Rozszerzanie zabezpieczeń, obserwacji i analiz przy użyciu usług Microsoft Sentinel, Azure Monitor i Azure Data Explorer

Usługi Microsoft Sentinel, Azure Monitor i Azure Data Explorer są oparte na wspólnej technologii i używają język zapytań Kusto (KQL) do analizowania dużych ilości danych przesyłanych strumieniowo z wielu źródeł w czasie niemal rzeczywistym.

To rozwiązanie pokazuje, jak korzystać z ścisłej integracji między usługami Microsoft Sentinel, Azure Monitor i Azure Data Explorer. Za pomocą tych usług można skonsolidować pojedynczą interaktywną infrastrukturę danych i rozszerzyć możliwości monitorowania i analizy.

Logo Grafana i Jupyter są znakami towarowymi odpowiednich firm. Użycie tych znaków nie jest dorozumiane.

Architektura

Pobierz plik programu PowerPoint tej architektury.

Przepływ danych

1. Pozyskiwanie danych przy użyciu połączonych funkcji pozyskiwania w usługach Microsoft Sentinel, Azure Monitor i Azure Data Explorer:

   • Skonfiguruj ustawienia diagnostyczne w celu pozyskiwania danych z usług platformy Azure, takich jak Azure Kubernetes Service (AKS), aplikacja systemu Azure Service, Azure SQL Database i Azure Storage.
   • Użyj agenta usługi Azure Monitor do pozyskiwania danych z maszyn wirtualnych, kontenerów i obciążeń.
   • Użyj szerokiej gamy łączników, agentów i interfejsów API obsługiwanych przez trzy usługi w celu pozyskiwania danych z zasobów lokalnych i innych chmur. Obsługiwane łączniki, agenci i interfejsy API obejmują łączniki Logstash, Kafka i Logstash, agentów OpenTelemetry, interfejsów API usługi Azure Data Explorer i interfejsu API pozyskiwania dzienników usługi Azure Monitor.
   • Przesyłanie strumieniowe danych za pomocą usług platformy Azure, takich jak Azure IoT Hub, Azure Event Hubs i Azure Stream Analytics.

2. Usługa Microsoft Sentinel służy do monitorowania, badania i zgłaszania alertów oraz reagowania na dane związane z zabezpieczeniami w środowisku IT.

3. Usługa Azure Monitor umożliwia monitorowanie, analizowanie i zgłaszanie alertów oraz reagowanie na wydajność, dostępność i kondycję aplikacji, usług i zasobów IT. Dzięki temu można uzyskać wgląd w stan operacyjny infrastruktury chmury, zidentyfikować problemy i zoptymalizować wydajność.

4. Usługa Azure Data Explorer umożliwia korzystanie z dowolnych danych, które wymagają niestandardowej lub bardziej elastycznej obsługi lub analizy, w tym pełnej kontroli schematu, kontroli pamięci podręcznej lub przechowywania, integracji z platformą danych głębokich i uczenia maszynowego.

5. Opcjonalnie zastosuj zaawansowane uczenie maszynowe w szerokim zestawie danych z całego majątku danych, aby odnajdywać wzorce, wykrywać anomalie, uzyskiwać prognozy i uzyskiwać inne szczegółowe informacje.

6. Skorzystaj z ścisłej integracji między usługami, aby rozszerzyć możliwości monitorowania i analizy:

   • Uruchamianie zapytań między usługami z usług Microsoft Sentinel, Monitor i Azure Data Explorer w celu analizowania i korelowania danych we wszystkich trzech usługach w jednym zapytaniu bez przenoszenia danych.
   • Skonsoliduj widok z jednym okienkiem ramki danych przy użyciu dostosowanych skoroszytów między usługami, pulpitów nawigacyjnych i raportów.

Elementy

Użyj zapytań obejmujących wiele usług, aby utworzyć skonsolidowany, interakcyjny majątek danych, łącząc dane w usłudze Microsoft Sentinel, Monitor i Azure Data Explorer:

• Microsoft Sentinel to rozwiązanie natywne dla chmury platformy Azure do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Usługa Microsoft Sentinel ma następujące funkcje:

  • Połączenie ory i interfejsy API do zbierania danych zabezpieczeń z różnych źródeł, takich jak zasoby platformy Azure, platforma Microsoft 365 i inne rozwiązania w chmurze i lokalne.
  • Zaawansowane wbudowane funkcje analizy, uczenia maszynowego i analizy zagrożeń na potrzeby wykrywania i badania zagrożeń.
  • Oparte na regułach funkcje zarządzania przypadkami i automatyzacji reagowania na zdarzenia korzystające z modułowych podręczników wielokrotnego użytku opartych na usłudze Azure Logic Apps.
  • Możliwości zapytań języka KQL, które umożliwiają analizowanie danych zabezpieczeń i wyszukiwanie zagrożeń przez korelację danych z wielu źródeł i usług.

• Usługa Azure Monitor to rozwiązanie zarządzane przez platformę Azure na potrzeby monitorowania it i aplikacji. Monitor ma następujące funkcje:

  • Natywne pozyskiwanie danych monitorowania z zasobów platformy Azure. Agenci, łączniki i interfejsy API do zbierania danych monitorowania z zasobów platformy Azure i wszystkich źródeł, aplikacji i obciążeń na platformie Azure i środowiskach hybrydowych.
  • Narzędzia do monitorowania IT i funkcje analizy, w tym AI for IT Operations (AIOps), alerty i zautomatyzowane akcje oraz wstępnie utworzone skoroszyty do monitorowania określonych zasobów, takich jak maszyny wirtualne, kontenery i aplikacje.
  • Kompleksowe możliwości obserwacji, które pomagają zwiększyć wydajność i wydajność it oraz aplikacji.
  • Możliwości zapytań KQL, które umożliwiają analizowanie danych i rozwiązywanie problemów operacyjnych dzięki korelowaniu danych między zasobami i usługami.

• Usługa Azure Data Explorer jest częścią platformy danych platformy Azure. Zapewnia ona zaawansowaną analizę w czasie rzeczywistym dla dowolnego typu danych ustrukturyzowanych i nieustrukturyzowanych. Jej właściwości są następujące

  • Połączenie ory i interfejsy API dla różnych typów danych IT i innych niż IT, na przykład danych biznesowych, użytkowników i danych geoprzestrzennych.
  • Pełny zestaw funkcji analitycznych języka KQL, w tym hostowanie algorytmów uczenia maszynowego w języku Python i zapytania federacyjne do innych technologii danych, takich jak SQL Server, data lake i Azure Cosmos DB.
  • Skalowalne funkcje zarządzania danymi, w tym pełna kontrola schematu, przetwarzanie danych przychodzących przy użyciu języka KQL, zmaterializowane widoki, partycjonowanie, szczegółowe przechowywanie i buforowanie.
  • Możliwości zapytań między usługami, które umożliwiają skorelowanie zebranych danych z danymi w usłudze Microsoft Sentinel, Monitor i innych usługach.

Szczegóły scenariusza

Architektura oparta na funkcjach i elastyczności oferowanych przez usługę Microsoft Sentinel, Monitor i Azure Data Explorer zapewnia następujące możliwości:

• Szeroki zakres opcji pozyskiwania danych obejmujących różne typy danych i źródeł danych.
• Zaawansowany zestaw natywnych zabezpieczeń, wglądu i funkcji analizy danych oraz możliwości.
• Możliwość używania zapytań obejmujących wiele usług w celu utworzenia pojedynczego widoku danych w jednym okienku szkła przez:
  • Wykonywanie zapytań dotyczących monitorowania IT i danych innych niż IT.
  • Stosowanie uczenia maszynowego w szerokim zestawie danych w celu odnajdywania wzorców, implementowania wykrywania anomalii i prognozowania oraz uzyskiwania innych zaawansowanych szczegółowych informacji.
  • Tworzenie skoroszytów i raportów, które umożliwiają monitorowanie, korelowanie i wykonywanie działań na różnych typach danych.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Guy Wild | Starszy deweloper zawartości

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Dokumentacja usługi Azure Data Explorer
• Szkolenie: wprowadzenie do usługi Azure Data Explorer
• Omówienie usługi Azure Monitor
• Co to jest usługa Microsoft Sentinel?

Powiązane zasoby

• Analiza danych big data za pomocą usługi Azure Data Explorer
• Interaktywna analiza usługi Azure Data Explorer
• Analiza IoT za pomocą usługi Azure Data Explorer