ソリューションのアイデア
このアーティクルはソリューションのアイデアです。 このコンテンツにさらに多くの情報 (想定されるユース ケース、代替サービス、実装に関する考慮事項、価格ガイダンスなど) の掲載をご希望の方は、GitHub のフィードバックでお知らせください。
Microsoft Sentinel、Azure Monitor、Azure Data Explorer は、一般的なテクノロジに基づいており、Kusto 照会言語 (KQL) を使用して、複数のソースからストリーミングされた大量のデータをほぼリアルタイムで分析します。
このソリューションでは、Microsoft Sentinel、Azure Monitor、Azure Data Explorer の緊密な統合を活用する方法を示します。 これらのサービスを使用して、1 つの対話型データ資産を統合し、監視と分析の機能を強化できます。
Note
このソリューションは、Azure Data Explorer およびリアルタイム分析 KQL データベースにも適用されます。これにより、SaaS グレードのリアルタイム ログ、時系列、および高度な分析機能が Microsoft Fabric の一部として提供されます。
Grafana および Jupyter のロゴは、各社の商標です。 これらのマークを使用することが、保証を意味するものではありません。
アーキテクチャ
このアーキテクチャの PowerPoint ファイルをダウンロードします。
データフロー
Microsoft Sentinel、Azure Monitor、Azure Data Explorer の組み合わせインジェスト機能を使用してデータを取り込みます。
- Azure Kubernetes Service (AKS)、Azure App Service、Azure SQL データベース、Azure Storage などの Azure サービスからデータを取り込むための診断設定を構成します。
- Azure Monitor エージェントを使用して、VM、コンテナー、ワークロードからデータを取り込みます。
- 3 つのサービスでサポートされている幅広いコネクタ、エージェント、API を使用して、オンプレミスのリソースやその他のクラウドからデータを取り込みます。 サポートされているコネクタ、エージェント、API には、Logstash、Kafka、Logstash コネクタ、OpenTelemetry エージェント、Azure Data Explorer API、Azure Monitor ログ インジェスト API が含まれます。
- Azure IoT Hub、Azure Event Hubs、Azure Stream Analytics などの Azure サービスを使用してデータをストリーミングします。
Microsoft Sentinel を使用して、IT 環境全体のセキュリティ関連データを監視、調査、警告し、対応します。
Azure Monitor を使用して、アプリケーション、サービス、および IT リソースのパフォーマンス、可用性、正常性を監視、分析、警告し、対応します。 これにより、クラウド インフラストラクチャの運用状態に関する分析情報を得て、問題を特定し、パフォーマンスを最適化することができます。
完全なスキーマ制御、キャッシュまたは保持制御、ディープ データ プラットフォーム統合、機械学習など、カスタムまたはより柔軟な処理または分析を必要とするデータには、Azure Data エクスプローラーを使用します。
必要に応じて、データ資産全体の広範なデータ セットに高度な機械学習を適用して、パターンの検出、異常の検出、予測の取得、その他の分析情報の取得を行います。
サービス間の緊密な統合を利用して、監視と分析の機能を強化します。
- Microsoft Sentinel、Monitor、Azure Data Explorer からクロスサービス クエリを実行して、データを移動することなく 1 つのクエリで 3 つすべてのサービスのデータを分析および関連付けます。
- カスタマイズされたクロスサービス ブック、ダッシュボード、レポートを使用して、データ資産の単一ウィンドウビューを統合します。
コンポーネント
サービス間クエリを使用して、統合された対話型データ資産を構築し、Microsoft Sentinel、Monitor、Azure Data Explorer でデータを結合します。
Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) と セキュリティ オーケストレーション、自動化、および応答 (SOAR) のための Azure クラウドネイティブ ソリューションです。 Microsoft Sentinel には、次の機能があります。
- Azure リソース、Microsoft 365、その他のクラウドおよびオンプレミス ソリューションなど、さまざまなソースからセキュリティ データを収集するためのコネクタと API。
- 脅威を検出して調査するための高度な組み込みの分析、機械学習、脅威インテリジェンス機能。
- Azure Logic Apps に基づくモジュール式の再利用可能なプレイブックを使用する、ルールベースのケース管理とインシデント対応の自動化機能。
- 複数のソースとサービスからのデータを関連付けることで、セキュリティ データを分析し、脅威を検出できる KQL クエリ機能。
Azure Monitor は、IT とアプリケーションの監視のための Azure マネージド ソリューションです。 Monitor には次の機能があります。
- Azure リソースからの監視データのネイティブ インジェスト。 Azure リソース、および Azure とハイブリッド環境のソース、アプリケーション、ワークロードから監視データを収集するためのエージェント、コネクタ、API。
- IT 監視ツールと分析機能 (IT 運用のための AI (AIOps) 機能、アラートと自動化されたアクション、仮想マシン、コンテナー、アプリケーションなどの特定のリソースを監視するための事前構築済みのブックなど)。
- IT およびアプリケーションの効率とパフォーマンスの向上に役立つエンドツーエンドの監視機能。
- リソースとサービス間でデータを関連付けることで、データを分析し、運用上の問題をトラブルシューティングできる KQL クエリ機能。
Azure Data Explorerは、Azure データ プラットフォームの一部です。 あらゆる種類の構造化データと非構造化データに対してリアルタイムの高度な分析を提供します。 次の機能があります:
- ビジネス、ユーザー、地理空間データなど、さまざまな種類の IT および IT 以外のデータ用のコネクタと API。
- Python での機械学習アルゴリズムのホスティングや、SQL Server、データ レイク、Azure Cosmos DB などの他のデータ テクノロジへのフェデレーション クエリなど、KQL の分析機能の完全なセット。
- 完全なスキーマ制御、KQL を使用した受信データの処理、具体化されたビュー、パーティション分割、詳細な保持期間、キャッシュ コントロールなど、スケーラブルなデータ管理機能。
- Microsoft Sentinel、Monitor、およびその他のサービスで収集されたデータをデータと関連付けることができるサービス間クエリ機能。
シナリオの詳細
Microsoft Sentinel、Monitor、Azure Data Explorer によって提供される機能と柔軟性に基づいて構築されたアーキテクチャでは、次の機能が提供されます。
- さまざまな種類のデータとデータ ソースにまたがる幅広いデータ インジェスト オプション。
- 強力なネイティブ セキュリティ、可観測性、データ分析機能のセット。
- サービス間クエリを使用して、次の方法でデータの一元的なウィンドウ ビューを作成する機能。
- IT 監視と IT 以外のデータのクエリを実行する。
- 広範なデータセットに機械学習を適用してパターンを検出し、異常検出と予測を実装し、他の高度な分析情報を取得します。
- さまざまな種類のデータを監視、関連付け、操作できるブックとレポートを作成する。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- ガイ・ワイルド |シニア コンテンツ 開発者
パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。