Editar

Aumente a segurança, a observabilidade e a análise usando o Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Ideias de soluções

Este artigo é uma ideia de solução. Se você quiser que expandamos o conteúdo com mais informações, como possíveis casos de uso, serviços alternativos, considerações de implementação ou orientação de preços, informe-nos fornecendo feedback do GitHub.

O Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer baseiam-se numa tecnologia comum e utilizam a Kusto Query Language (KQL) para analisar grandes volumes de dados transmitidos a partir de várias fontes quase em tempo real.

Esta solução demonstra como tirar partido da integração total entre o Microsoft Sentinel, o Azure Monitor e o Azure Data Explorer. Você pode usar esses serviços para consolidar um único conjunto de dados interativo e aumentar seus recursos de monitoramento e análise.

Nota

Esta solução aplica-se ao Azure Data Explorer e também às bases de dados KQL do Real-Time Analytics, que fornecem capacidades de registo em tempo real, séries cronológicas e analíticas avançadas de nível SaaS como parte do Microsoft Fabric.

Os logotipos Grafana e Jupyter são marcas registradas de suas respetivas empresas. O uso destas marcas não implica qualquer endosso.

Arquitetura

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Transfira um ficheiro PowerPoint desta arquitetura.

Fluxo de dados

  1. Ingerir dados usando os recursos de ingestão combinados do Microsoft Sentinel, Azure Monitor e Azure Data Explorer:

    • Configure as configurações de diagnóstico para ingerir dados dos serviços do Azure, como o Serviço Kubernetes do Azure (AKS), o Serviço de Aplicativo do Azure, o Banco de Dados SQL do Azure e o Armazenamento do Azure.
    • Use o Azure Monitor Agent para ingerir dados de VMs, contêineres e cargas de trabalho.
    • Use uma ampla gama de conectores, agentes e APIs suportados pelos três serviços para ingerir dados de recursos locais e outras nuvens. Os conectores, agentes e APIs suportados incluem conectores Logstash, Kafka e Logstash, agentes OpenTelemetry , APIs do Azure Data Explorer e a API de Ingestão de Log do Azure Monitor.
    • Transmita dados usando serviços do Azure como o Hub IoT do Azure, Hubs de Eventos do Azure e Azure Stream Analytics.

  2. Use o Microsoft Sentinel para monitorar, investigar, alertar e agir sobre dados relacionados à segurança em seu ambiente de TI.

  3. Use o Azure Monitor para monitorar, analisar e alertar e agir sobre o desempenho, a disponibilidade e a integridade de aplicativos, serviços e recursos de TI. Isso permite que você obtenha informações sobre o status operacional de sua infraestrutura de nuvem, identifique problemas e otimize o desempenho.

  4. Use o Azure Data Explorer para quaisquer dados que exijam manipulação ou análise personalizada ou mais flexível, incluindo controle de esquema completo, controle de cache ou retenção, integrações profundas de plataforma de dados e aprendizado de máquina.

  5. Opcionalmente, aplique o aprendizado de máquina avançado em um amplo conjunto de dados de todo o seu conjunto de dados para descobrir padrões, detetar anomalias, obter previsões e obter outros insights.

  6. Aproveite a estreita integração entre serviços para aumentar os recursos de monitoramento e análise:

    • Execute consultas entre serviços do Microsoft Sentinel, Monitor e Azure Data Explorer para analisar e correlacionar dados em todos os três serviços em uma consulta sem mover os dados.
    • Consolide uma exibição de painel único do seu conjunto de dados com pastas de trabalho, painéis e relatórios personalizados entre serviços.

Componentes

Use consultas entre serviços para criar uma propriedade de dados consolidada e interativa, unindo dados no Microsoft Sentinel, Monitor e Azure Data Explorer:

  • O Microsoft Sentinel é a solução nativa da nuvem do Azure para gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel tem os seguintes recursos:

    • Conectores e APIs para coletar dados de segurança de várias fontes, como recursos do Azure, Microsoft 365 e outras soluções locais e na nuvem.
    • Recursos avançados integrados de análise, aprendizado de máquina e inteligência de ameaças para detetar e investigar ameaças.
    • Recursos de automação de resposta a incidentes e gerenciamento de casos baseados em regras que usam playbooks modulares e reutilizáveis baseados em Aplicativos Lógicos do Azure.
    • Recursos de consulta KQL que permitem analisar dados de segurança e procurar ameaças correlacionando dados de várias fontes e serviços.

  • O Azure Monitor é a solução gerenciada do Azure para monitoramento de TI e aplicativos. O Monitor tem as seguintes características:

    • Ingestão nativa de dados de monitoramento de recursos do Azure. Agentes, conectores e APIs para coletar dados de monitoramento de recursos do Azure e quaisquer fontes, aplicativos e cargas de trabalho em ambientes híbridos e do Azure.
    • Ferramentas de monitoramento de TI e recursos de análise, incluindo recursos de IA para operações de TI (AIOps), alertas e ações automatizadas e pastas de trabalho pré-criadas para monitorar recursos específicos, como máquinas virtuais, contêineres e aplicativos.
    • Recursos de observabilidade de ponta a ponta que ajudam a melhorar a eficiência e o desempenho de TI e aplicativos.
    • Recursos de consulta KQL que permitem analisar dados e solucionar problemas operacionais correlacionando dados entre recursos e serviços.

  • O Azure Data Explorer faz parte da plataforma de dados do Azure. Ele fornece análises avançadas em tempo real para qualquer tipo de dados estruturados e não estruturados. Inclui as seguintes funcionalidades:

    • Conectores e APIs para vários tipos de dados de TI e não de TI, por exemplo, dados de negócios, de usuários e geoespaciais.
    • O conjunto completo de recursos de análise do KQL, incluindo hospedagem de algoritmos de aprendizado de máquina em Python e consultas federadas a outras tecnologias de dados, como SQL Server, data lakes e Azure Cosmos DB.
    • Recursos escaláveis de gerenciamento de dados, incluindo controle total de esquema, processamento de dados recebidos usando KQL, exibições materializadas, particionamento, retenção granular e controles de cache.
    • Recursos de consulta entre serviços que permitem correlacionar dados coletados com dados no Microsoft Sentinel, Monitor e outros serviços.

Detalhes do cenário

Uma arquitetura baseada nos recursos e flexibilidade fornecidos pelo Microsoft Sentinel, Monitor e Azure Data Explorer oferece:

  • Uma ampla gama de opções de ingestão de dados que abrangem vários tipos de dados e fontes de dados.
  • Um poderoso conjunto de recursos e capacidades nativas de segurança, observabilidade e análise de dados.
  • A capacidade de usar consultas entre serviços para criar uma visualização de painel único de seus dados:
    • Consulta de monitoramento de TI e dados não relacionados a TI.
    • Aplicação de aprendizado de máquina em um amplo conjunto de dados para descobrir padrões, implementar deteção e previsão de anomalias e obter outros insights avançados.
    • Criação de pastas de trabalho e relatórios que permitem monitorar, correlacionar e agir sobre vários tipos de dados.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

  • Guy Selvagem - Brasil | Desenvolvedor de Conteúdo Sênior

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos