Изменить

Расширение безопасности, наблюдаемости и аналитики с помощью Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Идеи решения

Эта статья является идеей решения. Если вы хотите расширить содержимое с дополнительными сведениями, такими как потенциальные варианты использования, альтернативные службы, рекомендации по реализации или рекомендации по ценам, сообщите нам, предоставив отзыв GitHub.

Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель основаны на общей технологии и использовании язык запросов Kusto (KQL) для анализа больших объемов данных, передаваемых из нескольких источников практически в реальном времени.

Это решение демонстрирует, как использовать тесную интеграцию между Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель. Эти службы можно использовать для консолидации одного интерактивного пространства данных и расширения возможностей мониторинга и аналитики.

Примечание.

Это решение относится к azure Data Обозреватель, а также к базам данных KQL аналитики в режиме реального времени, которые предоставляют журналы SaaS в режиме реального времени, временные ряды и расширенные возможности аналитики в рамках Microsoft Fabric.

Логотипы Grafana и Jupyter и являются товарными знаками своих соответствующих компаний. Никакое подтверждение не подразумевается использованием этих меток.

Архитектура

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Скачайте файл PowerPoint этой архитектуры.

Поток данных

  1. Прием данных с помощью объединенных возможностей приема Microsoft Sentinel, Azure Monitor и Azure Data Обозреватель:

    • Настройте параметры диагностики для приема данных из служб Azure, таких как Служба Azure Kubernetes (AKS), служба приложение Azure, База данных SQL Azure и служба хранилища Azure.
    • Используйте агент Azure Monitor для приема данных из виртуальных машин, контейнеров и рабочих нагрузок.
    • Используйте широкий спектр соединителей, агентов и API, поддерживаемых тремя службами, для приема данных из локальных ресурсов и других облаков. Поддерживаемые соединители, агенты и API включают соединители Logstash, Kafka и Logstash, агенты OpenTelemetry, API Обозреватель данных Azure и API приема журналов Azure Monitor.
    • Потоковая передача данных с помощью таких служб Azure, как Центр Интернета вещей Azure, Центры событий Azure и Azure Stream Analytics.

  2. Используйте Microsoft Sentinel для мониторинга, изучения и оповещения и принятия решений по обеспечению безопасности в ИТ-среде.

  3. С помощью Azure Monitor можно отслеживать, анализировать и оповещать и действовать на производительности, доступности и работоспособности приложений, служб и ИТ-ресурсов. Это позволяет получить аналитические сведения о рабочем состоянии облачной инфраструктуры, выявить проблемы и оптимизировать производительность.

  4. Используйте azure Data Обозреватель для любых данных, требующих пользовательской или более гибкой обработки или аналитики, включая полный контроль схемы, кэш или контроль хранения, глубокую интеграцию платформы данных и машинное обучение.

  5. При необходимости примените расширенное машинное обучение к широкому набору данных из всего пространства данных для обнаружения шаблонов, обнаружения аномалий, получения прогнозов и получения других аналитических сведений.

  6. Воспользуйтесь преимуществами тесной интеграции между службами для расширения возможностей мониторинга и аналитики:

    • Выполнение запросов между службами из Microsoft Sentinel, Monitor и Azure Data Обозреватель для анализа и корреляции данных во всех трех службах в одном запросе без перемещения данных.
    • Консолидация одноуровневого представления данных с настраиваемыми книгами, панелями мониторинга и отчетами.

Компоненты

Используйте запросы между службами для создания консолидированного, интерактивного пространства данных, присоединения данных в Microsoft Sentinel, Monitor и Azure Data Обозреватель:

  • Microsoft Sentinel — это облачное решение Azure для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel имеет следующие функции:

    • Подключение и API для сбора данных безопасности из различных источников, таких как ресурсы Azure, Microsoft 365 и другие облачные и локальные решения.
    • Расширенные встроенные возможности аналитики, машинного обучения и аналитики угроз для обнаружения и исследования угроз.
    • Возможности управления регистрами на основе правил и автоматизации реагирования на инциденты, использующие модульные и повторно используемые сборники схем, основанные на Azure Logic Apps.
    • Возможности запросов KQL, которые позволяют анализировать данные безопасности и охотиться на угрозы путем сопоставления данных из нескольких источников и служб.

  • Azure Monitor — это управляемое решение Azure для мониторинга ИТ-специалистов и приложений. Монитор имеет следующие функции:

    • Собственный прием данных мониторинга из ресурсов Azure. Агенты, соединители и API-интерфейсы для сбора данных мониторинга из ресурсов Azure и любых источников, приложений и рабочих нагрузок в Azure и гибридных средах.
    • Средства ит-мониторинга и функции аналитики, включая функции ИИ для ИТ-операций (AIOps), оповещения и автоматизированные действия, а также предварительно созданные книги для мониторинга определенных ресурсов, таких как виртуальные машины, контейнеры и приложения.
    • Комплексные возможности наблюдения, которые помогают повысить эффективность ит-специалистов и производительность приложений.
    • Возможности запросов KQL, позволяющие анализировать данные и устранять операционные проблемы путем сопоставления данных между ресурсами и службами.

  • Azure Data Обозреватель является частью платформы данных Azure. Он предоставляет расширенную аналитику в режиме реального времени для любого типа структурированных и неструктурированных данных. Оно имеет следующие функции:

    • Подключение и API для различных типов ИТ-данных и данных, отличных от ИТ-специалистов, например бизнес, пользователей и геопространственных данных.
    • Полный набор возможностей аналитики KQL, включая размещение алгоритмов машинного обучения в Python и федеративных запросах к другим технологиям данных, таким как SQL Server, озера данных и Azure Cosmos DB.
    • Возможности управления масштабируемыми данными, включая полный контроль схемы, обработку входящих данных с помощью KQL, материализованных представлений, секционирования, детализации хранения и кэширования элементов управления.
    • Возможности запросов между службами, позволяющие сопоставлять собранные данные с данными в Microsoft Sentinel, Monitor и других службах.

Подробности сценария

Архитектура, основанная на возможностях и гибкости, предоставляемых Microsoft Sentinel, Monitor и Azure Data Обозреватель предоставляет следующие возможности:

  • Широкий спектр вариантов приема данных, охватывающих различные типы данных и источников данных.
  • Мощный набор собственных возможностей безопасности, наблюдаемости и аналитики данных.
  • Возможность использовать межслужбовые запросы для создания одноуровневого представления данных:
    • Запросы к ИТ-мониторингу и не ИТ-данным.
    • Применение машинного обучения к широкому набору данных для обнаружения шаблонов, реализации обнаружения аномалий и прогнозирования аномалий и получения других дополнительных аналитических сведений.
    • Создание книг и отчетов, позволяющих отслеживать, сопоставлять и действовать с различными типами данных.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги