beitrag geben wir Ihnen einen umfassenden Überblick über die wichtigsten Änderungen, zeigen, wie Sie sich optimal vorbereiten und teilen unsere Erfahrungen aus der Praxis.
Ihr Nutzen der Sentinel-Integration in das Defender-Portal
Security Assessment: Wir stellen Ihre Umgebung auf den Prüfstand.
Im Security Assessment identifizieren wir Schwachstellen und Sicherheitslücken in Ihrem Unternehmen. Wir geben Ihnen eine Übersicht über die notwendigen Schritte zur Erhöhung des Security Reifegrades.
Für Unternehmen, die Sentinel bislang über das Azure-Portal genutzt haben, wirft diese Veränderung viele Fragen auf:
- Bleiben meine Workspaces erhalten?
- Ändern sich Kosten und Berechtigungen?
- Was passiert mit meinen bestehenden Automatisierungen?
- Und vor allem: Wie gelingt der Umstieg reibungslos?
Was ist Microsoft Sentinel – und wie unterscheidet es sich von Defender?
Microsoft Defender – insbesondere in Form von Defender XDR – bildet die Grundlage für den Schutz moderner IT-Umgebungen. Es bietet umfassende Erkennungs- und Reaktionsfunktionen (XDR) für Endpunkte, Identitäten, E-Mails, Cloud-Apps und mehr – mit starker Integration in Microsoft 365 und Azure. Für viele Unternehmen ist Defender XDR der erste Schritt zu einer konsolidierten Sicherheitsarchitektur.
Microsoft Sentinel erweitert dieses Fundament um leistungsstarke SIEM-Funktionalitäten (Security Information and Event Management). Es ermöglicht die zentrale Sammlung, Korrelation und Analyse sicherheitsrelevanter Daten aus unterschiedlichsten Quellen auch außerhalb der Microsoft-Welt. Damit wird Sentinel zur idealen Ergänzung für Unternehmen, die ein aktives Security Operations Center (SOC) betreiben und komplexe, hybride oder Multi-Cloud-Umgebungen absichern möchten.
Warum die Sentinel-Integration?
Microsoft verfolgt mit der Integration das Ziel, eine einheitliche Plattform für XDR- und SIEM-Funktionalitäten zu schaffen. Das bedeutet für Sie:
Was ändert sich konkret?
| Bereich | Bisher | Neu |
|---|---|---|
| Zugriff | Azure-Portal | Defender-Portal |
| Incidents | getrennte Verwaltung, meist mit Konnektoren von Defender zu Sentinel | zentrale Incident-Ansicht mit bi-direktionaler Synchronisation |
| Verwaltung | Microsoft Sentinel im Azure-Portal | gleicher Aufbau der Verwaltung in Microsoft Defender |
| Infrastruktur | Azure Log Analytics Workspace mit Sentinel Add-On | keine Änderung – Infrastruktur samt Daten bleibt in Azure |
| Berechtigungen & Kosten | Azure-basiert | keine Änderungen (siehe oben) |
Zeitplan: Wann müssen Sie handeln?
- seit Juli 2025: Neue Sentinel Workspaces werden automatisch im Defender-Portal bereitgestellt.
- bis Juli 2026: Das Azure-Portal wird für Microsoft Sentinel abgeschaltet. Spätestens dann müssen alle Kunden umgestellt haben.
Warum Sie jetzt umstellen sollten?
Wir haben unsere eigene Arbeitsweise sowie die unserer Kunden bereits vollständig auf das Microsoft-Defender-Portal umgestellt.
Unsere Erfahrungen zeigen:
- Die Umstellung ist technisch unkompliziert – keine klassische Migration notwendig.
- Die neue Oberfläche bietet deutlich mehr Kontext und bessere Integration mit anderen Defender-Produkten.
Ein besonders spürbarer Vorteil zeigt sich im täglichen SOC-Betrieb: Früher mussten Analystinnen und Analysten häufig zwischen Sentinel im Azure-Portal und Defender XDR im Defender-Portal wechseln, um Incidents vollständig zu bearbeiten. Das führte zu unterbrochenen Workflows, getrennten Berechtigungsmodellen und teilweise zu zeitaufwändigen PIM-Aktivierungen für den Zugriff auf bestimmte Funktionen.
Mit der Integration sind diese Hürden Geschichte: Alle relevanten Informationen und Funktionen sind nun zentral im Defender-Portal verfügbar – inklusive Incidents, Alerts, Entitäten, Playbooks und mehr.
So gelingt der Umstieg – Schritt für Schritt
Weitere Hinweise aus der Praxis
Berechtigungen gezielt vergeben
In vielen Umgebungen sehen wir, dass zu großzügige Rechte – wie Contributor – auf der gesamten Resource Group oder Subscription vergeben werden. Das widerspricht dem Zero-Trust-Prinzip der minimalen Rechtevergabe und erhöht das Risiko.
Rollen differenzieren
Für operative Analysten reicht oft der Zugriff auf einzelne Workspaces. Administrative Rollen sollten getrennt vergeben und ggf. über PIM abgesichert werden.
Zugriffsmodelle dokumentieren
Eine klare Rollen- und Rechteübersicht hilft bei Audits und der späteren Skalierung.
Multi-Tenant-Umgebungen beachten
Falls in Sentinel zuvor mehrere Tenants verwaltet wurden, hat die Umstellung umfangreichere Auswirkungen auf Berechtigungen und die technische Migration. Hier empfehlen wir eine individuelle Analyse. Gerne beraten wir Sie im konkreten Einzelfall.
Fazit
Die Integration von Microsoft Sentinel in das Defender-Portal ist mehr als ein UI-Wechsel – sie ist ein strategischer Schritt hin zu einer ganzheitlichen Sicherheitsplattform. Wenn Sie frühzeitig umstellen, profitieren Sie von besseren Workflows, KI-Unterstützung und einer zukunftssicheren Architektur.
Microsoft Security & Compliance Workshop
Im Microsoft Security & Compliance Workshop erhalten Sie einen Überblick über Sicherheitsprodukte in den Bereichen Identitäten, Daten, Geräte und Anwendungen. Zudem ermitteln wir gemeinsam durch das Zero Trust Assessment den Reifegrad Ihrer Organisation und entwickeln eine individuelle Roadmap mit konkreten Handlungsempfehlungen zur Umsetzung der Zero-Trust-Prinzipien.
Weitere News zu diesem Thema
