Microsoft Sentinel to natywna chmurowa platforma SIEM (Security Information and Event Management) służąca do zbierania, analizowania i reagowania na zagrożenia z całego środowiska IT. Microsoft Defender for Cloud to platforma CNAPP (Cloud-Native Application Protection Platform), która ocenia stan zabezpieczeń chmury (CSPM), chroni obciążenia przed zagrożeniami (CWPP) i integruje bezpieczeństwo z procesami DevOps. Krótko: Sentinel wykrywa i bada incydenty, a Defender for Cloud zapobiega im i chroni zasoby — oba narzędzia są komplementarne i w dojrzałych organizacjach działają razem.
Werdykt w 30 sekund
- Sentinel = SIEM + SOAR. Zbiera logi z setek źródeł, wykrywa anomalie, koreluje alerty w incydenty, automatyzuje reakcję. Dla zespołu SOC.
- Defender for Cloud = CNAPP (CSPM + CWPP + DevSecOps). Ocenia konfigurację chmury, wykrywa podatności, blokuje ataki na workloady. Dla zespołu DevOps i security.
- Używasz obu → Defender for Cloud generuje alerty bezpieczeństwa, a Sentinel je agreguje, triażuje i automatyzuje odpowiedź.
- Nie są konkurentami — to dwie różne kategorie produktów Gartnera.
W skrócie
- Microsoft Sentinel — cloud-native SIEM; do zbierania logów, detekcji zagrożeń (analityka, MITRE ATT&CK), badania incydentów, automatyzacji reakcji (SOAR), threat huntigu
- Microsoft Defender for Cloud — CNAPP; do oceny stanu bezpieczeństwa chmury (CSPM), ochrony workloadów (CWPP), DevSecOps, rekomendacji naprawczych, secure score
- Sentinel pobiera dane z m.in. Microsoft 365, Entra ID, Defender for Cloud, firewalli, serwerów on-prem, SaaS, AWS, GCP
- Defender for Cloud chroni serwery, kontenery, bazy danych, storage, API, Key Vault, App Service, AI — na Azure, AWS, GCP i on-prem
- Ceny: Sentinel — płatność za GB dziennie (Pay-As-You-Go lub commitment tiers, od ~50 GB/dzień); Defender for Cloud — Foundational CSPM za darmo, płatne plany za serwer/kontener/bazę
- Od marca 2027 Microsoft Sentinel opuszcza Azure Portal na rzecz ujednoliconego Microsoft Defender Portal — oba narzędzia będą widoczne w jednym interfejsie
- Microsoft Sentinel ma natywną integrację z Defender for Cloud — alerty z Defender for Cloud płyną automatycznie do Sentinel, gdzie są korelowane z resztą telemetrii
Tabela porównawcza: Sentinel vs Defender for Cloud
| Obszar | Microsoft Sentinel (SIEM) | Microsoft Defender for Cloud (CNAPP) |
|---|---|---|
| Kategoria Gartnera | SIEM | CNAPP (CSPM + CWPP) |
| Główne zadanie | Zbieranie logów, detekcja, badanie incydentów, automatyzacja odpowiedzi | Ocena stanu bezpieczeństwa i ochrona obciążeń chmurowych |
| Model wdrożenia | Cloud-native (Azure) — SaaS | Cloud-native (Azure) — SaaS |
| Dane wejściowe | Logi zdarzeń, telemetria, alerty (setki connectorów) | Konfiguracje, metadane zasobów, sygnatury zagrożeń |
| Wykrywanie zagrożeń | Reguły analityczne, ML, threat intelligence, UEBA | Sygnatury ataków na workloady (serwery, kontenery, bazy, storage) |
| Automatyzacja | Playbooki (Azure Logic Apps), automation rules | Automatyczne rekomendacje, governance, auto-remediation |
| Badanie incydentów | Pełne: graf incydentów, hunts, notebooki Jupyter, Copilot for Security | Alerty kontekstowe per zasób, atak paths |
| Ochrona workloadów | Nie — Sentinel nie chroni; analizuje i reaguje | Tak — CWPP: serwery, kontenery, bazy, storage, API, AI |
| CSPM (posture management) | Brak natywnie (wykorzystuje dane z Defender for Cloud) | Tak — Foundational (darmowe) + Defender CSPM (płatne) |
| Zgodność / compliance | Wbudowane workbooks, reguły mapowane na MITRE ATT&CK | Wbudowane standardy (ISO 27001, PCI DSS, CIS, NIST) |
| Multicloud | Tak — connector dla AWS, GCP, on-prem | Tak — AWS, GCP, Azure, on-prem (Azure Arc) |
| DevSecOps | Nie | Tak — integracja z GitHub, Azure DevOps, GitLab |
| Model cenowy | Za GB dziennie (PAYG lub commitment tiers) | Foundational CSPM 0 zł; płatne plany za zasób/miesiąc |
| Darmowy poziom | Nie (brak free tier; są darmowe źródła danych jak Entra ID, Azure Activity) | Foundational CSPM — tak; 30 dni trial na płatne plany |
| Gdzie działa (portal) | Microsoft Defender Portal (od lipca 2025 dla nowych; do marca 2027 dla wszystkich) | Azure Portal + Microsoft Defender Portal |
Czym jest Microsoft Sentinel
Microsoft Sentinel to w pełni zarządzana, chmurowa platforma SIEM z wbudowanym SOAR (Security Orchestration, Automation and Response). Uruchomiona w 2019 roku (jako Azure Sentinel), od tego czasu stała się jednym z trzech największych graczy SIEM obok Splunk i Google Chronicle. W odróżnieniu od tradycyjnych SIEM-ów (on-prem, kosztowna infrastruktura), Sentinel działa wyłącznie w chmurze Microsoft Azure i skaluje się automatycznie.
Jak działa Sentinel
- Zbiera dane — przez 200+ natywnych connectorów (Microsoft 365, Entra ID, Defender XDR, Defender for Cloud, Azure Activity, firewall Palo Alto, Fortinet, Cisco, AWS CloudTrail, syslog, CEF, REST API).
- Normalizuje dane — używa modelu ASIM (Advanced Security Information Model), który ujednolica format niezależnie od źródła.
- Wykrywa zagrożenia — przez reguły analityczne (Scheduled, NRT, Anomaly, Microsoft Security), machine learning, threat intelligence (integracja z Microsoft Threat Intelligence i zewnętrznymi feedami).
- Koreluje alerty w incydenty — jeden incydent może zawierać alerty z Microsoft 365, Azure, firewalla i endpointa; Sentinel łączy je automatycznie.
- Umożliwia badanie — graf incydentów (entity graph), hunts, deep investigation, notebooki Jupyter, integracja z Copilot for Security.
- Automatyzuje reakcję — automation rules + playbooki (Azure Logic Apps, setki connectorów do systemów ITSM jak ServiceNow, Jira, Slack, Teams).
Kluczowe funkcje w 2026
- Nowe: Microsoft Sentinel w Defender Portal — od lipca 2025 nowi klienci są automatycznie onboardowani do Microsoft Defender Portal, a od marca 2027 wszystkie instancje Sentinel będą dostępne wyłącznie tam.
- Sentinel Data Lake — osobny, tani tier przechowywania dla logów o dużej objętości (firewall, proxy). Rozdzielenie compute i storage — płacisz tylko za to, z czego korzystasz.
- MCP Server — natywny interfejs MCP (Model Context Protocol) umożliwiający agentom AI bezpośrednią interakcję z platformą Sentinel (zapytania, operacje na grafie).
- 50 GB commitment tier (promo) — od października 2025 nowy niższy próg dla mniejszych organizacji; cena promocyjna do marca 2027.
Model cenowy Sentinel
Sentinel rozlicza się za ilość danych dziennie (GB/dzień) w tierze analitycznym:
- Pay-As-You-Go — płacisz za każdy GB; elastyczne, ale droższe przy większych wolumenach
- Commitment tiers — rezerwujesz dzienną pojemność (od 50 GB do 50 000 GB); oszczędność do 52% vs PAYG
- Data Lake tier — tanie przechowywanie długoterminowe (logi firewall, proxy); oddzielne metry
- Darmowe źródła danych: Azure Activity, Entra ID (podstawowe logi), Microsoft 365 audit logs (częściowo), alerty z Microsoft Defender XDR
Czym jest Microsoft Defender for Cloud
Microsoft Defender for Cloud (dawniej Azure Security Center + Azure Defender) to platforma CNAPP — łączy trzy moduły bezpieczeństwa chmury w jednym rozwiązaniu:
- CSPM (Cloud Security Posture Management) — ocenia i poprawia konfigurację zasobów chmurowych
- CWPP (Cloud Workload Protection Platform) — chroni obciążenia przed aktywnymi zagrożeniami
- DevSecOps — integruje bezpieczeństwo z pipeline'ami CI/CD (GitHub, Azure DevOps, GitLab)
Jak działa Defender for Cloud
- Ocenia stan (CSPM) — Foundational CSPM (darmowy) skanuje konfiguracje Azure, AWS, GCP wg Microsoft Cloud Security Benchmark; generuje Secure Score i rekomendacje.
- Wykrywa podatności — Defender CSPM (płatny) dodaje agentless vulnerability scanning, data-aware security posture, cloud security graph, atak paths.
- Chroni obciążenia (CWPP) — dedykowane plany ochrony dla serwerów, kontenerów, baz danych, storage, API, Key Vault, App Service, Resource Manager; wykrywają aktywne ataki i generują alerty.
- Integruje DevSecOps — skanowanie IaC (Infrastructure as Code), wykrywanie sekretów w kodzie, korelacja od kodu po chmurę.
Kluczowe funkcje w 2026
- AI Security Posture Management (AI SPM) — odkrywanie i ocena bezpieczeństwa obciążeń AI (Azure OpenAI, modele generatywne); rekomendacje + analiza ścieżek ataku
- AI Threat Protection — wykrywanie zagrożeń specyficznych dla AI (prompt injection, jailbreak, wyciek danych)
- Współdzielony portal z Sentinel — oba narzędzia w Defender Portal
- Defender Experts for Servers — zarządzana usługa MDR od Microsoft dla serwerów chronionych przez Defender for Cloud (osobno płatna)
- Pre-Purchase Plan — do 22% oszczędności przy rocznym commitment
Model cenowy Defender for Cloud
- Foundational CSPM — całkowicie darmowy (Secure Score, rekomendacje, inwentaryzacja zasobów, multicloud)
- Defender CSPM — płatny per zasób/miesiąc; rozliczane są tylko Compute, Storage, Database i Serverless
- Plany CWPP — każdy plan per zasób/miesiąc (serwery Plan 1 / Plan 2, kontenery per vCore, bazy danych per instancja, storage per konto)
- 30 dni triala na wszystkie płatne plany
Główne różnice — jak je rozumieć
1. Inna filozofia: detekcja vs. prewencja
Sentinel patrzy na to, co już się dzieje lub się wydarzyło — analizuje logi i szuka anomalii. Defender for Cloud stara się nie dopuścić do incydentu — sprawdza, czy konfiguracja jest bezpieczna, i blokuje ataki na workloady.
2. Inne źródła danych
Sentinel jest "konsumentem danych" — im więcej logów prześlesz, tym pełniejszy obraz. Defender for Cloud patrzy na metadane zasobów i ruch sieciowy w ich kierunku — nie potrzebuje logów aplikacyjnych, żeby ocenić, że storage account ma publiczny dostęp.
3. Inni odbiorcy w organizacji
| Rola | Główne narzędzie |
|---|---|
| Analityk SOC (Security Operations Center) | Sentinel — incydenty, śledztwa, threat hunting |
| Inżynier bezpieczeństwa chmury | Defender for Cloud — posture, rekomendacje, compliance |
| DevOps / platform engineering | Defender for Cloud — DevSecOps, IaC scanning |
| CISO / kierownik bezpieczeństwa | Oba — Defender for Cloud daje Secure Score i compliance; Sentinel pokazuje realne incydenty i czas reakcji |
| Administrator IT | Defender for Cloud — ochrona serwerów, kontenerów, baz |
4. Jak ze sobą współpracują
To nie jest alternatywa typu "albo Sentinel, albo Defender for Cloud". Defender for Cloud generuje alerty o atakach na chronione zasoby — te alerty są natywnie przesyłane do Microsoft Sentinel (przez Microsoft Defender XDR connector), gdzie:
- Są korelowane z alertami z innych źródeł (Microsoft 365, firewall, tożsamość)
- Tworzą wielowymiarowe incydenty z pełnym kontekstem
- Uruchamiają automatyczne playbooki (np. izolacja maszyny, reset hasła, ticket w ServiceNow)
Bez Sentinela: widzisz pojedyncze alerty w Defender for Cloud, ręcznie je triażujesz, nie masz korelacji między domenami.
Bez Defender for Cloud: Sentinel nie ma danych o stanie konfiguracji chmury ani alertów z poziomu workloadów — musisz je dostarczyć z innych narzędzi CSPM/CWPP.
Kiedy wybrać Sentinel, kiedy Defender for Cloud, a kiedy oba
Wybierz Microsoft Sentinel, gdy:
- Masz lub budujesz zespół SOC (analitycy bezpieczeństwa, incident response)
- Potrzebujesz jednego miejsca do zbierania i korelowania logów z całego środowiska (cloud + on-prem + SaaS)
- Chcesz automatyzować reakcję na incydenty (SOAR)
- Potrzebujesz threat huntingu i zaawansowanego badania incydentów
- Masz wymagania compliance dotyczące przechowywania i analizy logów bezpieczeństwa (np. 6-12 miesięcy retencji)
Wybierz Microsoft Defender for Cloud, gdy:
- Korzystasz z Azure, AWS lub GCP i chcesz ocenić/ poprawić stan bezpieczeństwa chmury
- Potrzebujesz rekomendacji naprawczych (CSPM) i ciągłego monitorowania konfiguracji
- Chcesz chronić obciążenia: serwery, kontenery Kubernetes, bazy danych, storage przed atakami
- Wdrażasz DevSecOps i chcesz skanować kod Infrastruktury jako Kod (IaC) pod kątem błędów konfiguracji
- Potrzebujesz Secure Score jako KPI dla zarządu
Wybierz oba (rekomendowane dla organizacji powyżej ~200 użytkowników), gdy:
- Chcesz kompleksowej widoczności: od konfiguracji chmury (Defender for Cloud), przez ochronę workloadów (Defender for Cloud CWPP), po detekcję, badanie i automatyzację odpowiedzi (Sentinel)
- Korzystasz z ekosystemu Microsoft 365 E5 lub Microsoft Security — integracja jest natywna
- Potrzebujesz jednego interfejsu (Microsoft Defender Portal) do zarządzania całością bezpieczeństwa
Częste pytania
Czy Microsoft Sentinel zastępuje Defender for Cloud, czy na odwrót?
Nie — to dwie różne kategorie produktów. Sentinel to SIEM (zbiera logi i wykrywa incydenty), Defender for Cloud to CNAPP (ocenia stan chmury i chroni workloady). Są projektowane tak, by działać razem: alerty z Defender for Cloud płyną do Sentinel, gdzie są korelowane z resztą telemetrii.
Czy muszę mieć licencję Microsoft 365 E5, żeby korzystać z Sentinel?
Nie. Sentinel jest usługą Azure rozliczaną osobno — za ilość danych dziennie (GB/dzień). Nie wymaga licencji Microsoft 365 E5, choć wiele źródeł danych (np. zaawansowane logi z Microsoft 365) może wymagać odpowiedniego planu licencyjnego po stronie źródła.
Czy Defender for Cloud chroni tylko Azure?
Nie. Defender for Cloud obsługuje środowiska multicloud: Azure, AWS i Google Cloud Platform (GCP), a także serwery on-premises przez Azure Arc. Foundational CSPM (darmowy) obejmuje wszystkie trzy chmury. Płatne plany ochrony (serwery, kontenery) również działają na AWS i GCP.
Czy Sentinel może działać bez Defender for Cloud?
Tak — Sentinel może zbierać dane z setek innych źródeł (firewalle, endpointy, tożsamość, SaaS). Jednak bez Defender for Cloud tracisz widoczność alertów z poziomu workloadów chmurowych i konfiguracji. W praktyce organizacje korzystające z Azure prawie zawsze używają obu narzędzi.
Jaka jest minimalna dzienna ilość danych dla Microsoft Sentinel?
Od października 2025 dostępny jest commitment tier od 50 GB/dzień (w promocyjnej cenie do marca 2027). W modelu Pay-As-You-Go nie ma minimalnego progu — płacisz za każdy GB. Dla organizacji testujących: wiele źródeł Microsoft (Entra ID, Azure Activity) jest darmowych, co obniża koszt wejścia.
Czy Defender for Cloud jest darmowy?
Podstawowe funkcje CSPM (Foundational CSPM) są całkowicie darmowe: Secure Score, rekomendacje bezpieczeństwa, inwentaryzacja zasobów, pokrycie multicloud. Płatne plany (Defender CSPM, Defender for Servers, Defender for Containers itd.) mają 30-dniowy trial, po którym naliczane są opłaty.
Czy mogę używać Microsoft Sentinel i Defender for Cloud w jednym portalu?
Tak — od lipca 2025 nowi klienci Sentinel są automatycznie onboardowani do Microsoft Defender Portal, a od marca 2027 wszystkie instancje Sentinel będą dostępne wyłącznie w Defender Portal. Defender for Cloud jest już tam częściowo dostępny. Oznacza to jeden interfejs do zarządzania SIEM-em i CNAPP.
Jeśli wdrażasz środowisko Microsoft Azure i potrzebujesz licencji na systemy operacyjne dla swoich serwerów — zarówno w chmurze, jak i on-premises — w ofercie KluczeSoft znajdziesz legalne, niskokosztowe klucze do Windows Server oraz licencje na [Windows 11 Pro](https://kluczesoft.pl/klucz-windows-11/microsoft-windows-11-professional). Sprawdź: Licencje Windows Server w KluczeSoft i Klucze Microsoft Windows 11.