Берем Azure Log Analytics, Azure Monitor, KQL запросы, Logic Apps, Advanced Threat Protection (ATP), лям логов в сутки, Azure Machine Learning и получаем Azure Sentinel - или SIEM-система в облаке Azure.
На самом деле это логичное продолжение расширений и дашбордов, которые были доступны в OMS (Microsoft Operations Management Suite) просто теперь всё собрали в одном месте. Берём много-много логов из разных источников, крутим аналитику, рисуем красивые графики.
Быстрая интеграция для сбора данных доступна для Azure AD, Office 365, Azure Security Center, Azure Activity, Windows Firewall, AWS, Security Events, Cisco ASA, Check Point, Fortinet, F5, либо можно использовать CEF (Common Event Format)/Syslog или отгружать через REST API из своих источников данных (datasources).
В preview версии Azure Sentinel доступен бесплатно. Если у вас создан Log Analytics workspace, то просто добавьте Azure Sentinel.
Ну, и красивая демка:
+ запросы, дашборды и прочие полезные материалы с гитхаба - https://github.com/Azure/Azure-Sentinel
