Editar

Aumentar a segurança, observabilidade e análise usando o Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Ideias de soluções

Esse artigo é uma ideia de solução. Caso deseje que ampliemos o conteúdo com mais informações, como possíveis casos de uso, serviços alternativos, considerações sobre implementação ou diretrizes de preços, fale conosco enviando seus comentários no GitHub.

O Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer se baseiam em uma tecnologia comum e usam o KQL (Kusto Query Language) para analisar grandes volumes de dados transmitidos de várias fontes quase em tempo real.

Esta solução demonstra como aproveitar a forte integração entre o Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer. Você pode usar esses serviços para consolidar um único estado de dados interativo e aumentar seus recursos de monitoramento e análise.

Observação

Essa solução se aplica ao Azure Data Explorer e também aos bancos de dados KQL da Análise em Tempo Real, que fornecem recursos de log em tempo real, séries temporais e análise avançada em nível SaaS como parte do Microsoft Fabric.

Os logotipos Grafana e Jupyter são marcas comerciais das respectivas empresas. Nenhum endosso está implícito pelo uso dessas marcas.

Arquitetura

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Baixe um arquivo do PowerPoint dessa arquitetura.

Fluxo de dados

  1. Ingerir dados usando os recursos de ingestão combinados do Microsoft Sentinel, Azure Monitor e Azure Data Explorer:

    • Defina as configurações de diagnóstico para ingerir dados de serviços do Azure, como o Serviço de Kubernetes do Azure (AKS), o Serviço de Aplicativo do Azure, o Banco de Dados SQL do Azure e o Armazenamento do Azure.
    • Use o agente do Azure Monitor para ingerir dados de VMs, contêineres e cargas de trabalho.
    • Use uma ampla variedade de conectores, agentes e APIs com suporte dos três serviços para ingerir dados de recursos locais e outras nuvens. Os conectores, agentes e APIs com suporte incluem conectores Logstash, Kafka e Logstash, agentes OpenTelemetria, APIs do Azure Data Explorer e a API de Ingestão de Log do Azure Monitor.
    • Transmita dados usando serviços do Azure, como o Hub IoT do Azure, Hubs de Eventos do Azure e o Azure Stream Analytics.

  2. Use o Microsoft Sentinel para monitorar, investigar, alertar e agir sobre dados relacionados à segurança em seu ambiente de TI.

  3. Use o Azure Monitor para monitorar, analisar, alertar e agir sobre o desempenho, a disponibilidade e a integridade de aplicativos, serviços e recursos de TI. Isso permite obter insights sobre o status operacional de sua infraestrutura de nuvem, identificar problemas e otimizar o desempenho.

  4. Use o Azure Data Explorer para dados que exijam tratamento ou análise personalizada ou mais flexível, incluindo controle total de esquema, controle de cache ou retenção, integrações de plataforma de dados profundas e aprendizado de máquina.

  5. Outra opção é aplicar o aprendizado de máquina avançado em um amplo conjunto de dados do estado inteiro de dados para descobrir padrões, detectar anomalias, obter previsões e obter outros insights.

  6. Aproveite a forte integração entre os serviços para aumentar os recursos de monitoramento e análise:

    • Execute consultas entre serviços do Microsoft Sentinel, Monitor e Azure Data Explorer para analisar e correlacionar dados nos três serviços em uma consulta sem mover os dados.
    • Consolide uma exibição de painel único de seu estado de dados com pastas de trabalho, painéis e relatórios personalizados entre serviços.

Componentes

Use consultas entre serviços para criar um estado de dados consolidado e interativo, unindo dados no Microsoft Sentinel, no Monitor e no Azure Data Explorer:

  • O Microsoft Sentinel é a solução do Azure nativa da nuvem para SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel tem os seguintes recursos:

    • Conectores e APIs para coletar dados de segurança de diversas fontes, como recursos do Azure, o Microsoft 365 e outras soluções locais e de nuvem.
    • Recursos avançados integrados de análise, aprendizado de máquina e inteligência contra ameaças para detectar e investigar ameaças.
    • Recursos de gerenciamento de casos baseados em regras e automação de resposta a incidentes que usam guias estratégicos modulares e reutilizáveis baseados em Aplicativos Lógicos do Azure.
    • Recursos de consulta KQL que permitem analisar dados de segurança e procurar ameaças correlacionando dados de várias fontes e serviços.

  • O Azure Monitor é a solução gerenciada do Azure para monitoramento de TI e aplicativos. O Monitor tem os seguintes recursos:

    • Ingestão nativa de monitoramento de dados a partir de recursos do Azure. Agentes, conectores e APIs para coletar dados de monitoramento de recursos do Azure e fontes, aplicativos e cargas de trabalho no Azure e em ambientes híbridos.
    • Ferramentas de monitoramento de TI e recursos de análise, incluindo recursos de IA para operações de TI (AIOps), alertas e ações automatizadas e pastas de trabalho pré-criadas para monitorar recursos específicos, como máquinas virtuais, contêineres e aplicativos.
    • Recursos completos de observabilidade que ajudam a melhorar a eficiência e o desempenho de TI e aplicativos.
    • Recursos de consulta KQL que permitem analisar dados e solucionar problemas operacionais correlacionando dados entre recursos e serviços.

  • O Azure Data Explorer faz parte da plataforma de dados do Azure. Ele fornece análises avançadas em tempo real para qualquer tipo de dados estruturados e não estruturados. Ele tem os seguintes recursos:

    • Conectores e APIs para vários tipos de dados de TI e não-TI, como dados comerciais, de usuários e geoespaciais.
    • O conjunto completo de recursos de análise do KQL, incluindo hospedagem de algoritmos de aprendizado de máquina em Python e consultas federadas a outras tecnologias de dados, como SQL Server, data lakes e Azure Cosmos DB.
    • Recursos escalonáveis de gerenciamento de dados, incluindo controle total de esquema, processamento de dados recebidos usando KQL, exibições materializadas, particionamento, retenção granular e controles de cache.
    • Recursos de consulta entre serviços que permitem correlacionar dados coletados com dados no Microsoft Sentinel, Monitor e outros serviços.

Detalhes do cenário

Uma arquitetura criada com base nos recursos e na flexibilidade oferecidos pelo Microsoft Sentinel, pelo Monitor e pelo Azure Data Explorer oferece:

  • Uma ampla gama de opções de ingestão de dados que incluem vários tipos de dados e fontes de dados.
  • Um conjunto de recursos e nativos de segurança, observabilidade e análise de dados.
  • A capacidade de usar consultas entre serviços para criar uma exibição de painel único de seus dados ao:
    • Consultar monitoramento de TI e dados não-TI.
    • Aplicar o aprendizado de máquina em um amplo conjunto de dados para revelar padrões, implementar detecção e previsão de anomalias, além de obter outros insights avançados.
    • Criar pastas de trabalho e relatórios que permitam monitorar, correlacionar e agir sobre vários tipos de dados.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

  • Guy Wild | Desenvolvedor de Conteúdo Sênior

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas