Upravit

Sdílet prostřednictvím

Rozšíření zabezpečení, pozorovatelnosti a analýzy pomocí Služby Microsoft Sentinel, Azure Monitoru a Azure Data Exploreru

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Nápady na řešení

Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.

Microsoft Sentinel, Azure Monitor a Azure Data Explorer jsou založené na běžné technologii a používají dotazovací jazyk Kusto (KQL) k analýze velkých objemů dat streamovaných z více zdrojů téměř v reálném čase.

Toto řešení ukazuje, jak využít výhod těsné integrace mezi Microsoft Sentinelem, Azure Monitorem a Azure Data Explorerem. Tyto služby můžete použít ke konsolidaci jediného interaktivního datového majetku a rozšíření možností monitorování a analýz.

Poznámka:

Toto řešení se vztahuje na Azure Data Explorer a také na databáze KQL analýzy v reálném čase, které poskytují protokoly SaaS na úrovni v reálném čase, časové řady a pokročilé analytické funkce jako součást Microsoft Fabric.

Loga Grafana a Jupyter jsou ochranné známky příslušných společností. Použití těchto značek nevyžaduje žádné doporučení.

Architektura

Diagram znázorňující rozšířené řešení monitorování a analýzy, které používá Monitor, Microsoft Sentinel a Azure Data Explorer

Stáhněte si soubor PowerPointu této architektury.

Tok dat

  1. Ingestování dat pomocí kombinovaných možností příjmu dat v Microsoft Sentinelu, Azure Monitoru a Azure Data Exploreru:

    • Nakonfigurujte nastavení diagnostiky pro příjem dat ze služeb Azure, jako je Azure Kubernetes Service (AKS), Aplikace Azure Service, Azure SQL Database a Azure Storage.
    • Pomocí agenta Azure Monitoru můžete ingestovat data z virtuálních počítačů, kontejnerů a úloh.
    • Používejte širokou škálu konektorů, agentů a rozhraní API podporovaných třemi službami k ingestování dat z místních prostředků a dalších cloudů. Mezi podporované konektory, agenty a rozhraní API patří konektory Logstash, Kafka a Logstash, agenti OpenTelemetry, rozhraní API Azure Data Exploreru a rozhraní API pro příjem protokolů služby Azure Monitor.
    • Streamovat data pomocí služeb Azure, jako jsou Azure IoT Hub, Azure Event Hubs a Azure Stream Analytics.

  2. Microsoft Sentinel umožňuje monitorovat, zkoumat a upozorňovat a reagovat na data související se zabezpečením ve vašem IT prostředí.

  3. Pomocí služby Azure Monitor můžete monitorovat, analyzovat a upozorňovat a reagovat na výkon, dostupnost a stav aplikací, služeb a IT prostředků. Díky tomu můžete získat přehled o provozním stavu cloudové infrastruktury, identifikovat problémy a optimalizovat výkon.

  4. Azure Data Explorer můžete použít pro všechna data, která vyžadují vlastní nebo flexibilnější zpracování nebo analýzu, včetně úplného řízení schématu, řízení mezipaměti nebo uchovávání dat, integrace hluboké datové platformy a strojového učení.

  5. Volitelně můžete použít pokročilé strojové učení na širokou sadu dat z celého datového majetku ke zjišťování vzorů, detekci anomálií, získání prognóz a získání dalších přehledů.

  6. Využijte úzkou integraci mezi službami a rozšiřte možnosti monitorování a analýzy:

    • Spouštění dotazů mezi službami z Microsoft Sentinelu, Monitorování a Azure Data Exploreru za účelem analýzy a korelace dat ve všech třech službách v jednom dotazu bez přesunu dat.
    • Sloučit jednoookenové zobrazení vašich datových aktiv s přizpůsobenými sešity, řídicími panely a sestavami napříč službami

Komponenty

Použití dotazů mezi službami k vytvoření konsolidovaného interaktivního datového majetku, připojování dat v Microsoft Sentinelu, Monitorování a Azure Data Exploreru:

  • Microsoft Sentinel je cloudové řešení nativní pro azure pro správu informací o zabezpečení a událostech (SIEM) a orchestraci zabezpečení, automatizaci a reakci (SOAR). Microsoft Sentinel má následující funkce:

    • Konektory a rozhraní API pro shromažďování dat zabezpečení z různých zdrojů, jako jsou prostředky Azure, Microsoft 365 a další cloudová a místní řešení.
    • Pokročilé integrované analytické funkce, strojové učení a analýzy hrozeb pro detekci a vyšetřování hrozeb.
    • Možnosti automatizace pro řízení a reakce na incidenty založené na pravidlech, které používají modulární a opakovaně použitelné playbooky založené na Azure Logic Apps.
    • Možnosti dotazů KQL, které umožňují analyzovat data zabezpečení a vyhledávat hrozby pomocí korelace dat z více zdrojů a služeb.

  • Azure Monitor je řešení spravované v Azure pro IT a monitorování aplikací. Monitorování má následující funkce:

    • Nativní příjem dat monitorování z prostředků Azure Agenti, konektory a rozhraní API pro shromažďování dat monitorování z prostředků Azure a všech zdrojů, aplikací a úloh v Azure a hybridních prostředích.
    • Nástroje pro monitorování IT a analytické funkce, včetně funkcí umělé inteligence pro provoz IT (AIOps), upozorňování a automatizovaných akcí a předem připravených sešitů pro monitorování konkrétních prostředků, jako jsou virtuální počítače, kontejnery a aplikace.
    • Komplexní možnosti pozorovatelnosti, které vám pomůžou zlepšit efektivitu a výkon IT a aplikací.
    • Možnosti dotazů KQL, které umožňují analyzovat data a řešit provozní problémy pomocí korelace dat napříč prostředky a službami.

  • Azure Data Explorer je součástí datové platformy Azure. Poskytuje pokročilou analýzu v reálném čase pro libovolný typ strukturovaných a nestrukturovaných dat. Má následující funkce:

    • Konektory a rozhraní API pro různé typy IT a dat mimo IT, například obchodní, uživatelská a geoprostorová data.
    • Úplná sada analytických možností jazyka KQL, včetně hostování algoritmů strojového učení v Pythonu a federovaných dotazů na jiné datové technologie, jako jsou SQL Server, datová jezera a Azure Cosmos DB.
    • Škálovatelné možnosti správy dat, včetně úplného řízení schématu, zpracování příchozích dat pomocí KQL, materializovaných zobrazení, dělení, podrobného uchovávání a ukládání do mezipaměti.
    • Možnosti dotazů napříč službami, které umožňují korelovat shromážděná data s daty v Microsoft Sentinelu, Monitorování a dalších službách.

Podrobnosti scénáře

Architektura založená na funkcích a flexibilitě, které poskytuje Microsoft Sentinel, Monitor a Azure Data Explorer, vám nabízí:

  • Široká škála možností příjmu dat, které zahrnují různé typy dat a zdroje dat.
  • Výkonná sada nativních funkcí a možností zabezpečení, pozorovatelnosti a analýzy dat.
  • Možnost použití dotazů napříč službami k vytvoření jednoduchého zobrazení dat pomocí těchto dat:
    • Dotazování na monitorování IT a data mimo IT
    • Použití strojového učení na širokou datovou sadu ke zjišťování vzorů, implementaci detekce a prognóz anomálií a získání dalších pokročilých přehledů
    • Vytváření sešitů a sestav, které umožňují monitorovat, korelovat a pracovat s různými typy dat.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky