A biztonság, a megfigyelhetőség és az elemzés fokozása a Microsoft Sentinel, az Azure Monitor és az Azure Data Explorer használatával

A Microsoft Sentinel, az Azure Monitor és az Azure Data Explorer egy általános technológián alapul, és Kusto lekérdezésnyelv (KQL) használatával közel valós időben elemzi a több forrásból érkező nagy mennyiségű adatot.

Ez a megoldás bemutatja, hogyan használhatja ki a Microsoft Sentinel, az Azure Monitor és az Azure Data Explorer szoros integrációját. Ezek a szolgáltatások egyetlen interaktív adattulajdon összevonására és a monitorozási és elemzési képességek bővítésére használhatók.

A Grafana és a Jupyter emblémák, és a megfelelő vállalatok védjegyei. E védjegyek használata nem utal jóváhagyásra.

Felépítés

Töltse le az architektúra PowerPoint-fájlját.

Adatfolyam

1. Adatok betöltése a Microsoft Sentinel, az Azure Monitor és az Azure Data Explorer kombinált betöltési képességeivel:

   • Diagnosztikai beállítások konfigurálása olyan Azure-szolgáltatásokból származó adatok betöltéséhez, mint az Azure Kubernetes Service (AKS), a Azure-alkalmazás Service, az Azure SQL Database és az Azure Storage.
   • Az Azure Monitor Agent használatával betöltheti az adatokat virtuális gépekről, tárolókból és számítási feladatokból.
   • A három szolgáltatás által támogatott összekötők, ügynökök és API-k széles skáláját használhatja a helyszíni erőforrásokból és más felhőkből származó adatok betöltéséhez. A támogatott összekötők, ügynökök és API-k közé tartoznak a Logstash, a Kafka és a Logstash-összekötők, az OpenTelemetry-ügynökök, az Azure Data Explorer API-k és az Azure Monitor Log Ingestion API.
   • Adatok streamelése olyan Azure-szolgáltatások használatával, mint az Azure IoT Hub, az Azure Event Hubs és az Azure Stream Analytics.

2. A Microsoft Sentinel használatával monitorozhat, vizsgálhat és riasztást hajthat végre, és az informatikai környezet biztonsági adataival kapcsolatos műveleteket hajthat végre.

3. Az Azure Monitor használatával monitorozhat, elemezhet és riasztást jeleníthet meg, valamint műveletet hajthat végre az alkalmazások, szolgáltatások és informatikai erőforrások teljesítményének, rendelkezésre állásának és állapotának megfelelően. Ezzel betekintést nyerhet a felhőinfrastruktúra működési állapotába, azonosíthatja a problémákat és optimalizálhatja a teljesítményt.

4. Az Azure Data Explorert minden olyan adathoz használhatja, amely egyéni vagy rugalmasabb kezelést vagy elemzést igényel, beleértve a teljes sémavezérlést, a gyorsítótár- vagy adatmegőrzés-vezérlést, a mély adatplatform-integrációkat és a gépi tanulást.

5. Ha szeretné, fejlett gépi tanulást alkalmazhat a teljes adattulajdonból származó adatok széles körére a minták felderítéséhez, az anomáliák észleléséhez, az előrejelzések lekéréséhez és egyéb elemzésekhez.

6. Használja ki a szolgáltatások közötti szoros integráció előnyeit a monitorozási és elemzési képességek bővítése érdekében:

   • A Microsoft Sentinel, a Monitor és az Azure Data Explorer szolgáltatásközi lekérdezéseinek futtatásával az adatok áthelyezése nélkül elemezheti és korrelálhatja mindhárom szolgáltatás adatait egy lekérdezésben.
   • Az adattulajdon egyetlen paneles nézetének összesítése testre szabott, szolgáltatásközi munkafüzetekkel, irányítópultokkal és jelentésekkel.

Összetevők

Szolgáltatásközi lekérdezések használatával konszolidált, interaktív adattulajdont hozhat létre, és adatokat illeszthet össze a Microsoft Sentinelben, a Monitorban és az Azure Data Explorerben:

• A Microsoft Sentinel az Azure felhőalapú natív megoldása a biztonsági információk és eseménykezelés (SIEM) és a biztonsági vezénylés, automatizálás és válasz (SOAR) számára. A Microsoft Sentinel a következő funkciókkal rendelkezik:

  • Csatlakozás orok és API-k különböző forrásokból, például Azure-erőforrásokból, Microsoft 365-ből és más felhőalapú és helyszíni megoldásokból származó biztonsági adatok gyűjtéséhez.
  • Fejlett beépített elemzési, gépi tanulási és fenyegetésintelligencia-képességek a fenyegetések észleléséhez és vizsgálatához.
  • Az Azure Logic Appsen alapuló, moduláris, újrafelhasználható forgatókönyveket használó, szabályokon alapuló esetkezelési és incidenskezelési képességek.
  • A KQL lekérdezési képességei lehetővé teszik a biztonsági adatok elemzését és a fenyegetések keresését több forrásból és szolgáltatásból származó adatok korrelálásával.

• Az Azure Monitor az Azure által felügyelt megoldás informatikai és alkalmazásmonitorozáshoz. A monitor a következő funkciókkal rendelkezik:

  • Az Azure-erőforrásokból származó monitorozási adatok natív betöltése. Ügynökök, összekötők és API-k az Azure-erőforrásokból és az Azure-erőforrásokból, valamint az Azure-beli és hibrid környezetekben található forrásokból, alkalmazásokból és számítási feladatokból származó monitorozási adatok gyűjtéséhez.
  • Informatikai monitorozási eszközök és elemzési funkciók, beleértve az informatikai műveletekhez készült AIOps-funkciókat, riasztásokat és automatizált műveleteket, valamint előre összeállított munkafüzeteket adott erőforrások, például virtuális gépek, tárolók és alkalmazások monitorozásához.
  • A végpontok közötti megfigyelhetőségi képességek segítenek az informatikai és alkalmazáshatékonyság és -teljesítmény javításában.
  • KQL-lekérdezési képességek, amelyek lehetővé teszik az adatok elemzését és a működési problémák elhárítását az erőforrások és szolgáltatások adatainak korrelációja révén.

• Az Azure Data Explorer az Azure-adatplatform része. Valós idejű fejlett elemzést biztosít bármilyen strukturált és strukturálatlan adattípushoz. A következő funkciókkal rendelkezik:

  • Csatlakozás orok és API-k különböző típusú informatikai és nem informatikai adatokhoz, például üzleti, felhasználói és térinformatikai adatokhoz.
  • A KQL elemzési képességeinek teljes készlete, beleértve a gépi tanulási algoritmusok Pythonban való üzemeltetését és más adattechnológiákba, például az SQL Serverbe, a data lakesbe és az Azure Cosmos DB-be történő összevont lekérdezéseket.
  • Skálázható adatkezelési képességek, beleértve a teljes sémavezérlést, a bejövő adatok KQL használatával történő feldolgozását, a materializált nézeteket, a particionálást, a részletes megőrzést és a gyorsítótárazási vezérlőket.
  • Szolgáltatásközi lekérdezési képességek, amelyek lehetővé teszik az összegyűjtött adatok és a Microsoft Sentinel, a Monitor és más szolgáltatások adataival való korrelációt.

Forgatókönyv részletei

A Microsoft Sentinel, a Monitor és az Azure Data Explorer által biztosított funkciókra és rugalmasságra épülő architektúra a következő lehetőségeket nyújtja:

• Az adatbetöltési lehetőségek széles skáláját kínálja, amelyek különböző típusú adatokra és adatforrásokra terjednek ki.
• A natív biztonság, a megfigyelhetőség és az adatelemzési funkciók és képességek hatékony készlete.
• Az adatok egyablakos nézetének létrehozása szolgáltatásközi lekérdezések használatával:
  • Informatikai monitorozási és nem informatikai adatok lekérdezése.
  • Gépi tanulás alkalmazása széles adatkészleten minták felderítésére, anomáliadetektálási és előrejelzési implementálásra, valamint egyéb fejlett elemzések lekérésére.
  • Olyan munkafüzetek és jelentések létrehozása, amelyek lehetővé teszik a különböző típusú adatok monitorozását, korrelálását és használatát.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Guy Wild | Vezető tartalomfejlesztő

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

További lépések

• Az Azure Data Explorer dokumentációja
• Oktatás: Bevezetés az Azure Data Explorer használatába
• Azure Monitor overview
• What is Microsoft Sentinel?

Kapcsolódó erőforrások

• Big data-elemzés az Azure Data Explorerrel
• Interaktív Azure Data Explorer-elemzés
• IoT-elemzés az Azure Data Explorerrel