Matěj Hrabálek je čerstvý absolvent brněnského VUT, který se v Seyforu zabydlel jako konzultant v oblasti kyberbezpečnosti. Specializuje se na Microsoft Sentinel – cloudový SIEM/SOAR nástroj, který pomáhá firmám odhalovat a řešit bezpečnostní incidenty. V rozhovoru se s námi podělil o svou cestu k oboru, každodenní praxi i o to, proč mu dává smysl psát pravidla „jako kód“.
Matěji, ty jsi teď čerstvým absolventem brněnského VUT. Jaký obor jsi studoval a jak ses vlastně dostal k práci s Microsoft Sentinel?
Studoval jsem bakalářský i navazující magisterský obor Informační bezpečnost na FEKT VUT. Během studia jsem pracoval v SOC týmech, kde jsem se setkával s různými SIEM nástroji. Microsoft Sentinel mi z nich přišel nejzajímavější, a tak jsem se na něj začal více specializovat.
Co tě na kyberbezpečnosti a SIEM řešeních baví nejvíc? Byla to jasná volba už od začátku studia?
Kybernetická bezpečnost mě baví v tom, jak komplexní obor to je. Momentálně se zaměřuji právě na SIEM nástroje, které jsou pro bezpečnost jednotlivých infrastruktur klíčové, ale samotný obor je mnohem širší. Kdo se nenajde v technických věcech, může pracovat třeba v oblasti regulatoriky.
V maturitním ročníku jsem ještě váhal – zvažoval jsem i studium práv. Ale v prváku na vysoké už jsem měl jasno, že to byla dobrá volba.
Jak ses dostal k práci v Seyforu? Zvažoval jsi i jiné zaměstnavatele?
Na LinkedIn mě oslovila Míša Macková z HR v momentě, kdy jsem zrovna chtěl změnit práci. Líbila se mi nabízená pozice i vize Seyforu. Měl jsem i jiné možnosti, ale nakonec jsem se rozhodl pro Seyfor.
Jak se ti tu zatím daří? Jak dlouho zde pracuješ?
V červnu to byl rok od mého nástupu. Za tu dobu jsem si vybudoval dobré vztahy s mnoha zákazníky a hodně jsem se ve svých znalostech kybernetické bezpečnosti a cloudu posunul. Jsem tu spokojený.
Sentinel: Bezpečnost jako kód
Sentinel je pro spoustu firem nový nástroj. Jak bys ho jednou větou popsal někomu, kdo ho nezná?
Je to plně cloudový SIEM/SOAR nástroj, který dokáže sbírat libovolné logy a na základě nastavených pravidel notifikovat na vzniklé incidenty – a případně na ně i automaticky reagovat.
Jak vypadá tvůj běžný den při správě Sentinelu?
Mám různé zákazníky, kterým Sentinel spravuji dlouhodobě. Vytvářím analytická pravidla, automatizace, dashboardy nebo systém rozšiřuji. Často také pomáhám s řešením incidentů.
Některým zákazníkům Sentinel implementuji úplně od začátku – to zahrnuje konfigurace v Azure Portalu, napojení logů, tvorbu pravidel apod.
Co považuješ za největší chybu, kterou firmy při používání Sentinelu dělají?
Že se o něj vůbec nestarají. Je potřeba ho aktualizovat – vytvářet nová pravidla, eliminovat false positive incidenty, čistit staré konfigurace.
A taky – hodně zákazníků zbytečně přeplácí. Sentinel se dá výrazně zlevnit, aniž by to ohrozilo jeho bezpečnostní funkci.
Sentinel dnes umí i automatizaci. Kde podle tebe dává největší smysl ji nasadit?
Automatizace nenahrazuje detekci, ale výrazně pomáhá při řešení incidentů. Dokáže obohatit incidenty o další informace, automaticky je třídit nebo je propojit s nástroji jako JIRA nebo ServiceNow. SOAR v Sentinelu má téměř neomezené možnosti.
Hodně se věnuješ Sentinel as a Code. V čem ti tento přístup usnadňuje práci?
Co je psáno, to je dáno. Přes kód nehrozí, že se někde ukliknu. Pravidla, workbooky nebo playbooky mohu spravovat přes DevOps nebo GitHub a jednoduše je nasazovat napříč prostředími. Ušetří mi to čas i nervy.
Začátky v oboru: Jak se prosadit v kyberbezpečnosti
Máš nějaký tip pro mladé lidi, kteří by se chtěli kyberbezpečnosti věnovat?
Začátky nejsou snadné – firmy chtějí lidi s praxí. Doporučil bych získat zkušenosti už při studiu, vybrat si konkrétní oblast a udělat si certifikáty, třeba Security+ nebo SC-200.
Pracuješ na hodně různých projektech – jak si organizuješ čas?
Používám Notion, kde mám databázi úkolů. Každé pondělí si plánuji týden dopředu. Díky tomu na nic nezapomenu.
Budoucnost Sentinelu a co je za rohem
Kde vidíš budoucnost SIEM a SOAR řešení? Směřujeme spíš k automatizaci, nebo pořád bude potřeba lidský faktor?
To se nevylučuje. Rutinní úkoly automatizace zvládne. Ale u řešení incidentů musí být na konci vždy člověk, který nese odpovědnost.
Na co se teď v rámci Sentinelu nejvíc těšíš?
Na migraci Sentinelu z Azure Portalu do Security Portalu, kterou Microsoft oznámil na léto 2026. Bude to velká změna, která se dotkne všech zákazníků.
Matěj byl nedávno hostem podcastu ComputerTrends, kde s moderátorem Radanem Dolejšem mluvili jak jinak než o SIEM a SOAR nástrojích.
Celý podcast si můžete poslechnout tady:
