Изменить

Поделиться через

Расширение безопасности, наблюдаемости и аналитики с помощью Microsoft Sentinel, Azure Monitor и Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Microsoft Sentinel, Azure Monitor и Azure Data Explorer основаны на общей технологии и используют язык запросов Kusto (KQL) для анализа больших объемов данных, передаваемых из нескольких источников практически в реальном времени.

Это решение демонстрирует, как воспользоваться тесной интеграцией между Microsoft Sentinel, Azure Monitor и Azure Data Explorer. Эти службы можно использовать для консолидации одного интерактивного пространства данных и расширения возможностей мониторинга и аналитики.

Примечание.

Это решение относится к Azure Data Explorer, а также к базам данных KQL аналитики в режиме реального времени, которые предоставляют журналы SaaS в режиме реального времени, временные ряды и расширенные возможности аналитики в рамках Microsoft Fabric.

Логотипы Grafana и Jupyter и являются товарными знаками своих соответствующих компаний. Никакое подтверждение не подразумевается использованием этих меток.

Архитектура

Схема, показывающая расширенное решение для мониторинга и аналитики, использующее Monitor, Microsoft Sentinel и Azure Data Explorer.

Скачайте файл PowerPoint этой архитектуры.

Поток данных

  1. Прием данных с помощью объединенных возможностей приема Microsoft Sentinel, Azure Monitor и Azure Data Explorer:

    • Настройте параметры диагностики для приема данных из служб Azure, таких как Служба Azure Kubernetes (AKS), служба приложение Azure, База данных SQL Azure и служба хранилища Azure.
    • Используйте агент Azure Monitor для приема данных из виртуальных машин, контейнеров и рабочих нагрузок.
    • Используйте широкий спектр соединителей, агентов и API, поддерживаемых тремя службами, для приема данных из локальных ресурсов и других облаков. Поддерживаемые соединители, агенты и API включают соединители Logstash, Kafka и Logstash, агенты OpenTelemetry, API Azure Data Explorer и API приема журналов Azure Monitor.
    • Потоковая передача данных с помощью таких служб Azure, как Центр Интернета вещей Azure, Центры событий Azure и Azure Stream Analytics.

  2. Используйте Microsoft Sentinel для мониторинга, изучения и оповещения и принятия решений по обеспечению безопасности в ИТ-среде.

  3. С помощью Azure Monitor можно отслеживать, анализировать и оповещать и действовать на производительности, доступности и работоспособности приложений, служб и ИТ-ресурсов. Это позволяет получить аналитические сведения о рабочем состоянии облачной инфраструктуры, выявить проблемы и оптимизировать производительность.

  4. Используйте Azure Data Explorer для любых данных, для которых требуется настраиваемая или более гибкая обработка или аналитика, включая полный контроль схемы, кэш или контроль хранения, интеграций с платформой данных и машинное обучение.

  5. При необходимости примените расширенное машинное обучение к широкому набору данных из всего пространства данных для обнаружения шаблонов, обнаружения аномалий, получения прогнозов и получения других аналитических сведений.

  6. Воспользуйтесь преимуществами тесной интеграции между службами для расширения возможностей мониторинга и аналитики:

    • Выполнение запросов между службами из Microsoft Sentinel, Monitor и Azure Data Explorer для анализа и сопоставления данных во всех трех службах в одном запросе без перемещения данных.
    • Консолидация одноуровневого представления данных с настраиваемыми книгами, панелями мониторинга и отчетами.

Компоненты

Используйте запросы между службами для создания консолидированного, интерактивного пространства данных, присоединения данных в Microsoft Sentinel, Monitor и Azure Data Explorer:

  • Microsoft Sentinel — это облачное решение Azure для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel имеет следующие функции:

    • Соединители и API для сбора данных безопасности из различных источников, таких как ресурсы Azure, Microsoft 365 и другие облачные и локальные решения.
    • Расширенные встроенные возможности аналитики, машинного обучения и аналитики угроз для обнаружения и исследования угроз.
    • Возможности управления регистрами на основе правил и автоматизации реагирования на инциденты, использующие модульные и повторно используемые сборники схем, основанные на Azure Logic Apps.
    • Возможности запросов KQL, которые позволяют анализировать данные безопасности и охотиться на угрозы путем сопоставления данных из нескольких источников и служб.

  • Azure Monitor — это управляемое решение Azure для мониторинга ИТ-специалистов и приложений. Монитор имеет следующие функции:

    • Собственный прием данных мониторинга из ресурсов Azure. Агенты, соединители и API-интерфейсы для сбора данных мониторинга из ресурсов Azure и любых источников, приложений и рабочих нагрузок в Azure и гибридных средах.
    • Средства ит-мониторинга и функции аналитики, включая функции ИИ для ИТ-операций (AIOps), оповещения и автоматизированные действия, а также предварительно созданные книги для мониторинга определенных ресурсов, таких как виртуальные машины, контейнеры и приложения.
    • Комплексные возможности наблюдения, которые помогают повысить эффективность ит-специалистов и производительность приложений.
    • Возможности запросов KQL, позволяющие анализировать данные и устранять операционные проблемы путем сопоставления данных между ресурсами и службами.

  • Azure Data Explorer является частью платформы данных Azure. Он предоставляет расширенную аналитику в режиме реального времени для любого типа структурированных и неструктурированных данных. Оно имеет следующие функции:

    • Соединители и API-интерфейсы для различных типов ИТ-и не ИТ-данных, например бизнес, пользователей и геопространственных данных.
    • Полный набор возможностей аналитики KQL, включая размещение алгоритмов машинного обучения в Python и федеративных запросах к другим технологиям данных, таким как SQL Server, озера данных и Azure Cosmos DB.
    • Возможности управления масштабируемыми данными, включая полный контроль схемы, обработку входящих данных с помощью KQL, материализованных представлений, секционирования, детализации хранения и кэширования элементов управления.
    • Возможности запросов между службами, позволяющие сопоставлять собранные данные с данными в Microsoft Sentinel, Monitor и других службах.

Подробности сценария

Архитектура, основанная на функциях и гибкости, предоставляемых Microsoft Sentinel, Monitor и Azure Data Explorer, предоставляет следующие возможности:

  • Широкий спектр вариантов приема данных, охватывающих различные типы данных и источников данных.
  • Мощный набор собственных возможностей безопасности, наблюдаемости и аналитики данных.
  • Возможность использовать межслужбовые запросы для создания одноуровневого представления данных:
    • Запросы к ИТ-мониторингу и не ИТ-данным.
    • Применение машинного обучения к широкому набору данных для обнаружения шаблонов, реализации обнаружения аномалий и прогнозирования аномалий и получения других дополнительных аналитических сведений.
    • Создание книг и отчетов, позволяющих отслеживать, сопоставлять и действовать с различными типами данных.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги