솔루션 아이디어
이 문서에서는 솔루션 아이디어를 설명합니다. 클라우드 설계자는 이 지침을 사용하여 이 아키텍처의 일반적인 구현을 위한 주요 구성 요소를 시각화할 수 있습니다. 이 문서를 시작점으로 사용하여 워크로드의 특정 요구 사항에 맞는 잘 설계된 솔루션을 디자인할 수 있습니다.
Microsoft Sentinel, Azure Monitor 및 Azure Data Explorer는 공통 기술을 기반으로 하며 KQL(Kusto 쿼리 언어)을 사용하여 여러 원본에서 거의 실시간으로 스트리밍되는 대량의 데이터를 분석합니다.
이 솔루션은 Microsoft Sentinel, Azure Monitor 및 Azure Data Explorer 간의 긴밀한 통합을 활용하는 방법을 보여 줍니다. 이러한 서비스를 사용하여 단일 대화형 데이터 자산을 통합하고 모니터링 및 분석 기능을 보강할 수 있습니다.
참고 항목
이 솔루션은 Microsoft Fabric의 일부로 SaaS 등급 실시간 로그, 시계열 및 고급 분석 기능을 제공하는 Azure Data Explorer 및 실시간 분석 KQL 데이터베이스에도 적용됩니다.
Grafana 및 Jupyter 로고는 해당 회사의 상표입니다. 이러한 상표를 사용한다고 해서 어떠한 보증도 암시되지 않습니다.
아키텍처
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
데이터 흐름
Microsoft Sentinel, Azure Monitor 및 Azure Data Explorer의 결합된 수집 기능을 사용하여 데이터를 수집합니다.
- AKS(Azure Kubernetes Service), Azure 앱 Service, Azure SQL Database 및 Azure Storage와 같은 Azure 서비스에서 데이터를 수집하도록 진단 설정을 구성합니다.
- Azure Monitor 에이전트를 사용하여 VM, 컨테이너 및 워크로드에서 데이터를 수집합니다.
- 세 서비스에서 지원하는 광범위한 커넥터, 에이전트 및 API를 사용하여 온-프레미스 리소스 및 기타 클라우드에서 데이터를 수집합니다. 지원되는 커넥터, 에이전트 및 API에는 Logstash, Kafka 및 Logstash 커넥터, OpenTelemetry 에이전트, Azure Data Explorer API 및 Azure Monitor 로그 수집 API가 포함됩니다.
- Azure IoT Hub, Azure Event Hubs 및 Azure Stream Analytics와 같은 Azure 서비스를 사용하여 데이터를 스트리밍합니다.
Microsoft Sentinel을 사용하여 IT 환경에서 보안 관련 데이터를 모니터링, 조사 및 경고하고 조치를 수행할 수 있습니다.
Azure Monitor를 사용하여 애플리케이션, 서비스 및 IT 리소스의 성능, 가용성 및 상태를 모니터링, 분석 및 경고하고 작동합니다. 이렇게 하면 클라우드 인프라의 운영 상태에 대한 인사이트를 얻고, 문제를 식별하고, 성능을 최적화할 수 있습니다.
전체 스키마 제어, 캐시 또는 보존 제어, 심층 데이터 플랫폼 통합 및 기계 학습을 포함하여 사용자 지정 또는 보다 유연한 처리 또는 분석이 필요한 데이터에 Azure Data Explorer를 사용합니다.
필요에 따라 전체 데이터 자산의 광범위한 데이터 집합에 고급 기계 학습을 적용하여 패턴을 검색하고, 변칙을 검색하고, 예측을 얻고, 다른 인사이트를 얻습니다.
서비스 간의 긴밀한 통합을 활용하여 모니터링 및 분석 기능을 강화합니다.
- Microsoft Sentinel, Monitor 및 Azure Data Explorer에서 서비스 간 쿼리를 실행하여 데이터를 이동하지 않고 한 쿼리에서 세 서비스 모두의 데이터를 분석하고 상호 연결합니다.
- 사용자 지정된 서비스 간 통합 문서, 대시보드 및 보고서를 사용하여 데이터 자산의 단일 창 보기를 통합합니다.
구성 요소
서비스 간 쿼리를 사용하여 통합된 대화형 데이터 자산을 빌드하고 Microsoft Sentinel, Monitor 및 Azure Data Explorer에서 데이터를 조인합니다.
Microsoft Sentinel 은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답)를 위한 Azure 클라우드 네이티브 솔루션입니다. Microsoft Sentinel에는 다음과 같은 기능이 있습니다.
- Azure 리소스, Microsoft 365 및 기타 클라우드 및 온-프레미스 솔루션과 같은 다양한 원본에서 보안 데이터를 수집하기 위한 커넥터 및 API입니다.
- 위협을 감지하고 조사하기 위한 고급 기본 제공 분석, 기계 학습 및 위협 인텔리전스 기능
- Azure Logic Apps를 기반으로 하는 모듈식 재사용 가능한 플레이북을 사용하는 규칙 기반 사례 관리 및 인시던트 응답 자동화 기능
- 여러 원본 및 서비스의 데이터를 상호 연결하여 보안 데이터를 분석하고 위협을 검색할 수 있는 KQL 쿼리 기능입니다.
Azure Monitor 는 IT 및 애플리케이션 모니터링을 위한 Azure 관리형 솔루션입니다. 모니터에는 다음과 같은 기능이 있습니다.
- Azure 리소스에서 모니터링 데이터의 네이티브 수집 Azure 리소스 및 Azure 및 하이브리드 환경의 모든 원본, 애플리케이션 및 워크로드에서 모니터링 데이터를 수집하기 위한 에이전트, 커넥터 및 API입니다.
- AIOps(IT 작업용 AI) 기능, 경고 및 자동화된 작업, 가상 머신, 컨테이너 및 애플리케이션과 같은 특정 리소스를 모니터링하기 위한 미리 빌드된 통합 문서를 비롯한 IT 모니터링 도구 및 분석 기능
- IT 및 애플리케이션 효율성 및 성능을 개선하는 데 도움이 되는 엔드 투 엔드 관찰 기능입니다.
- 리소스 및 서비스 간에 데이터를 상호 연결하여 데이터를 분석하고 운영 문제를 해결할 수 있는 KQL 쿼리 기능입니다.
Azure Data Explorer 는 Azure 데이터 플랫폼의 일부입니다. 모든 형식의 구조화되고 구조화되지 않은 데이터에 대한 실시간 고급 분석을 제공합니다. 제공되는 기능은 다음과 같습니다.
- 다양한 유형의 IT 및 비 IT 데이터(예: 비즈니스, 사용자 및 지리 공간적 데이터)에 대한 커넥터 및 API입니다.
- Python에서 기계 학습 알고리즘 호스팅 및 SQL Server, 데이터 레이크 및 Azure Cosmos DB와 같은 다른 데이터 기술에 대한 페더레이션 쿼리를 포함하여 KQL의 분석 기능의 전체 집합입니다.
- 전체 스키마 제어, KQL을 사용하여 들어오는 데이터 처리, 구체화된 뷰, 분할, 세분화된 보존 및 캐싱 컨트롤을 비롯한 확장 가능한 데이터 관리 기능
- 수집된 데이터를 Microsoft Sentinel, Monitor 및 기타 서비스의 데이터와 상호 연결할 수 있는 서비스 간 쿼리 기능입니다.
시나리오 정보
Microsoft Sentinel, Monitor 및 Azure Data Explorer에서 제공하는 기능과 유연성을 기반으로 구축된 아키텍처는 다음을 제공합니다.
- 다양한 유형의 데이터 및 데이터 원본에 걸쳐 있는 광범위한 데이터 수집 옵션입니다.
- 강력한 네이티브 보안, 관찰 가능성 및 데이터 분석 기능 및 기능 집합입니다.
- 서비스 간 쿼리를 사용하여 다음을 통해 데이터의 단일 창 보기를 만드는 기능:
- IT 모니터링 및 비 IT 데이터 쿼리
- 광범위한 데이터 세트에 기계 학습을 적용하여 패턴을 검색하고, 변칙 검색 및 예측을 구현하고, 기타 고급 인사이트를 얻습니다.
- 다양한 유형의 데이터를 모니터링, 상관 관계 및 작업할 수 있는 통합 문서 및 보고서를 만듭니다.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- 가이 와일드 | 선임 콘텐츠 개발자
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.