Supervisión de Azure Data Explorer

Data Explorer
Monitor
Sentinel

Idea de solución

Si le gustaría que expandamos este artículo con más información, como posibles casos de uso, servicios alternativos, consideraciones de implementación o una guía de precios, comuníquese a través de los Comentarios de GitHub.

Esta idea muestra una solución de supervisión híbrida de un extremo a otro integrada en Azure Sentinel y Azure Monitor para la ingesta de registros por lotes y de flujos de distintos orígenes, entornos locales y en la nube, dentro de un ecosistema empresarial.

Administración de soluciones con Azure Data Explorer

Flujo de trabajo

  1. Combine las características que proporcionan Azure Sentinel y Azure Monitor con Azure Data Explorer para crear una solución de supervisión de un extremo a otro flexible y con un costo optimizado. A continuación se muestran algunos ejemplos:
    • Use Azure Sentinel como componente de SIEM y SOAR en la solución de supervisión general, donde puede ingerir registros de seguridad de firewalls, Security Center, etc. SIEM es el acrónimo de security information and event management (administración de eventos e información de seguridad), mientras que SOAR lo es de security orchestration, automation and response (respuesta, automatización y orquestación de la seguridad).
    • Use las funcionalidades nativas de Azure Monitor para la supervisión de recursos de TI, la creación de paneles y la generación de alertas, con el fin de que pueda ingerir registros de máquinas virtuales, servicios, etc.
    • Use Azure Data Explorer para disfrutar de flexibilidad y control totales en todos los aspectos en todos los tipos de registros de los siguientes escenarios:
      • Las soluciones SaaS de Azure Sentinel y Azure Monitor no proporcionan características estándar, como los registros de seguimiento de aplicaciones.
      • Mayor flexibilidad para crear paneles de análisis rápidos y sencillos casi en tiempo real, control de acceso basado en roles pormenorizado, análisis de series temporales, reconocimiento de patrones, detección y previsión de anomalías y aprendizaje automático. Azure Data Explorer también está perfectamente integrado con los servicios de Machine Learning, como Databricks y Azure Machine Learning. Esta integración le permite crear modelos con otras herramientas y servicios, y exportar los modelos de Machine Learning a Azure Data Explorer para puntuar los datos.
      • Se requiere una retención de datos más larga de manera rentable.
      • El repositorio centralizado es necesario para los diferentes tipos de registros. Al ser una plataforma unificada de análisis de macrodatos, Azure Data Explorer permite crear escenarios de análisis avanzados.
  2. Consulte en los distintos productos sin mover datos mediante la característica de proxy de Azure Data Explorer para analizar los datos de Azure Sentinel, Azure Monitor y Azure Data Explorer en una sola consulta.
  3. Para ingerir registros con baja latencia y alto rendimiento de entornos locales o de cualquier otra nube, use conectores de Azure Data Explorer nativos, como Logstash, Azure Event Hub o Kafka.
  4. Como alternativa, puede ingerir datos a través de Azure Storage (BLOB o ADLS Gen2) mediante los conectores Nifi, Fluentd o Fluentbit de Apache. Luego, use Azure Event Grid para desencadenar la canalización de ingesta en Azure Data Explorer.
  5. También puede exportar los datos continuamente a Azure Storage en formato Parquet comprimido con particiones y consultar con facilidad esos datos como se detalla en la introducción a la exportación continua de datos.

Nota

Azure Sentinel se basa en Azure Monitor (Log Analytics) que, a su vez, se basa en Azure Data Explorer. Por lo tanto, la conmutación entre estos servicios es sencilla. Esto le permite volver a usar los paneles y las consultas del lenguaje de consulta Kusto en estos servicios.

Componentes

  • Azure Event Hub: servicio de ingesta de datos en tiempo real y totalmente administrado simple, confiable y escalable.
  • Azure IoT Hub: servicio administrado para habilitar la comunicación bidireccional entre los dispositivos de IoT y Azure.
  • Kafka en HDInsight: servicio rentable y sencillo de nivel empresarial para el análisis de código abierto con Apache Kafka.
  • Azure Data Explorer: servicio de análisis de datos rápido, totalmente administrado y muy escalable para el análisis en tiempo real de grandes volúmenes de datos de que se transmiten en secuencias desde aplicaciones, sitios Web, dispositivos IoT, etc.
  • Paneles de Azure Data Explorer: exporte de forma nativa las consultas de Kusto que se exploraron en la interfaz de usuario Web a los paneles optimizados.
  • Azure Sentinel: análisis de seguridad inteligente para toda la empresa.
  • Azure Monitor: Observabilidad completa de las aplicaciones, la infraestructura y la red

Pasos siguientes

Para más información, consulte la documentación de Azure Data Explorer.