Bewerken

Beveiliging, waarneembaarheid en analyses verbeteren met behulp van Microsoft Sentinel, Azure Monitor en Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Oplossingsideeën

Dit artikel is een oplossingsidee. Als u wilt dat we de inhoud uitbreiden met meer informatie, zoals mogelijke use cases, alternatieve services, implementatieoverwegingen of prijsrichtlijnen, laat het ons dan weten door GitHub-feedback te geven.

Microsoft Sentinel, Azure Monitor en Azure Data Explorer zijn gebaseerd op een gemeenschappelijke technologie en gebruiken Kusto-querytaal (KQL) om grote hoeveelheden gegevens te analyseren die vanuit meerdere bronnen in bijna realtime worden gestreamd.

Deze oplossing laat zien hoe u kunt profiteren van de nauwe integratie tussen Microsoft Sentinel, Azure Monitor en Azure Data Explorer. U kunt deze services gebruiken om één interactief gegevensdomein samen te voegen en uw bewakings- en analysemogelijkheden te verbeteren.

Notitie

Deze oplossing is van toepassing op Azure Data Explorer en ook op KQL-databases van Realtime Analytics, die realtimelogboeken, tijdreeksen en geavanceerde analysemogelijkheden bieden als onderdeel van Microsoft Fabric.

De Grafana- en Jupyter-logo's en zijn handelsmerken van hun respectieve bedrijven. Er wordt geen goedkeuring geïmpliceerd door het gebruik van deze markeringen.

Architectuur

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Download een PowerPoint-bestand van deze architectuur.

Gegevensstroom

  1. Gegevens opnemen met behulp van de gecombineerde opnamemogelijkheden van Microsoft Sentinel, Azure Monitor en Azure Data Explorer:

    • Configureer diagnostische instellingen voor het opnemen van gegevens uit Azure-services zoals Azure Kubernetes Service (AKS), Azure-app Service, Azure SQL Database en Azure Storage.
    • Gebruik de Azure Monitor-agent om gegevens op te nemen van VM's, containers en workloads.
    • Gebruik een breed scala aan connectors, agents en API's die door de drie services worden ondersteund om gegevens van on-premises resources en andere clouds op te nemen. Ondersteunde connectors, agents en API's omvatten Logstash-, Kafka- en Logstash-connectors, OpenTelemetry-agents, Azure Data Explorer-API's en de Api voor logboekopname van Azure Monitor.
    • Stream gegevens met behulp van Azure-services zoals Azure IoT Hub, Azure Event Hubs en Azure Stream Analytics.

  2. Gebruik Microsoft Sentinel om beveiligingsgerelateerde gegevens in uw IT-omgeving te bewaken, onderzoeken en erop te reageren.

  3. Gebruik Azure Monitor om de prestaties, beschikbaarheid en status van toepassingen, services en IT-resources te bewaken, analyseren en erop te reageren. Hierdoor krijgt u inzicht in de operationele status van uw cloudinfrastructuur, identificeert u problemen en optimaliseert u de prestaties.

  4. Gebruik Azure Data Explorer voor alle gegevens waarvoor aangepaste of flexibelere verwerking of analyse is vereist, waaronder volledig schemabeheer, cache- of retentiebeheer, deep data platform-integraties en machine learning.

  5. U kunt desgewenst geavanceerde machine learning toepassen op een brede set gegevens uit uw hele gegevensomgeving om patronen te detecteren, afwijkingen te detecteren, prognoses op te halen en andere inzichten te verkrijgen.

  6. Profiteer van de nauwe integratie tussen services om de bewakings- en analysemogelijkheden te verbeteren:

    • Voer query's tussen services uit vanuit Microsoft Sentinel, Monitor en Azure Data Explorer om gegevens in alle drie de services in één query te analyseren en correleren zonder de gegevens te verplaatsen.
    • Voeg een weergave met één venster van uw gegevensomgeving samen met aangepaste werkmappen, dashboards en rapporten voor meerdere services.

Onderdelen

Gebruik query's voor meerdere services om een geconsolideerde, interactieve gegevensomgeving te bouwen, gegevens samen te voegen in Microsoft Sentinel, Monitor en Azure Data Explorer:

  • Microsoft Sentinel is de cloudeigen Azure-oplossing voor SIEM (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel heeft de volgende functies:

    • Verbinding maken ors en API's voor het verzamelen van beveiligingsgegevens uit verschillende bronnen, zoals Azure-resources, Microsoft 365 en andere cloud- en on-premises oplossingen.
    • Geavanceerde ingebouwde analysemogelijkheden, machine learning en bedreigingsinformatie voor het detecteren en onderzoeken van bedreigingen.
    • Op regels gebaseerde automatiseringsmogelijkheden voor casebeheer en incidentrespons die gebruikmaken van modulaire, herbruikbare playbooks die zijn gebaseerd op Azure Logic Apps.
    • KQL-querymogelijkheden waarmee u beveiligingsgegevens kunt analyseren en bedreigingen kunt opsporen door gegevens uit meerdere bronnen en services te correleren.

  • Azure Monitor is de door Azure beheerde oplossing voor IT- en toepassingsbewaking. Monitor heeft de volgende functies:

    • Systeemeigen opname van bewakingsgegevens van Azure-resources. Agents, connectors en API's voor het verzamelen van bewakingsgegevens van Azure-resources en alle bronnen, toepassingen en workloads in Azure en hybride omgevingen.
    • IT-bewakingshulpprogramma's en analysefuncties, waaronder AI voor IT-bewerkingen (AIOps)-functies, waarschuwingen en geautomatiseerde acties, en vooraf gemaakte werkmappen voor het bewaken van specifieke resources, zoals virtuele machines, containers en toepassingen.
    • End-to-end waarneembaarheidsmogelijkheden waarmee u de efficiëntie en prestaties van IT en toepassingen kunt verbeteren.
    • KQL-querymogelijkheden waarmee u gegevens kunt analyseren en operationele problemen kunt oplossen door gegevens over resources en services te correleren.

  • Azure Data Explorer maakt deel uit van het Azure-gegevensplatform. Het biedt realtime geavanceerde analyses voor elk type gestructureerde en ongestructureerde gegevens. De app biedt de volgende functies:

    • Verbinding maken ors en API's voor verschillende typen IT- en niet-IT-gegevens, zoals zakelijke, gebruikers- en georuimtelijke gegevens.
    • De volledige set analysemogelijkheden van KQL, waaronder het hosten van machine learning-algoritmen in Python en federatieve query's naar andere gegevenstechnologieën, zoals SQL Server, data lakes en Azure Cosmos DB.
    • Schaalbare mogelijkheden voor gegevensbeheer, waaronder volledig schemabeheer, verwerking van binnenkomende gegevens met behulp van KQL, gerealiseerde weergaven, partitionering, gedetailleerde retentie en caching-besturingselementen.
    • Querymogelijkheden voor meerdere services waarmee u verzamelde gegevens kunt correleren met gegevens in Microsoft Sentinel, Monitor en andere services.

Scenariodetails

Een architectuur die is gebaseerd op de functies en flexibiliteit van Microsoft Sentinel, Monitor en Azure Data Explorer biedt u het volgende:

  • Een breed scala aan opties voor gegevensopname die verschillende typen gegevens en gegevensbronnen omvatten.
  • Een krachtige set systeemeigen beveiligings-, waarneembaarheids- en gegevensanalysefuncties en -mogelijkheden.
  • De mogelijkheid om query's voor meerdere services te gebruiken om een weergave met één venster van uw gegevens te maken door:
    • Query's uitvoeren op IT-bewaking en niet-IT-gegevens.
    • Machine learning toepassen op een brede gegevensset om patronen te detecteren, anomaliedetectie en -prognoses te implementeren en andere geavanceerde inzichten te verkrijgen.
    • Werkmappen en rapporten maken waarmee u verschillende typen gegevens kunt bewaken, correleren en erop kunt reageren.

Bijdragers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen