Redigera

Utöka säkerhet, observerbarhet och analys med hjälp av Microsoft Sentinel, Azure Monitor och Azure Data Explorer

Azure Data Explorer
Azure Monitor
Microsoft Sentinel

Lösningsidéer

Den här artikeln är en lösningsidé. Om du vill att vi ska utöka innehållet med mer information, till exempel potentiella användningsfall, alternativa tjänster, implementeringsöverväganden eller prisvägledning, kan du meddela oss genom att ge GitHub-feedback.

Microsoft Sentinel, Azure Monitor och Azure Data Explorer baseras på en gemensam teknik och använder Kusto-frågespråk (KQL) för att analysera stora mängder data som strömmas in från flera källor nästan i realtid.

Den här lösningen visar hur du kan dra nytta av den snäva integreringen mellan Microsoft Sentinel, Azure Monitor och Azure Data Explorer. Du kan använda dessa tjänster för att konsolidera en enda interaktiv dataegendom och utöka dina övervaknings- och analysfunktioner.

Kommentar

Den här lösningen gäller för Azure Data Explorer och även för KQL-databaser för realtidsanalys, som tillhandahåller SaaS-klass för realtidsloggar, tidsserier och avancerade analysfunktioner som en del av Microsoft Fabric.

Grafana- och Jupyter-logotyperna och är varumärken som tillhör respektive företag. Ingen bekräftelse understås av användningen av dessa märken.

Arkitektur

Diagram that shows an augmented monitoring and analytics solution that uses Monitor, Microsoft Sentinel, and Azure Data Explorer.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Dataflöde

  1. Mata in data med hjälp av de kombinerade inmatningsfunktionerna i Microsoft Sentinel, Azure Monitor och Azure Data Explorer:

    • Konfigurera diagnostikinställningar för att mata in data från Azure-tjänster som Azure Kubernetes Service (AKS), Azure App Service, Azure SQL Database och Azure Storage.
    • Använd Azure Monitor Agent för att mata in data från virtuella datorer, containrar och arbetsbelastningar.
    • Använd ett brett utbud av anslutningsappar, agenter och API:er som stöds av de tre tjänsterna för att mata in data från lokala resurser och andra moln. Anslutningsprogram, agenter och API:er som stöds inkluderar Logstash-, Kafka- och Logstash-anslutningsappar, OpenTelemetry-agenter, Azure Data Explorer-API:er och Azure Monitor Log Ingestion API.
    • Strömma data med hjälp av Azure-tjänster som Azure IoT Hub, Azure Event Hubs och Azure Stream Analytics.

  2. Använd Microsoft Sentinel för att övervaka, undersöka och varna och agera på säkerhetsrelaterade data i din IT-miljö.

  3. Använd Azure Monitor för att övervaka, analysera och avisera och agera på prestanda, tillgänglighet och hälsa för program, tjänster och IT-resurser. På så sätt kan du få insikter om driftstatusen för din molninfrastruktur, identifiera problem och optimera prestanda.

  4. Använd Azure Data Explorer för data som kräver anpassad eller mer flexibel hantering eller analys, inklusive fullständig schemakontroll, cache- eller kvarhållningskontroll, integrering av djupdataplattform och maskininlärning.

  5. Du kan också använda avancerad maskininlärning på en bred uppsättning data från hela dataegendomen för att identifiera mönster, identifiera avvikelser, hämta prognoser och få andra insikter.

  6. Dra nytta av den nära integreringen mellan tjänster för att utöka övervaknings- och analysfunktionerna:

    • Kör frågor mellan tjänster från Microsoft Sentinel, Monitor och Azure Data Explorer för att analysera och korrelera data i alla tre tjänsterna i en fråga utan att flytta data.
    • Konsolidera en vy med en enda fönsterruta över din dataegendom med anpassade arbetsböcker, instrumentpaneler och rapporter mellan tjänster.

Komponenter

Använd frågor mellan tjänster för att skapa en konsoliderad, interaktiv dataegendom, ansluta data i Microsoft Sentinel, Monitor och Azure Data Explorer:

  • Microsoft Sentinel är den molnbaserade Azure-lösningen för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel har följande funktioner:

    • Anslut orer och API:er för insamling av säkerhetsdata från olika källor, till exempel Azure-resurser, Microsoft 365 och andra molnlösningar och lokala lösningar.
    • Avancerade inbyggda funktioner för analys, maskininlärning och hotinformation för att identifiera och undersöka hot.
    • Reglerbaserade funktioner för ärendehantering och automatisering av incidenthantering som använder modulära, återanvändbara spelböcker som baseras på Azure Logic Apps.
    • KQL-frågefunktioner som gör att du kan analysera säkerhetsdata och jaga efter hot genom att korrelera data från flera källor och tjänster.

  • Azure Monitor är den Azure-hanterade lösningen för IT- och programövervakning. Monitor har följande funktioner:

    • Intern inmatning av övervakningsdata från Azure-resurser. Agenter, anslutningsappar och API:er för insamling av övervakningsdata från Azure-resurser och alla källor, program och arbetsbelastningar i Azure- och hybridmiljöer.
    • IT-övervakningsverktyg och analysfunktioner, inklusive AI för IT-åtgärder (AIOps), aviseringar och automatiserade åtgärder samt fördefinierade arbetsböcker för övervakning av specifika resurser, till exempel virtuella datorer, containrar och program.
    • Observerbarhetsfunktioner från slutpunkt till slutpunkt som hjälper dig att förbättra IT- och programeffektiviteten och prestandan.
    • KQL-frågefunktioner som gör att du kan analysera data och felsöka driftsproblem genom att korrelera data mellan resurser och tjänster.

  • Azure Data Explorer är en del av Azure-dataplattformen. Den tillhandahåller avancerad analys i realtid för alla typer av strukturerade och ostrukturerade data. Den har följande värden:

    • Anslut orer och API:er för olika typer av IT- och icke-IT-data, till exempel affärs-, användar- och geospatiala data.
    • Den fullständiga uppsättningen av KQL:s analysfunktioner, inklusive värd för maskininlärningsalgoritmer i Python och federerade frågor till andra datatekniker, till exempel SQL Server, datasjöar och Azure Cosmos DB.
    • Skalbara datahanteringsfunktioner, inklusive fullständig schemakontroll, bearbetning av inkommande data med hjälp av KQL, materialiserade vyer, partitionering, detaljerad kvarhållning och cachelagringskontroller.
    • Frågefunktioner mellan tjänster som gör att du kan korrelera insamlade data med data i Microsoft Sentinel, Monitor och andra tjänster.

Information om scenario

En arkitektur som bygger på de funktioner och den flexibilitet som tillhandahålls av Microsoft Sentinel, Monitor och Azure Data Explorer ger dig:

  • Ett brett utbud av datainmatningsalternativ som sträcker sig över olika typer av data och datakällor.
  • En kraftfull uppsättning inbyggda funktioner för säkerhet, observerbarhet och dataanalys.
  • Möjligheten att använda frågor mellan tjänster för att skapa en vy med en enda fönsterruta av dina data genom att:
    • Köra frågor mot IT-övervakning och icke-IT-data.
    • Tillämpa maskininlärning på en bred datauppsättning för att identifiera mönster, implementera avvikelseidentifiering och prognostisering och få andra avancerade insikter.
    • Skapa arbetsböcker och rapporter som gör att du kan övervaka, korrelera och agera på olika typer av data.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

  • Guy Wild | Senior innehållsutvecklare

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg