Options d'analyse dans Azure
La réputation de votre organisation dépend des performances, de la fiabilité et de la sécurité de ses systèmes. Par exemple, si votre système de paiement n'est pas en mesure de traiter les transactions des utilisateurs au cours d'une période de vente intense pendant les fêtes, vos clients risquent de perdre confiance en votre entreprise.
Il est donc essentiel de superviser vos systèmes de près pour identifier les attaques ou les problèmes de performances avant qu’ils n’impactent les utilisateurs. Cette unité décrit les solutions Azure qui vous aident à analyser les services de votre organisation.
Azure Monitor
Azure Monitor est un service qui vous permet de collecter et d’analyser les données de télémétrie de vos environnements cloud et locaux, et de prendre les mesures qui s’imposent. Vous pouvez analyser les métriques et les journaux générés par les ressources supervisées.
Azure Monitor vous aide à optimiser la disponibilité et les performances de vos applications et services en détectant et en diagnostiquant les problèmes liés aux applications, à l'infrastructure et à la plateforme. Azure Monitor prend également en charge les workflows opérationnels avec des actions automatisées et des alertes, et vous permet de créer des visualisations comme des tableaux de bord et des rapports.
Azure Monitor collecte les données de télémétrie directement à partir de ressources de plateforme Azure, et vous pouvez également ingérer des données personnalisées à l'aide de l'API. Azure Monitor peut également collecter des données sur la couche d'application et des données sur les performances de l'infrastructure à partir des conteneurs et des systèmes d'exploitation invités des machines virtuelles.
Azure Monitor stocke les données collectées dans des magasins de données centralisés et entièrement gérés : Métriques Azure Monitor pour les valeurs de séries chronologiques numériques, et les espaces de travail Log Analytics Azure Monitor pour les journaux de ressources. Azure Monitor collecte et stocke automatiquement les métriques pour la plupart des ressources Azure. Toutefois, la configuration utilisateur est requise pour envoyer et stocker les journaux des ressources. Vous pouvez choisir comment consommer, analyser et répondre aux données collectées.
Dans la plupart des cas, vous devez commencer avec les aperçus, qui sont des expériences d'analyse et de dépannage guidées pour les ressources Azure. Par exemple, vous pouvez utiliser les aperçus des conteneurs Azure Monitor pour vos charges de travail Kubernetes.
Vous pouvez également visualiser les données vous-même avec les tableaux de bord Azure dans le portail Azure, créer des vues d'entreprise avec Power BI ou créer des rapports interactifs à l'aide de classeurs. Utilisez Azure Monitor pour obtenir une vue détaillée de l'état de vos applications et de votre infrastructure sur un seul écran.
Vous pouvez analyser plus en détail les données collectées en utilisant Metrics Explorer pour les graphiques et la corrélation visuelle, et Log Analytics pour les requêtes, les tendances et la reconnaissance de modèles. Azure Monitor vous permet de gérer et de créer des alertes, des notifications et des actions comme les runbooks et la mise à l'échelle automatique en fonction des métriques et des journaux. Vous pouvez également intégrer Azure Monitor à d'autres outils en utilisant Azure Event Hubs pour exporter des données ou des API pour l'ingestion et l'exportation.
Microsoft Defender pour le cloud
Microsoft Defender pour le cloud est un service qui gère la sécurité de votre infrastructure à partir d’un emplacement centralisé. Vous pouvez utiliser Defender pour le cloud pour monitorer la sécurité de vos charges de travail, qu’elles soient locales ou dans le cloud.
Les attaques deviennent de plus en plus intelligentes et le nombre de personnes ayant les compétences appropriées en matière de sécurité est faible. Defender pour le cloud vous aide à relever ces défis en vous fournissant des outils qui améliorent votre protection contre les menaces de sécurité. Utilisez Defender pour le cloud pour surveiller l’intégrité de vos ressources et implémenter des recommandations.
Defender pour le cloud permet de rationaliser votre configuration de sécurité. Defender pour le cloud est nativement intégré à d'autres services Azure PaaS comme Azure SQL Database. Pour les services IaaS, vous pouvez activer le provisionnement automatique dans Defender pour le cloud.
Defender pour le cloud crée un agent sur chaque machine virtuelle prise en charge lors de la création de la machine virtuelle. Defender commence alors la collecte automatique des données sur la machine. Cette capacité Defender pour le cloud réduit la complexité de la configuration de la sécurité.
Microsoft Sentinel
Microsoft Sentinel est un système natif Cloud de gestion des informations et des événements de sécurité (SIEM) qui collecte des données sur les appareils, les utilisateurs, l'infrastructure et les applications dans l'ensemble de l'entreprise. Vous pouvez utiliser Microsoft Sentinel pour repérer de manière proactive les menaces et les anomalies, et réagir en utilisant l'orchestration et l'automatisation. Microsoft Sentinel intègre la veille des menaces pour la détection et l'investigation, ce qui permet de réduire le nombre de faux positifs.
Vous pouvez connecter vos sources de données à Microsoft Sentinel. Les sources de données comprennent des services Microsoft comme Microsoft 365 et Defender pour le cloud, et peuvent également inclure des solutions externes comme AWS CloudTrail ou des sources locales. Le tableau de bord Microsoft Sentinel présente des informations détaillées collectées à partir de vos sources.
Les incidents vous aident à regrouper et combiner les alertes associées. Vous pouvez utiliser des incidents pour réduire le bruit généré par la mise à l’échelle des données. Les incidents vous aident également à approfondir l'analyse des activités anormales ou des menaces qui ont donné lieu à des alertes.
Vous pouvez utiliser des requêtes de chasse pour rechercher les menaces dans votre entreprise avant le déclenchement d’alertes. Les chercheurs en sécurité de Microsoft maintiennent des requêtes de chasse intégrées qui servent de base à la génération de vos propres requêtes.
Les notebooks peuvent contenir des étapes d'enquête ou de chasse que vous pouvez réutiliser ou partager avec les autres. Utilisez les notebooks Microsoft Sentinel pour développer et exécuter vos notebooks. Par exemple, vous pouvez utiliser le notebook Chasse guidée – Sessions Office 365 Exchange anormales pour repérer des activités anormales dans Microsoft 365 au sein de votre entreprise.
Espaces de travail Log Analytics
Microsoft Sentinel et Microsoft Defender pour le cloud utilisent les journaux Azure Monitor comme plateforme de données de journalisation sous-jacente, et stockent leurs données dans des espaces de travail Log Analytics. Les espaces de travail Log Analytics sont des emplacements centraux de stockage et de gestion qui collectent et agrègent vos journaux d'application, d'infrastructure et de sécurité à des fins d'analyse, de dépannage et d'audit.
Cette approche centralisée vous permet d'utiliser une interface utilisateur et un langage de requête uniques pour mettre en corrélation et étudier les performances de l'application, les performances de l'infrastructure et les journaux de sécurité au sein d'un même service analytique de données. Il est recommandé d'utiliser le moins d'espaces de travail possible et de gérer l'accès des utilisateurs et des équipes à des sous-ensembles de données de journal en utilisant les autorisations relatives aux ressources ou aux espaces de travail. Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.