- Repo Azure/Azure-Sentinel trên GitHub chứa 1000+ rule threat detection, hunting query, playbook tự động, workbook dashboard và connector cho hàng trăm nguồn dữ liệu.
- Đã public từ 2019 — nhưng nhiều team vẫn đang tự viết KQL từ zero.
TL;DR
Repo Azure/Azure-Sentinel là kho nội dung chính thức cho Microsoft Sentinel — 5.6k stars, 3.6k forks, license MIT. Bên trong: 1000+ analytic rule, hàng trăm hunting query KQL, playbook Logic Apps, workbook dashboard, connector cho hàng trăm nguồn log. Tất cả miễn phí, fork được, chỉnh được. Điều thú vị không phải "Microsoft vừa mở mã" — mà là nó đã public từ 2019 và phần lớn team Azure vẫn đang viết threat detection từ số không.
Có gì trong repo
Đây là kho security-content chính thức đi kèm Microsoft Sentinel (cloud-native SIEM + SOAR của Azure). Cấu trúc thư mục top-level:
- Detections/ — template analytic rule dạng YAML. Tweet viral nhắc "1000+ rules" khớp với số community đếm được.
- Hunting Queries/ — KQL query để hunt chủ động, dùng được cả trong Microsoft 365 Defender Advanced Hunting.
- Playbooks/ — workflow Azure Logic Apps để tự động hoá response: disable user, enrich IOC, mở ticket ServiceNow, gửi cảnh báo Teams.
- Workbooks/ — dashboard JSON visualize threat posture, MITRE coverage, data health.
- DataConnectors/ — tích hợp cho hàng trăm nguồn: Microsoft Entra ID, AWS CloudTrail, Okta, Palo Alto, Zscaler, Syslog, CEF, REST-API...
- Parsers/ — hàm KQL chuẩn hoá schema log theo ASIM (Advanced Security Information Model).
- Solutions/ — bundle per-vendor ship qua Content Hub: CrowdStrike, GitHub, McAfee ePO, và rất nhiều nữa.
Tại sao nó quan trọng
Hầu hết team mới deploy Sentinel đi theo con đường: bật workspace → nhìn dashboard trống → tự viết KQL → custom playbook → mất vài tháng. Trong khi đó Microsoft Threat Intel + cộng đồng đã viết sẵn rule cho hầu hết TTP phổ biến, có tag MITRE ATT&CK, review kỹ qua pull request.
Thực tế: kích hoạt content từ Content Hub (pull từ repo này) là cách build SOC coverage nhanh nhất trên Sentinel. MITRE coverage heatmap sinh ra tự động — bạn thấy ngay đang thiếu tactic nào, thay vì đoán.
Số liệu cụ thể
| Hạng mục | Chi tiết |
|---|---|
| License | MIT — fork, sửa, tái phát hành thoải mái |
| Stars / Forks | ~5.6k / ~3.6k (04/2026) |
| Public từ | 2019 |
| Ngôn ngữ content | KQL (detect/hunt), YAML (rule template), JSON (workbook), Logic Apps (playbook) |
| MITRE mapping | Có — tag tactic/technique ở mọi rule |
| Connector | Hàng trăm, gồm đa cloud (AWS, GCP), SaaS (Okta, GitHub, Salesforce), on-prem (Syslog/CEF) |
So với các repo content khác
So với tự viết KQL từ zero: tiết kiệm vài tuần tới vài tháng detection-engineering, lại có chất lượng review-bởi-cộng-đồng.
So với Sigma hoặc elastic/detection-rules: repo Sentinel là KQL-native, cắm thẳng vào Sentinel/Defender XDR không cần translate. Đổi lại, bạn bị lock vào Microsoft stack — không portable như Sigma.
Sentinel repo cũng rộng hơn: không chỉ detection, mà còn có playbook response và data connector — Sigma chỉ tập trung vào signature.
Ai nên dùng
- SOC mới deploy Sentinel: bật out-of-box rule từ Content Hub ngày đầu, thay vì build từ zero trong 3 tháng.
- Threat hunter: chạy hunting query trong IR hoặc hunt chủ động — tag MITRE giúp target gap ngay.
- SOAR engineer: lấy playbook sẵn (auto-disable account bị compromise, enrich IOC, mở ticket), wire vào incident qua automation rule.
- Multi-cloud SOC: connector cover AWS, GCP, SaaS, on-prem — không cần viết custom ingestion.
- Sentinel-as-Code: version-control content workspace qua feature Repositories (backed bằng GitHub hoặc Azure DevOps).
Giới hạn & chi phí
Platform không miễn phí. Repo content free, nhưng Microsoft Sentinel tính tiền theo dữ liệu ingest + retain. Pay-As-You-Go hoặc commitment tier (100 GB–50,000 GB/ngày). Commitment tier tiết kiệm tới ~52% so PAYG. Tier mới 50 GB đang public preview từ 01/10/2025 tới 30/06/2026 với giá promo khoá đến 31/03/2027.
Ngoài ra:
- Rule out-of-box thường noisy — phải tune threshold và watchlist theo môi trường thật.
- Playbook chạy trên Azure Logic Apps — phát sinh chi phí Logic Apps consumption riêng.
- Không portable: content shape KQL + Sentinel, chuyển sang SIEM khác phải viết lại gần như toàn bộ.
Tiếp theo
Hướng đi rõ ràng: Sentinel đang merge vào Microsoft Defender portal thành unified SecOps. Khách mới từ 07/2025 được auto-onboard thẳng vào Defender portal. Sentinel trên Azure portal sẽ ngừng hỗ trợ từ 31/03/2027. Roadmap kế tiếp: AI automation sâu hơn, data-lake retention dài hạn, gắn chặt Defender XDR + Sentinel.
Điểm rút ra: nếu đang build threat detection trên Azure từ zero, dừng lại và ghé repo này trước. Phần khó đã có người làm. Việc của team là tune cho môi trường, không phải viết lại từ đầu.
Nguồn: Azure/Azure-Sentinel, Microsoft Learn, Sentinel Pricing, analyticsrules.exchange.
