Azure Data Explorer-bewaking

Dit oplossingsidee demonstreert een hybride end-to-end bewakingsoplossing die is geïntegreerd met Azure Sentinel en Azure Monitor voor het opnemen van gestreamde en gebatcheerde logboeken uit diverse bronnen, on-premises of een cloud, binnen een bedrijfsecosysteem.

Werkstroom

1. Combineer functies van Azure Sentinel en Azure Monitor met Azure Data Explorer om een flexibele en kosten geoptimaliseerde end-to-end bewakingsoplossing te bouwen. Hier volgen enkele voorbeelden:
   • Gebruik Azure Sentinel ALS SIEM- en SOAR-onderdeel in de algehele bewakingsoplossing, waar u beveiligingslogboeken van firewalls, Security Center, bijvoorbeeld kunt opnemen. SIEM staat voor beveiligingsinformatie en gebeurtenisbeheer, terwijl SOAR een afkorting is voor beveiligings orchestration, automation en response.
   • Gebruik Azure Monitor systeemeigen mogelijkheden voor it-assetbewaking, dashboards en waarschuwingen, zodat u logboeken van VM's, services, en meer kunt opnemen.
   • Gebruik Azure Data Explorer voor volledige flexibiliteit en controle in alle aspecten voor alle typen logboeken in de volgende scenario's:
     • Geen out-of-the-box-functies van Azure Sentinel en Azure Monitor SaaS-oplossingen zoals logboeken voor toepassings traceerfuncties.
     • Meer flexibiliteit voor het bouwen van snelle en eenvoudige bijna realtime analysedashboards, gedetailleerd op rollen gebaseerd toegangsbeheer, tijdreeksanalyse,patroonherkenning, anomaliedetectie en prognoses en machine learning. Azure Data Explorer is ook goed geïntegreerd met ML services zoals Databricks en Azure Machine Learning. Met deze integratie kunt u modellen bouwen met behulp van andere hulpprogramma's en services en ML exporteren om Azure Data Explorer scoregegevens te verzamelen.
     • Langere gegevensretentie is op een rendabele manier vereist.
     • Gecentraliseerde opslagplaats is vereist voor verschillende typen logboeken. Azure Data Explorer, als een geïntegreerd big data analytics-platform, kunt u geavanceerde analysescenario's bouwen.
2. Query's uitvoeren op verschillende producten zonder gegevens te verplaatsen met behulp van de Azure Data Explorer-proxyfunctie voor het analyseren van gegevens uit Azure Sentinel, Azure Monitor en Azure Data Explorer in één query.
3. Als u logboeken met een lage latentie en hoge doorvoer van on-premises of een andere cloud wilt opnemen, gebruikt u native Azure Data Explorer-connectors zoals Logstash, Azure Event Hubof Kafka.
4. U kunt ook gegevens opnemen via Azure Storage (Blob of ADLS Gen2) met behulp van Apache Nifi-, Fluentd-of Fluentbit-connectors. Gebruik vervolgens Azure Event Grid om de opnamepijplijn te activeren voor Azure Data Explorer.
5. U kunt ook continu gegevens exporteren naar Azure Storage in gecomprimeerde, gepartitiede parquet-indeling en naadloos query's uitvoeren op die gegevens, zoals beschreven in het overzicht continue gegevensexport.

Onderdelen

• Azure Event Hub:een volledig beheerde, realtime gegevensopneemservice die eenvoudig, vertrouwd en schaalbaar is.
• Azure IoT Hub:beheerde service om bi-directionele communicatie tussen IoT-apparaten en Azure mogelijk te maken.
• Kafka in HDInsight:eenvoudige, rendabele, hoogwaardige service voor open source analyse met Apache Kafka.
• Azure Data Explorer:snelle, volledig beheerde en zeer schaalbare gegevensanalyseservice voor realtime analyse van grote hoeveelheden gegevens die worden gestreamd van toepassingen, websites, IoT-apparaten en meer.
• Azure Data Explorer Dashboards:exporteert standaard Kusto-query's die zijn verkend in de webinterface om dashboards te optimaliseren.
• Azure Sentinel:Intelligente beveiligingsanalyses voor uw hele onderneming.
• Azure Monitor:volledige waarneembaarheid in uw toepassingen, infrastructuur en netwerk

Volgende stappen

Zie de Azure Data Explorer voor meer informatie.