Avis et détails du produit Microsoft Sentinel

J'adore la visibilité centralisée qu'offre Microsoft Sentinel car elle me permet de voir les journaux, les alertes et les incidents tous au même endroit sans avoir à passer d'un outil à l'autre, ce qui accélère les enquêtes. J'aime vraiment les analyses intégrées et les règles de détection ; elles sont prêtes à l'emploi et personnalisables, donc je n'ai pas à repartir de zéro. L'intégration avec l'écosystème Microsoft, y compris Azure, Microsoft 365 et les outils Defender, est également très fluide et presque transparente, ce qui facilite l'intégration. Avis collecté par et hébergé sur G2.com.

Quelques aspects de Microsoft Sentinel pourraient certainement être améliorés, comme la visibilité des coûts. La tarification peut être déroutante, surtout avec l'ingestion de données. Il est facile de dépasser le budget si vous ne le surveillez pas. De plus, il y a une courbe d'apprentissage ; il faut du temps pour se familiariser avec l'écriture de requêtes. Aussi, bien que les règles prêtes à l'emploi soient utiles, il est toujours nécessaire de les affiner pour réduire le bruit. Avis collecté par et hébergé sur G2.com.

Ce que j'aime le plus chez Microsoft Sentinel, c'est la façon dont il offre une surveillance de sécurité centralisée à partir de multiples sources de données dans un environnement cloud-native. Il simplifie la collecte, l'analyse et la corrélation de grands volumes de journaux de sécurité, sans le fardeau de gérer une infrastructure SIEM traditionnelle. Les règles d'analyse intégrées, l'intégration de renseignements sur les menaces et l'automatisation basée sur des playbooks aident également à détecter et à répondre aux menaces plus efficacement. J'ai trouvé son intégration avec d'autres services de sécurité Microsoft particulièrement précieuse car elle crée une vue plus unifiée des incidents de sécurité et aide les équipes de sécurité à enquêter et à répondre plus rapidement. Avis collecté par et hébergé sur G2.com.

Un défi avec Microsoft Sentinel est que la configuration initiale peut être chronophage, surtout pour les équipes qui sont nouvelles aux plateformes SIEM ou aux services Azure. Certaines règles d'analyse et connecteurs de données nécessitent également un réglage minutieux pour réduire les faux positifs et s'assurer que les alertes restent pertinentes. De plus, le modèle de tarification basé sur l'ingestion de données peut devenir coûteux si vous collectez de grands volumes de journaux sans filtrage adéquat. Pour cette raison, les organisations devraient planifier soigneusement leurs sources de journaux et leur stratégie de rétention afin de maîtriser les coûts tout en capturant les journaux dont elles ont besoin. Avis collecté par et hébergé sur G2.com.

Ce que j'apprécie le plus chez Microsoft Sentinel, c'est sa combinaison transparente de SIEM et SOAR dans un environnement véritablement natif du cloud. Son intégration forte avec l'écosystème Microsoft—en particulier Azure, Entra ID, Defender et M365—offre une visibilité immédiate et nécessite très peu d'efforts de mise en service. L'utilisation de KQL par la plateforme permet une chasse aux menaces flexible et robuste, tandis que les règles d'analyse intégrées et les fonctionnalités UEBA aident à réduire considérablement la fatigue des alertes. De plus, l'automatisation via Logic Apps permet aux équipes de sécurité de répondre plus rapidement et de manière plus cohérente, faisant de Sentinel une solution hautement évolutive et rentable pour les opérations SOC d'aujourd'hui. Avis collecté par et hébergé sur G2.com.

Un aspect que je trouve difficile avec Microsoft Sentinel est la gestion des coûts, en particulier à mesure que l'utilisation augmente, car le modèle de tarification repose fortement sur la quantité de données ingérées et conservées. Bien que KQL soit un outil puissant, il présente une courbe d'apprentissage pour les équipes qui y sont nouvelles, ce qui peut ralentir le processus d'adoption. De plus, la mise en œuvre de cas d'utilisation avancés de SOAR exige souvent une personnalisation considérable via Logic Apps, et le dépannage de ces automatisations peut être assez complexe. Enfin, Sentinel a tendance à fonctionner au mieux au sein de l'écosystème Microsoft, ce qui peut être un inconvénient pour les organisations qui dépendent d'une variété d'outils de sécurité non-Microsoft. Avis collecté par et hébergé sur G2.com.

Nous avons à la fois les journaux et les incidents visibles dans MS Sentinel, contrairement à notre précédent outil SIEM. De plus, c'est un avantage d'avoir la visibilité d'autres services d'Azure dans Sentinel et bien plus encore. Avis collecté par et hébergé sur G2.com.

Nous n'avons pas d'option RBAC pour les tables dans Sentinel comme nous l'avons dans ADX. Ce serait formidable si nous avions ces options RBAC afin que nous puissions accorder des permissions à un utilisateur ou un groupe spécifique pour des tables spécifiques. Avis collecté par et hébergé sur G2.com.

Il existe de nombreux outils SIEM disponibles sur le marché comme Splunk, MS Sentinel et IBM QRadar. Voyons aujourd'hui les avantages de MS Sentinel :

1. Cet outil est entièrement construit sur Azure et ne nécessite pas d'infrastructure sur site.

2. Étant déployé sur Azure, il s'adapte automatiquement en fonction de l'ingestion de données.

3. L'intégration avec Azure AD, Defender for Cloud et les outils MS est très facile et rapide.

4. Il possède de nombreuses fonctionnalités, dont l'une est l'IA qui détecte automatiquement les anomalies et corrèle les signaux à travers les sources de données.

5. Il utilise KQL, ce qui aide à la création de rapports et à obtenir des analyses approfondies avec des requêtes personnalisées.

6. Il dispose de très nombreuses règles communautaires, de tableaux de bord et de playbooks disponibles sur GitHub et la communauté Sentinel, ce qui facilite grandement les choses par rapport à d'autres outils SIEM. Avis collecté par et hébergé sur G2.com.

1. Sentinel a un modèle de tarification "pay as you go" qui le rend très cher si vous ingérez beaucoup de données.

2. Sentinel utilise KQL (Kusto Query Language) qui est puissant mais pas intuitif pour les débutants, nécessitant une bonne quantité de formation pour bien démarrer.

3. Sentinel dispose d'un bon nombre de connecteurs préconstruits, mais lorsqu'il s'agit d'intégration avec des systèmes hérités, c'est un processus complexe qui prend beaucoup de temps.

4. Lorsqu'on traite de grandes requêtes complexes, cela peut prendre du temps et consommer beaucoup de ressources informatiques.

5. Une fois l'outil complètement configuré et utilisé sur une longue période, passer à une autre plateforme SIEM devient une tâche fastidieuse. Avis collecté par et hébergé sur G2.com.

Intégrations avec plusieurs outils de cybersécurité Avis collecté par et hébergé sur G2.com.

Le coût de l'ingestion mensuelle est un prix élevé à payer Avis collecté par et hébergé sur G2.com.

Microsoft Sentinel a de très bonnes capacités pour intégrer les données. Il est facile de se connecter avec les logiciels de sécurité en cours et d'autres outils également. Cela aide les organisations à améliorer leur sécurité à différents niveaux. Avis collecté par et hébergé sur G2.com.

Générer des rapports personnalisés à l'aide de Microsoft Sentinel peut parfois être chronophage en raison de sa dépendance à l'écriture de scripts KQL. Si nous voulons combiner les données non Microsoft afin de générer une analyse des journaux, cela sera difficile. De plus, apprendre KQL est également difficile pour les nouveaux arrivants. Avis collecté par et hébergé sur G2.com.

Intégration avec presque tous les outils et applications. Facilité d'utilisation, mise en œuvre, migration depuis d'autres solutions, convivial et beaucoup plus capable. Avis collecté par et hébergé sur G2.com.

Chaque fois que vous devez rechercher une règle ou un cas d'utilisation, vous devez d'abord trouver le nom d'alerte approprié (convention de dénomination appropriée) à partir des analyses; après cela, vous pouvez le rechercher. Avis collecté par et hébergé sur G2.com.

Microsoft Sentinel s'intègre parfaitement aux services de sécurité Azure, capturant des données de différentes sources comme les machines virtuelles à l'aide de l'agent de surveillance Azure, du journal d'activité Azure et du hub d'événements Azure. Il est construit sur une architecture native du cloud. C'est un système de surveillance centralisé. Azure Sentinel utilise des playbooks pour la réponse automatisée aux menaces, rationalisant la gestion des incidents. Avis collecté par et hébergé sur G2.com.

Certains utilisateurs trouvent l'interface utilisateur difficile à naviguer, comprendre ses fonctionnalités peut prendre du temps. Cette solution complète est accompagnée d'un prix. Avis collecté par et hébergé sur G2.com.

C'est une intégration facile avec les services Azure et les outils de sécurité Microsoft. Aussi le modèle de paiement à l'utilisation. Avis collecté par et hébergé sur G2.com.

Les coûts élevés à grande échelle et la fatigue d'alerte qu'ils entraînent. Avis collecté par et hébergé sur G2.com.