Идеи решения
Эта статья является идеей решения. Если вы хотите расширить содержимое с дополнительными сведениями, такими как потенциальные варианты использования, альтернативные службы, рекомендации по реализации или рекомендации по ценам, сообщите нам, предоставив отзыв GitHub.
Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель основаны на общей технологии и использовании язык запросов Kusto (KQL) для анализа больших объемов данных, передаваемых из нескольких источников практически в реальном времени.
Это решение демонстрирует, как использовать тесную интеграцию между Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель. Эти службы можно использовать для консолидации одного интерактивного пространства данных и расширения возможностей мониторинга и аналитики.
Примечание.
Это решение относится к azure Data Обозреватель, а также к базам данных KQL аналитики в режиме реального времени, которые предоставляют журналы SaaS в режиме реального времени, временные ряды и расширенные возможности аналитики в рамках Microsoft Fabric.
Логотипы Grafana и Jupyter и являются товарными знаками своих соответствующих компаний. Никакое подтверждение не подразумевается использованием этих меток.
Архитектура
Скачайте файл PowerPoint этой архитектуры.
Поток данных
Прием данных с помощью объединенных возможностей приема Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель:
- Настройте параметры диагностики для приема данных из служб Azure, таких как Служба Azure Kubernetes (AKS), служба приложение Azure, База данных SQL Azure и служба хранилища Azure.
- Используйте агент Azure Monitor для приема данных из виртуальных машин, контейнеров и рабочих нагрузок.
- Используйте широкий спектр соединителей, агентов и API, поддерживаемых тремя службами, для приема данных из локальных ресурсов и других облаков. Поддерживаемые соединители, агенты и API включают соединители Logstash, Kafka и Logstash, агенты OpenTelemetry, API Обозреватель данных Azure и API приема журналов Azure Monitor.
- Потоковая передача данных с помощью таких служб Azure, как Центр Интернета вещей Azure, Центры событий Azure и Azure Stream Analytics.
Используйте Microsoft Sentinel для мониторинга, изучения и оповещения и принятия решений по обеспечению безопасности в ИТ-среде.
С помощью Azure Monitor можно отслеживать, анализировать и оповещать и действовать на производительности, доступности и работоспособности приложений, служб и ИТ-ресурсов. Это позволяет получить аналитические сведения о рабочем состоянии облачной инфраструктуры, выявить проблемы и оптимизировать производительность.
Используйте azure Data Обозреватель для любых данных, требующих пользовательской или более гибкой обработки или аналитики, включая полный контроль схемы, кэш или контроль хранения, глубокую интеграцию платформы данных и машинное обучение.
При необходимости примените расширенное машинное обучение к широкому набору данных из всего пространства данных для обнаружения шаблонов, обнаружения аномалий, получения прогнозов и получения других аналитических сведений.
Воспользуйтесь преимуществами тесной интеграции между службами для расширения возможностей мониторинга и аналитики:
- Выполнение запросов между службами из Microsoft Sentinel, Monitor и Azure Data Обозреватель для анализа и корреляции данных во всех трех службах в одном запросе без перемещения данных.
- Консолидация одноуровневого представления данных с настраиваемыми книгами, панелями мониторинга и отчетами.
Компоненты
Используйте запросы между службами для создания консолидированного, интерактивного пространства данных, присоединения данных в Microsoft Sentinel, Monitor и Azure Data Обозреватель:
Microsoft Sentinel — это облачное решение Azure для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel имеет следующие функции:
- Подключение и API для сбора данных безопасности из различных источников, таких как ресурсы Azure, Microsoft 365 и другие облачные и локальные решения.
- Расширенные встроенные возможности аналитики, машинного обучения и аналитики угроз для обнаружения и исследования угроз.
- Возможности управления регистрами на основе правил и автоматизации реагирования на инциденты, использующие модульные и повторно используемые сборники схем, основанные на Azure Logic Apps.
- Возможности запросов KQL, которые позволяют анализировать данные безопасности и охотиться на угрозы путем сопоставления данных из нескольких источников и служб.
Azure Monitor — это управляемое решение Azure для мониторинга ИТ-специалистов и приложений. Монитор имеет следующие функции:
- Собственный прием данных мониторинга из ресурсов Azure. Агенты, соединители и API-интерфейсы для сбора данных мониторинга из ресурсов Azure и любых источников, приложений и рабочих нагрузок в Azure и гибридных средах.
- Средства ит-мониторинга и функции аналитики, включая функции ИИ для ИТ-операций (AIOps), оповещения и автоматизированные действия, а также предварительно созданные книги для мониторинга определенных ресурсов, таких как виртуальные машины, контейнеры и приложения.
- Комплексные возможности наблюдения, которые помогают повысить эффективность ит-специалистов и производительность приложений.
- Возможности запросов KQL, позволяющие анализировать данные и устранять операционные проблемы путем сопоставления данных между ресурсами и службами.
Azure Data Обозреватель является частью платформы данных Azure. Он предоставляет расширенную аналитику в режиме реального времени для любого типа структурированных и неструктурированных данных. Оно имеет следующие функции:
- Подключение и API для различных типов ИТ-данных и данных, отличных от ИТ-специалистов, например бизнес, пользователей и геопространственных данных.
- Полный набор возможностей аналитики KQL, включая размещение алгоритмов машинного обучения в Python и федеративных запросах к другим технологиям данных, таким как SQL Server, озера данных и Azure Cosmos DB.
- Возможности управления масштабируемыми данными, включая полный контроль схемы, обработку входящих данных с помощью KQL, материализованных представлений, секционирования, детализации хранения и кэширования элементов управления.
- Возможности запросов между службами, позволяющие сопоставлять собранные данные с данными в Microsoft Sentinel, Monitor и других службах.
Подробности сценария
Архитектура, основанная на возможностях и гибкости, предоставляемых Microsoft Sentinel, Monitor и Azure Data Обозреватель предоставляет следующие возможности:
- Широкий спектр вариантов приема данных, охватывающих различные типы данных и источников данных.
- Мощный набор собственных возможностей безопасности, наблюдаемости и аналитики данных.
- Возможность использовать межслужбовые запросы для создания одноуровневого представления данных:
- Запросы к ИТ-мониторингу и не ИТ-данным.
- Применение машинного обучения к широкому набору данных для обнаружения шаблонов, реализации обнаружения аномалий и прогнозирования аномалий и получения других дополнительных аналитических сведений.
- Создание книг и отчетов, позволяющих отслеживать, сопоставлять и действовать с различными типами данных.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.
Автор субъекта:
- Гай Дикий | Старший разработчик содержимого
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
- Документация по Обозреватель данных Azure
- Учебный курс. Общие сведения о Обозреватель данных Azure
- Общие сведения о службе Azure Monitor
- Что такое Microsoft Sentinel?