編輯

使用 Microsoft Sentinel、Azure 監視器和 Azure 資料總管來增強安全性、可觀察性和分析

Azure 資料總管
Azure 監視器
Microsoft Sentinel

解決方案構想

本文是解決方案概念。 如果您想要使用詳細資訊來擴充內容,例如潛在的使用案例、替代服務、實作考慮或定價指引,請提供 GitHub 意見反應 讓我們知道。

Microsoft Sentinel、Azure 監視器和 Azure 資料總管是以通用技術為基礎,並使用 Kusto 查詢語言 (KQL) 以近乎即時的方式分析從多個來源串流的大量資料。

此解決方案示範如何利用 Microsoft Sentinel、Azure 監視器和 Azure 資料總管之間的緊密整合。 您可以使用這些服務來合併單一互動式資料資產,並增強監視和分析功能。

注意

此解決方案適用于 Azure 資料總管,也適用于 即時分析 KQL 資料庫 ,提供 SaaS 級即時記錄、時間序列和進階分析功能,作為 Microsoft Fabric 一部分。

Grafana 和 Jupyter 標誌,是各自公司的商標。 使用這些標記時,不會隱含任何背書。

架構

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

下載此架構的 PowerPoint 檔案

資料流程

  1. 使用 Microsoft Sentinel、Azure 監視器 Azure 資料總 管的合併擷取功能 來內嵌資料:

    • 設定診斷設定,從 Azure Kubernetes Service (AKS)、Azure App 服務、Azure SQL 資料庫和Azure 儲存體等 Azure 服務擷取資料。
    • 使用 Azure 監視器代理程式從 VM、容器和工作負載擷取資料。
    • 使用三個服務所支援的各種連接器、代理程式和 API,從內部部署資源和其他雲端擷取資料。 支援的連接器、代理程式和 API 包括 Logstash、Kafka 和 Logstash 連接器、OpenTelemetry 代理程式、Azure 資料總管 API,以及 Azure 監視器記錄擷取 API。
    • 使用Azure IoT 中樞、Azure 事件中樞和 Azure 串流分析等 Azure 服務,在 中串流資料。

  2. 使用 Microsoft Sentinel 監視、調查及警示,並針對 IT 環境中的安全性相關資料採取行動。

  3. 使用 Azure 監視器來監視、分析和警示,並針對應用程式、服務和 IT 資源的效能、可用性和健康情況採取行動。 這麼做可讓您深入瞭解雲端基礎結構的作業狀態、找出問題,以及優化效能。

  4. 針對任何需要自訂或更具彈性處理或分析的資料,使用 Azure 資料總管,包括完整架構控制、快取或保留控制、深層資料平臺整合和機器學習。

  5. 您可以選擇性地將進階機器學習套用至整個資料資產中的一組廣泛資料,以探索模式、偵測異常、取得預測,以及取得其他見解。

  6. 利用服務之間的緊密整合,以增強監視和分析功能:

    • Microsoft Sentinel、Monitor Azure 資料 總管執行跨服務查詢,以在一個查詢中分析及相互關聯這三個服務中的資料,而不移動資料。
    • 使用自訂的跨服務活頁簿、儀表板和報表,合併資料資產的單一窗格檢視。

元件

使用跨服務查詢來建置合併的互動式資料資產、在 Microsoft Sentinel、監視器和 Azure 資料總管中聯結資料:

  • Microsoft Sentinel 是 Azure 雲端原生解決方案,適用于安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR)。 Microsoft Sentinel 具有下列功能:

    • 連線器和 API,從各種來源收集安全性資料,例如 Azure 資源、Microsoft 365 和其他雲端和內部部署解決方案。
    • 用於偵測和調查威脅的進階內建分析、機器學習和威脅情報功能。
    • 以規則為基礎的案例管理和事件回應自動化功能,其使用以 Azure Logic Apps 為基礎的模組化、可重複使用的劇本。
    • KQL 查詢功能可讓您分析安全性資料,並藉由將來自多個來源和服務的資料相互關聯,以搜尋威脅。

  • Azure 監視器 是適用于 IT 和應用程式監視的 Azure 受控解決方案。 監視器具有下列功能:

    • 從 Azure 資源擷取監視資料的原生擷取。 代理程式、連接器和 API,用於從 Azure 資源收集監視資料,以及 Azure 和混合式環境中的任何來源、應用程式和工作負載。
    • IT 監視工具和分析工具功能,包括適用于 IT 作業的 AI(AIOps) 功能、警示和自動化動作,以及預先建置的活頁簿來監視特定資源,例如虛擬機器、容器和應用程式。
    • 端對端可觀察性功能可協助您改善 IT 和應用程式效率和效能。
    • KQL 查詢功能可讓您分析資料,並透過跨資源和服務相互關聯資料來針對作業問題進行疑難排解。

  • Azure 資料總 管是 Azure 資料平臺的一部分。 它提供任何類型的結構化和非結構化資料的即時進階分析。 其具備下列功能:

    • 連線器和 API,適用于各種類型的 IT 和非 IT 資料,例如商務、使用者和地理空間資料。
    • KQL 分析功能的完整集合,包括將機器學習演算法裝載在 Python 中,以及與其他資料技術的同盟查詢,例如 SQL Server、Data Lake 和 Azure Cosmos DB。
    • 可調整的資料管理功能,包括完整架構控制項、使用 KQL 處理傳入資料、具體化檢視、資料分割、細微保留和快取控制項。
    • 跨服務查詢功能,可讓您將收集的資料與 Microsoft Sentinel、監視器和其他服務中的資料相互關聯。

案例詳細資料

建置在 Microsoft Sentinel、Monitor 和 Azure 資料總管所提供的功能和彈性的架構可讓您:

  • 跨越各種資料類型和資料來源的資料擷取選項。
  • 一組功能強大的原生安全性、可觀察性和資料分析特性和功能。
  • 能夠使用跨服務查詢,透過下列方式建立資料的單一窗格檢視:
    • 查詢 IT 監視和非 IT 資料。
    • 在廣泛的資料集上套用機器學習來探索模式、實作異常偵測和預測,並取得其他進階見解。
    • 建立活頁簿和報表,讓您能夠監視、相互關聯及處理各種類型的資料。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

若要查看非公用LinkedIn設定檔,請登入 LinkedIn。

下一步