Modifica

Aumentare la sicurezza, l'osservabilità e l'analisi usando Microsoft Sentinel, Monitoraggio di Azure e Azure Esplora dati

Esplora dati di Azure
Monitoraggio di Azure
Microsoft Sentinel

Idee per le soluzioni

Questo articolo è un'idea di soluzione. Per espandere il contenuto con altre informazioni, ad esempio potenziali casi d'uso, servizi alternativi, considerazioni sull'implementazione o indicazioni sui prezzi, inviare commenti e suggerimenti su GitHub.

Microsoft Sentinel, Monitoraggio di Azure e Azure Esplora dati si basano su una tecnologia comune e usano Linguaggio di query Kusto (KQL) per analizzare grandi volumi di dati trasmessi da più origini quasi in tempo reale.

Questa soluzione illustra come sfruttare la stretta integrazione tra Microsoft Sentinel, Monitoraggio di Azure e Azure Esplora dati. È possibile usare questi servizi per consolidare un singolo patrimonio di dati interattivo e migliorare le funzionalità di monitoraggio e analisi.

Nota

Questa soluzione si applica ad Azure Esplora dati e anche ai database KQL di Analisi in tempo reale, che forniscono funzionalità di log in tempo reale, serie temporali e analisi avanzate saaS come parte di Microsoft Fabric.

I logo Grafana e Jupyter e sono marchi delle rispettive società. Nessuna verifica dell'autenticità è implicita nell'uso di questi marchi.

Architettura

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Scaricare un file PowerPoint di questa architettura.

Flusso di dati

  1. Inserire dati usando le funzionalità di inserimento combinate di Microsoft Sentinel, Monitoraggio di Azure e Azure Esplora dati:

    • Configurare le impostazioni di diagnostica per inserire dati da servizi di Azure, ad esempio servizio Azure Kubernetes (servizio Azure Kubernetes), servizio app Azure, database SQL di Azure e Archiviazione di Azure.
    • Usare l'agente di Monitoraggio di Azure per inserire dati da macchine virtuali, contenitori e carichi di lavoro.
    • Usare un'ampia gamma di connettori, agenti e API supportati dai tre servizi per inserire dati da risorse locali e altri cloud. I connettori, gli agenti e le API supportati includono i connettori Logstash, Kafka e Logstash, gli agenti OpenTelemetry, le API di azure Esplora dati e l'API di inserimento log di Monitoraggio di Azure.
    • Trasmettere dati in usando servizi di Azure come hub IoT di Azure, Hub eventi di Azure e Analisi di flusso di Azure.

  2. Usare Microsoft Sentinel per monitorare, analizzare e inviare avvisi e agire sui dati correlati alla sicurezza nell'ambiente IT.

  3. Usare Monitoraggio di Azure per monitorare, analizzare e avvisare e agire sulle prestazioni, la disponibilità e l'integrità di applicazioni, servizi e risorse IT. In questo modo è possibile ottenere informazioni dettagliate sullo stato operativo dell'infrastruttura cloud, identificare i problemi e ottimizzare le prestazioni.

  4. Usare Azure Esplora dati per tutti i dati che richiedono gestione o analisi personalizzate o più flessibili, tra cui controllo completo dello schema, cache o controllo di conservazione, integrazioni approfondite della piattaforma dati e Machine Learning.

  5. Facoltativamente, applicare Machine Learning avanzato a un ampio set di dati dell'intero patrimonio di dati per individuare modelli, rilevare anomalie, ottenere previsioni e ottenere altre informazioni dettagliate.

  6. Sfruttare la stretta integrazione tra i servizi per aumentare le funzionalità di monitoraggio e analisi:

    • Eseguire query tra servizi da Microsoft Sentinel, Monitoraggio e Azure Esplora dati per analizzare e correlare i dati in tutti e tre i servizi in una query senza spostare i dati.
    • Consolidare una visualizzazione a riquadro singolo del patrimonio di dati con cartelle di lavoro, dashboard e report personalizzati tra servizi.

Componenti

Usare query tra servizi per creare un insieme di dati consolidato e interattivo, unire dati in Microsoft Sentinel, Monitoraggio e Azure Esplora dati:

  • Microsoft Sentinel è la soluzione nativa del cloud di Azure per informazioni di sicurezza e gestione degli eventi (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR). Microsoft Sentinel offre le funzionalità seguenti:

    • Connessione ors e API per la raccolta di dati di sicurezza da varie origini, ad esempio risorse di Azure, Microsoft 365 e altre soluzioni cloud e locali.
    • Funzionalità avanzate di analisi predefinite, Machine Learning e intelligence per le minacce per rilevare e analizzare le minacce.
    • Funzionalità di gestione dei casi basate su regole e automazione delle risposte agli eventi imprevisti che usano playbook modulari riutilizzabili basati su App per la logica di Azure.
    • Funzionalità di query KQL che consentono di analizzare i dati di sicurezza e cercare minacce correlando i dati da più origini e servizi.

  • Monitoraggio di Azure è la soluzione gestita di Azure per il monitoraggio it e delle applicazioni. Monitoraggio offre le funzionalità seguenti:

    • Inserimento nativo dei dati di monitoraggio dalle risorse di Azure. Agenti, connettori e API per la raccolta di dati di monitoraggio dalle risorse di Azure e da qualsiasi origine, applicazioni e carichi di lavoro in Azure e ambienti ibridi.
    • Strumenti di monitoraggio IT e funzionalità di analisi, tra cui funzionalità di intelligenza artificiale per operazioni IT (AIOps), avvisi e azioni automatizzate e cartelle di lavoro predefinite per il monitoraggio di risorse specifiche, ad esempio macchine virtuali, contenitori e applicazioni.
    • Funzionalità di osservabilità end-to-end che consentono di migliorare l'efficienza e le prestazioni dell'IT e dell'applicazione.
    • Funzionalità di query KQL che consentono di analizzare i dati e risolvere i problemi operativi correlando i dati tra risorse e servizi.

  • Azure Esplora dati fa parte della piattaforma dati di Azure. Fornisce analisi avanzate in tempo reale per qualsiasi tipo di dati strutturati e non strutturati. Ha le seguenti caratteristiche:

    • Connessione ors e API per vari tipi di dati IT e non IT, ad esempio dati aziendali, utente e geospaziali.
    • Il set completo di funzionalità di analisi di KQL, tra cui l'hosting di algoritmi di Machine Learning in Python e le query federate ad altre tecnologie di dati, ad esempio SQL Server, data lake e Azure Cosmos DB.
    • Funzionalità di gestione dei dati scalabili, tra cui il controllo completo dello schema, l'elaborazione dei dati in ingresso tramite KQL, viste materializzate, partizionamento, conservazione granulare e controlli di memorizzazione nella cache.
    • Funzionalità di query tra servizi che consentono di correlare i dati raccolti con i dati in Microsoft Sentinel, Monitoraggio e altri servizi.

Dettagli dello scenario

Un'architettura basata sulle funzionalità e sulla flessibilità offerte da Microsoft Sentinel, Monitoraggio e Azure Esplora dati offre:

  • Un'ampia gamma di opzioni di inserimento dati che si estendono su vari tipi di dati e origini dati.
  • Un potente set di funzionalità e funzionalità native di sicurezza, osservabilità e analisi dei dati.
  • La possibilità di usare query tra servizi per creare una visualizzazione a riquadro singolo dei dati tramite:
    • Esecuzione di query sul monitoraggio IT e sui dati non IT.
    • L'applicazione di Machine Learning in un set di dati ampio per individuare i modelli, implementare il rilevamento e la previsione delle anomalie e ottenere altre informazioni dettagliate avanzate.
    • Creazione di cartelle di lavoro e report che consentono di monitorare, correlare e agire su vari tipi di dati.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

  • Guy Wild | Sviluppatore di contenuti senior

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi