Modifier

Share via

Améliorez la sécurité, l’observabilité et l’analyse à l’aide de Microsoft Sentinel, d’Azure Monitor et d’Azure Data Explorer

Explorateur de données Azure
Azure Monitor
Microsoft Sentinel

Idées de solution

Cet article présente une idée de solution. Si vous souhaitez nous voir développer le contenu avec d’autres informations, telles que des cas d’usage potentiels, d’autres services, des considérations d’implémentation ou un guide des prix, faites-le-nous savoir avec les Commentaires de GitHub.

Microsoft Sentinel, Azure Monitor et Azure Data Explorer sont basés sur une technologie commune et utilisent Langage de requête Kusto (KQL) pour analyser de grands volumes de données diffusées provenant de plusieurs sources en quasi-temps réel.

Cette solution montre comment tirer parti de l’intégration étroite entre Microsoft Sentinel, Azure Monitor et Azure Data Explorer. Vous pouvez utiliser ces services pour consolider un seul patrimoine de données interactif et accroître vos capacités de surveillance et d’analyse.

Remarque

Cette solution s’applique à Azure Data Explorer et aux bases de données KQL d’Analyse en temps réel, qui fournissent des capacités de journal en temps réel, de série chronologique et d’analyse avancées saaS dans le cadre de Microsoft Fabric.

Les logos Grafana et Jupyter représentent des marques de fabrique de leurs sociétés respectives. L’utilisation de ces marques n’implique aucune approbation.

Architecture

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Téléchargez un fichier PowerPoint de cette architecture.

Dataflow

  1. Ingérez des données à l’aide des capacités d’ingestion combinées de Microsoft Sentinel, Azure Monitor et Azure Data Explorer :

    • Configurez les paramètres de diagnostic pour ingérer des données à partir de services Azure tels qu’Azure Kubernetes Service (AKS), Azure App Service, Base de données Azure SQL et Stockage Azure.
    • Utilisez l’agent Azure Monitor pour ingérer des données à partir de machines virtuelles, de conteneurs et de charges de travail.
    • Utilisez un large éventail de connecteurs, d’agents et d’API pris en charge par les trois services pour ingérer des données à partir de ressources locales et d’autres clouds. Les connecteurs, agents et API pris en charge comprennent les connecteurs Logstash, Kafka et Logstash, les agents OpenTelemetry, les API Azure Data Explorer et l’API d’ingestion des journaux Azure Monitor.
    • Diffusez des données en continu en utilisant des services Azure tels que Azure IoT Hub, Azure Event Hubs et Azure Stream Analytics.

  2. Utilisez Microsoft Sentinel pour surveiller, examiner, alerter et agir sur les données liées à la sécurité dans votre environnement informatique.

  3. Utilisez Azure Monitor pour surveiller, analyser, alerter et agir sur les performances, la disponibilité et l’intégrité des applications, des services et des ressources informatiques. Procéder ainsi vous permet d’obtenir des informations sur l’état opérationnel de votre infrastructure cloud, d’identifier les problèmes et d’optimiser les performances.

  4. Utilisez Azure Data Explorer pour toutes les données nécessitant une gestion ou une analyse personnalisées ou plus flexibles, notamment un contrôle de schéma complet, un cache ou un contrôle de rétention, des intégrations de plateforme de données approfondies et l’apprentissage automatique.

  5. Si vous le souhaitez, appliquez l’apprentissage automatique avancé à un vaste ensemble de données de tout votre patrimoine de données pour découvrir des modèles, détecter des anomalies, obtenir des prévisions et d’autres informations.

  6. Bénéficiez d’une intégration étroite entre les services pour augmenter les capacités de surveillance et d’analyse :

    • Exécutez des requêtes interservices à partir de Microsoft Sentinel, Monitor et Azure Data Explorer pour analyser et mettre en corrélation les données dans les trois services d’une requête sans déplacer ces données.
    • Consolidez une vue à volet unique de votre patrimoine de données avec des classeurs, des tableaux de bord et des rapports personnalisés.

Composants

Utilisez des requêtes interservices pour créer un patrimoine de données consolidé et interactif, tout en joignant des données dans Microsoft Sentinel, Monitor et Azure Data Explorer :

  • Microsoft Sentinel est une solution native Cloud de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR). Microsoft Sentinel présente les caractéristiques suivantes :

    • Connecteurs et API pour collecter des données de sécurité à partir de différentes sources, telles que les ressources Azure, Microsoft 365 et d’autres solutions cloud et locales.
    • Capacités avancées d’analyse intégrée, d’apprentissage automatique et de veille des menaces pour détecter et examiner les menaces.
    • Capacités de gestion des dossiers et d’automatisation des réponses aux incidents basées sur des règles qui utilisent des guides opérationnels modulaires réutilisables basés sur Azure Logic Apps.
    • Capacités de requête KQL qui vous permettent d’analyser les données de sécurité et de répérer des menaces en mettant en corrélation les données provenant de plusieurs sources et services.

  • Azure Monitor renvoie à la solution gérée Azure pour l’informatique et la surveillance des applications. Monitor présente les caractéristiques suivantes :

    • Ingestion native des données de surveillance à partir de ressources Azure. Agents, connecteurs et API pour collecter des données de surveillance à partir de ressources Azure et de toutes les sources, applications et charges de travail dans les environnements Azure et hybrides.
    • Outils de surveillance informatique et fonctionnalités d’analyse, notamment les fonctionnalités IA pour les opérations informatiques (AIOps), les alertes et les actions automatisées, ainsi que les classeurs prédéfinis pour surveiller des ressources spécifiques, telles que des machines virtuelles, des conteneurs et des applications.
    • Capacités d’observabilité de bout en bout qui vous aident à améliorer l’efficacité et la performance des applications et informatiques.
    • Capacités de requête KQL qui vous permettent d’analyser les données et de résoudre les problèmes opérationnels en mettant en corrélation les données entre les ressources et les services.

  • Azure Data Explorer fait partie de la plateforme de données Azure. Il fournit des analyses avancées en temps réel pour tout type de données structurées et non structurées. Elle présente les fonctionnalités suivantes :

    • Connecteurs et API pour différents types de données informatiques et non informatiques, par exemple, les données métier, utilisateur et géospatiales.
    • L’ensemble complet des capacités d’analyse de KQL, notamment l’hébergement d’algorithmes d’apprentissage automatique dans Python et les requêtes fédérées vers d’autres technologies de données, telles que SQL Server, les lacs de données et Azure Cosmos DB.
    • Capacités de gestion des données évolutives, notamment le contrôle de schéma complet, le traitement des données entrantes à l’aide de KQL, de vues matérialisées, de partitionnement, de rétention granulaire et de contrôles de mise en cache.
    • Capacités de requête interservices qui vous permettent de mettre en corrélation les données collectées avec celles dans Microsoft Sentinel, Monitor et d’autres services.

Détails du scénario

Une architecture basée sur les fonctionnalités et la flexibilité fournies par Microsoft Sentinel, Monitor et Azure Data Explorer vous offre les fonctionnalités suivantes :

  • Un large éventail d’options d’ingestion de données qui s’étendent sur différents types de données et de sources de données.
  • Un ensemble puissant de capacités et de fonctionnalités de sécurité, d’observabilité et d’analyse de données natives.
  • Possibilité d’utiliser des requêtes interservices pour créer une vue à volet unique de vos données en procédant comme suit :
    • Interrogation de données de surveillance informatiques et non informatiques.
    • Application de l’apprentissage automatique sur un vaste jeu de données pour découvrir des modèles, implémenter la détection et la prévision d’anomalies et obtenir d’autres informations avancées.
    • Création de classeurs et de rapports qui vous permettent de surveiller, de mettre en corrélation et d’agir sur différents types de données.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes