Menambah keamanan, pengamatan, dan analitik dengan menggunakan Microsoft Sentinel, Azure Monitor, dan Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Ide solusi

Artikel ini menjelaskan ide solusi. Arsitek cloud Anda dapat menggunakan panduan ini untuk membantu memvisualisasikan komponen utama untuk implementasi umum arsitektur ini. Gunakan artikel ini sebagai titik awal untuk merancang solusi yang dirancang dengan baik yang selaras dengan persyaratan spesifik beban kerja Anda.

Microsoft Sentinel, Azure Monitor, dan Azure Data Explorer didasarkan pada teknologi umum dan menggunakan Bahasa Kueri Kusto (KQL) untuk menganalisis data dalam volume besar yang dialirkan dari beberapa sumber dalam waktu hampir real time.

Solusi ini menunjukkan cara memanfaatkan integrasi ketat antara Microsoft Sentinel, Azure Monitor, dan Azure Data Explorer. Anda dapat menggunakan layanan ini untuk mengonsolidasikan satu data estate interaktif dan menambah kemampuan pemantauan dan analitik Anda.

Catatan

Solusi ini berlaku untuk Azure Data Explorer dan juga untuk database KQL Analitik Real Time, yang menyediakan kemampuan log real time, rangkaian waktu, dan analitik tingkat lanjut saaS sebagai bagian dari Microsoft Fabric.

Logo Grafana dan Jupyter dan merupakan merek dagang dari perusahaan masing-masing. Tidak ada dukungan yang tersirat oleh penggunaan tanda-tanda ini.

Sistem

Diagram yang memperlihatkan solusi pemantauan dan analitik tambahan yang menggunakan Monitor, Microsoft Sentinel, dan Azure Data Explorer.

Unduh file PowerPoint arsitektur ini.

Aliran data

  1. Serap data dengan menggunakan kemampuan penyerapan gabungan Microsoft Sentinel, Azure Monitor, dan Azure Data Explorer:

    • Konfigurasikan pengaturan diagnostik untuk menyerap data dari layanan Azure seperti Azure Kubernetes Service (AKS), Azure App Service, Azure SQL Database, dan Azure Storage.
    • Gunakan Agen Azure Monitor untuk menyerap data dari VM, kontainer, dan beban kerja.
    • Gunakan berbagai konektor, agen, dan API yang didukung oleh tiga layanan untuk menyerap data dari sumber daya lokal dan cloud lainnya. Konektor, agen, dan API yang didukung termasuk konektor Logstash, Kafka, dan Logstash, agen OpenTelemetry, API Azure Data Explorer, dan API Penyerapan Log Azure Monitor.
    • Streaming data dengan menggunakan layanan Azure seperti Azure IoT Hub, Azure Event Hubs, dan Azure Stream Analytics.
  2. Gunakan Microsoft Azure Sentinel untuk memantau, menyelidiki, dan memberi tahu serta bertindak atas data terkait keamanan di seluruh lingkungan TI Anda.

  3. Gunakan Azure Monitor untuk memantau, menganalisis, dan memperingatkan serta bertindak berdasarkan performa, ketersediaan, dan kesehatan aplikasi, layanan, dan sumber daya TI. Melakukannya memungkinkan Anda mendapatkan wawasan tentang status operasional infrastruktur cloud Anda, mengidentifikasi masalah, dan mengoptimalkan performa.

  4. Gunakan Azure Data Explorer untuk data apa pun yang memerlukan penanganan atau analitik kustom atau lebih fleksibel, termasuk kontrol skema penuh, kontrol cache atau retensi, integrasi platform data mendalam, dan pembelajaran mesin.

  5. Secara opsional, terapkan pembelajaran mesin tingkat lanjut pada sekumpulan data yang luas dari seluruh data estate Anda untuk menemukan pola, mendeteksi anomali, mendapatkan prakiraan, dan mendapatkan wawasan lainnya.

  6. Manfaatkan integrasi yang ketat antara layanan untuk menambah kemampuan pemantauan dan analitik:

    • Jalankan kueri lintas layanan dari Microsoft Sentinel, Monitor, dan Azure Data Explorer untuk menganalisis dan menghubungkan data di ketiga layanan dalam satu kueri tanpa memindahkan data.
    • Mengonsolidasikan tampilan panel kaca tunggal dari data estate Anda dengan buku kerja, dasbor, dan laporan lintas layanan yang dikustomisasi.

Komponen

Gunakan kueri lintas layanan untuk membangun real estat data interaktif yang terkonsolidasi, menggabungkan data di Microsoft Sentinel, Monitor, dan Azure Data Explorer:

  • Microsoft Sentinel adalah solusi cloud-native Azure untuk informasi keamanan dan manajemen peristiwa (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Azure Sentinel memiliki fitur-fitur berikut:

    • Konektor dan API untuk mengumpulkan data keamanan dari berbagai sumber, seperti sumber daya Azure, Microsoft 365, dan solusi cloud dan lokal lainnya.
    • Kemampuan analitik bawaan, pembelajaran mesin, dan inteligensi ancaman tingkat lanjut untuk mendeteksi dan menyelidiki ancaman.
    • Kemampuan manajemen kasus berbasis aturan dan otomatisasi respons insiden yang menggunakan playbook modular dan dapat digunakan kembali yang didasarkan pada Azure Logic Apps.
    • Kemampuan kueri KQL yang memungkinkan Anda menganalisis data keamanan dan berburu ancaman dengan menghubungkan data dari beberapa sumber dan layanan.
  • Azure Monitor adalah solusi terkelola Azure untuk pemantauan TI dan aplikasi. Monitor memiliki fitur berikut:

    • Penyerapan asli data pemantauan dari sumber daya Azure. Agen, konektor, dan API untuk mengumpulkan data pemantauan dari sumber daya Azure dan sumber, aplikasi, dan beban kerja apa pun di lingkungan Azure dan hibrid.
    • Alat pemantauan TI dan fitur analitik, termasuk AI untuk fitur operasi TI (AIOps), peringatan dan tindakan otomatis, dan buku kerja bawaan untuk memantau sumber daya tertentu, seperti komputer virtual, kontainer, dan aplikasi.
    • Kemampuan pengamatan end-to-end yang membantu Anda meningkatkan it dan efisiensi dan performa aplikasi.
    • Kemampuan kueri KQL yang memungkinkan Anda menganalisis data dan memecahkan masalah operasional dengan menghubungkan data di seluruh sumber daya dan layanan.
  • Azure Data Explorer adalah bagian dari platform data Azure. Ini menyediakan analitik tingkat lanjut real time untuk semua jenis data terstruktur dan tidak terstruktur. Ini memiliki fitur-fitur berikut:

    • Konektor dan API untuk berbagai jenis data TI dan non-IT, misalnya, data bisnis, pengguna, dan geospasial.
    • Serangkaian lengkap kemampuan analitik KQL, termasuk hosting algoritma pembelajaran mesin di Python dan kueri federasi ke teknologi data lain, seperti SQL Server, data lake, dan Azure Cosmos DB.
    • Kemampuan manajemen data yang dapat diskalakan, termasuk kontrol skema penuh, pemrosesan data masuk dengan menggunakan KQL, tampilan materialisasi, partisi, retensi terperinci, dan kontrol penembolokan.
    • Kemampuan kueri lintas layanan yang memungkinkan Anda menghubungkan data yang dikumpulkan dengan data di Microsoft Sentinel, Monitor, dan layanan lainnya.

Detail skenario

Arsitektur yang dibangun berdasarkan fitur dan fleksibilitas yang disediakan oleh Microsoft Sentinel, Monitor, dan Azure Data Explorer memberi Anda:

  • Berbagai opsi penyerapan data yang mencakup berbagai jenis data dan sumber data.
  • Serangkaian fitur dan kemampuan keamanan asli, observabilitas, dan analitik data yang canggih.
  • Kemampuan untuk menggunakan kueri lintas layanan untuk membuat tampilan panel kaca tunggal data Anda dengan:
    • Mengkueri pemantauan TI dan data non-IT.
    • Menerapkan pembelajaran mesin pada himpunan data yang luas untuk menemukan pola, menerapkan deteksi anomali dan prakiraan, dan mendapatkan wawasan lanjutan lainnya.
    • Membuat buku kerja dan laporan yang memungkinkan Anda memantau, menghubungkan, dan bertindak pada berbagai jenis data.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya