Editar

Aumento de la seguridad, la observabilidad y el análisis mediante Microsoft Sentinel, Azure Monitor y Azure Data Explorer

Explorador de datos de Azure
Azure Monitor
Microsoft Sentinel

Ideas de solución

Este artículo es una idea de solución. Si te gustaría que ampliemos este artículo con más información, como posibles casos de uso, servicios alternativos, consideraciones de implementación o una guía de precios, comunícalo a través de los Comentarios de GitHub.

Microsoft Sentinel, Azure Monitor y Azure Data Explorer se basan en una tecnología común y usan el lenguaje de consulta Kusto (KQL) para analizar grandes volúmenes de datos transmitidos desde varios orígenes casi en tiempo real.

Esta solución muestra cómo aprovechar la estrecha integración entre Microsoft Sentinel, Azure Monitor y Azure Data Explorer. Puede usar estos servicios para consolidar un único patrimonio de datos interactivo y aumentar las funcionalidades de supervisión y análisis.

Nota:

Esta solución se aplica a Azure Data Explorer y también a las bases de datos KQL de análisis en tiempo real, que proporcionan funcionalidades de registro en tiempo real, serie temporal y análisis avanzado de grado SaaS como parte de Microsoft Fabric.

Los logotipos de Grafana y Jupyter son marcas comerciales de sus respectivas empresas. El uso de estas marcas no implica ninguna aprobación.

Architecture

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Descargue un archivo de PowerPoint de esta arquitectura.

Flujo de datos

  1. Ingiera datos mediante las funcionalidades de ingesta combinadas de Microsoft Sentinel, Azure Monitor y Azure Data Explorer:

    • Configure las opciones de diagnóstico para ingerir datos de servicios de Azure como Azure Kubernetes Service (AKS), Azure App Service, base de datos de Azure SQL y Azure Storage.
    • Use el agente de Azure Monitor para ingerir datos de máquinas virtuales, contenedores y cargas de trabajo.
    • Use una amplia gama de conectores, agentes y API compatibles con los tres servicios para ingerir datos de recursos locales y otras nubes. Los conectores, agentes y API admitidos incluyen los conectores Logstash, Kafka y Logstash, los agentes de OpenTelemetry, las API de Azure Data Explorer y la API de ingesta de registros de Azure Monitor.
    • Transmita datos entrantes mediante servicios de Azure como Azure IoT Hub, Azure Event Hubs y Azure Stream Analytics.

  2. Use Microsoft Sentinel para supervisar, investigar y alertar y actuar respecto a los datos relacionados con la seguridad en todo el entorno de TI.

  3. Use Azure Monitor para supervisar, analizar y alertar y actuar respecto al rendimiento, la disponibilidad y el estado de las aplicaciones, los servicios y los recursos de TI. Esto le permite obtener información sobre el estado operativo de la infraestructura en la nube, identificar problemas y optimizar el rendimiento.

  4. Use Azure Data Explorer para cualquier dato que requiera gestión o análisis personalizados o más flexibles, incluido el control completo de esquemas, el control de retención o caché, las integraciones profundas de plataformas de datos y el aprendizaje automático.

  5. Opcionalmente, aplique el aprendizaje automático avanzado a un amplio conjunto de datos de todo el patrimonio para descubrir patrones, detectar anomalías, obtener pronósticos y recibir otras conclusiones.

  6. Aproveche la estrecha integración entre los servicios para aumentar las funcionalidades de supervisión y análisis:

    • Ejecute consultas entre servicios desde Microsoft Sentinel, Monitor y Azure Data Explorer para analizar y correlacionar datos en los tres servicios con una consulta sin mover los datos.
    • Consolide una vista de un panel único del patrimonio de datos con libros, paneles e informes personalizados entre servicios.

Componentes

Use consultas entre servicios para crear un patrimonio de datos consolidado e interactivo, combinar datos en Microsoft Sentinel, Monitor y Azure Data Explorer:

  • Microsoft Sentinel es una solución nativa de nube de servicio de administración de eventos e información de seguridad (SIEM) y de orquestación de seguridad, automatización y respuesta (SOAR). Microsoft Sentinel tiene las siguientes características:

    • Conectores y API para recoger datos de seguridad de varios orígenes, como recursos de Azure, Microsoft 365 y otras soluciones locales y en la nube.
    • Funcionalidades avanzadas de análisis, aprendizaje automático e inteligencia contra amenazas integradas para detectar e investigar amenazas.
    • Funcionalidades de automatización de respuesta a incidentes y administración de casos basadas en reglas que usan cuadernos de estrategias modulares y reutilizables basados en Azure Logic Apps.
    • Funcionalidades de consulta de KQL que permiten analizar datos de seguridad y buscar amenazas mediante la correlación de datos de varios orígenes y servicios.

  • Azure Monitor es la solución administrada de Azure para TI y la supervisión de aplicaciones. Monitor tiene las características siguientes:

    • Ingesta nativa de datos de supervisión desde recursos de Azure. Agentes, conectores y API para recopilar datos de supervisión desde recursos de Azure y cualquier origen, aplicación y carga de trabajo en entornos híbridos y de Azure.
    • Herramientas de supervisión de TI y características de análisis, incluidas las características de inteligencia artificial para operaciones de TI (AIOps), alertas y las acciones automatizadas, y libros precompilados para supervisar recursos específicos, como máquinas virtuales, contenedores y aplicaciones.
    • Funcionalidades de observabilidad de un extremo a otro que le ayudan a mejorar la eficiencia y el rendimiento de las aplicaciones y de TI.
    • Funcionalidades de consulta de KQL que permiten analizar datos y solucionar problemas operativos mediante la correlación de datos entre recursos y servicios.

  • Azure Data Explorer forma parte de la plataforma de datos de Azure. Proporciona análisis avanzados en tiempo real para cualquier tipo de datos estructurados y no estructurados. Tiene las siguientes características:

    • Conectores y API para varios tipos de datos de TI y que no son de TI, por ejemplo, datos empresariales, de usuario y geoespaciales.
    • El conjunto completo de funcionalidades de análisis de KQL, incluido el hospedaje de algoritmos de aprendizaje automático en Python y consultas federadas a otras tecnologías de datos, como SQL Server, lagos de datos y Azure Cosmos DB.
    • Funcionalidades de administración de datos escalables, incluido el control completo de esquemas, el procesamiento de datos entrantes mediante KQL, vistas materializadas, creación de particiones, retención granular y controles de almacenamiento en caché.
    • Funcionalidades de consulta entre servicios que permiten correlacionar los datos recopilados con datos de Microsoft Sentinel, Monitor y otros servicios.

Detalles del escenario

Una arquitectura basada en las características y la flexibilidad proporcionadas por Microsoft Sentinel, Monitor y Azure Data Explorer ofrece lo siguiente:

  • Una amplia gama de opciones de ingesta de datos que abarcan varios tipos de datos y orígenes de datos.
  • Un conjunto eficaz de características y funcionalidades de análisis de datos, observabilidad y seguridad nativas.
  • La capacidad de usar consultas entre servicios para crear una vista de un panel único de los datos mediante:
    • Consulta de datos de supervisión de TI y que no son de TI.
    • Aplicar el aprendizaje automático en un amplio conjunto de datos para detectar patrones, implementar la detección y pronóstico de anomalías y obtener otras conclusiones avanzadas.
    • Crear libros e informes que le permitan supervisar, correlacionar y actuar sobre varios tipos de datos.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

  • Guy Wild | Desarrollador de contenido sénior

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes