Opzioni di monitoraggio in Azure
La reputazione dell'organizzazione dipende dalle prestazioni, dall'affidabilità e dalla sicurezza dei suoi sistemi. Se ad esempio il sistema di pagamento non riesce a elaborare le transazioni utente durante le vacanze, durante le quali si assiste a un aumento considerevole delle vendite, i clienti potrebbero perdere fiducia nell'azienda.
Il monitoraggio attento dei sistemi è fondamentale per identificare qualsiasi problema di prestazione o attacco prima che possa avere conseguenze per gli utenti. Questa unità descrive le soluzioni di Azure che consentono di monitorare i servizi dell'organizzazione.
Monitoraggio di Azure
Monitoraggio di Azure è un servizio per la raccolta, l'analisi e l'uso dei dati di telemetria da ambienti cloud e locali. È possibile analizzare le metriche e i log dalle risorse monitorate,
Monitoraggio di Azure consente di ottimizzare la disponibilità e le prestazioni delle applicazioni e dei servizi, rilevando e diagnosticando i problemi di applicazioni, infrastruttura e piattaforma. Monitoraggio di Azure supporta anche i flussi di lavoro operativi con avvisi e azioni automatiche e consente di creare visualizzazioni, ad esempio dashboard e report.
Monitoraggio di Azure raccoglie i dati di telemetria direttamente dalle risorse della piattaforma Azure ed è anche possibile inserire dati personalizzati usando le API. Monitoraggio di Azure può anche raccogliere dati a livello di applicazione e dati sulle prestazioni dell'infrastruttura dai contenitori e dai sistemi operativi guest delle macchine virtuali.
Monitoraggio di Azure archivia i dati raccolti in archivi dati centralizzati e completamente gestiti: le metriche di Monitoraggio di Azure per i valori numerici delle serie temporali e le aree di lavoro Log Analytics di Monitoraggio di Azure per i log delle risorse. Monitoraggio di Azure raccoglie e archivia automaticamente le metriche per la maggior parte delle risorse di Azure, ma è necessaria la configurazione utente per inviare e archiviare i log delle risorse. Si può scegliere come utilizzare, analizzare e rispondere ai dati raccolti.
Nella maggior parte dei casi è consigliabile iniziare con le informazioni dettagliate, che sono esperienze guidate di monitoraggio e risoluzione dei problemi per le risorse di Azure. Ad esempio, è possibile usare le informazioni dettagliate sui contenitori di Monitoraggio di Azure per i carichi di lavoro Kubernetes.
È anche possibile visualizzare i dati con i dashboard di Azure nel portale di Azure, creare visualizzazioni aziendali con Power BI o creare report interattivi usando le cartelle di lavoro. Usare Monitoraggio di Azure per ottenere una visualizzazione dettagliata dell'integrità dell'applicazione e dell'infrastruttura in un'unica schermata.
È possibile analizzare in modo più approfondito i dati raccolti usando Esplora metriche per la creazione di grafici e la correlazione visiva e Log Analytics per query, individuazione di tendenze e riconoscimento dei modelli. Monitoraggio di Azure consente di gestire e creare avvisi, notifiche e azioni, ad esempio runbook e scalabilità automatica in base a metriche e log. È anche possibile integrare Monitoraggio di Azure con altri strumenti usando Hub eventi per esportare dati o le API per l'inserimento e l'esportazione.
Microsoft Defender for Cloud
Microsoft Defender per il cloud è un servizio che gestisce la sicurezza dell'infrastruttura da una posizione centralizzata. È possibile usare Microsoft Defender per il cloud per monitorare la sicurezza dei carichi di lavoro, sia locali che nel cloud.
Gli attacchi stanno diventando più scaltri e il numero di persone con le competenze adeguate sulla sicurezza è basso. Microsoft Defender per il cloud consente di affrontare questi problemi offrendo strumenti che migliorano la protezione dalle minacce alla sicurezza. Usare Microsoft Defender per il cloud per monitorare l'integrità delle risorse e implementare le raccomandazioni.
Defender per il cloud consente di semplificare la configurazione della sicurezza. Microsoft Defender per il cloud è integrato in modo nativo con altri servizi PaaS, come il database SQL di Azure. Per i servizi IaaS, è possibile abilitare il provisioning automatico in Microsoft Defender per il cloud.
Defender per il cloud crea un agente in ogni macchina virtuale supportata al momento della creazione della macchina virtuale. Inizia quindi a raccogliere automaticamente i dati dalla macchina virtuale. Questa funzionalità di Defender per il cloud riduce la complessità della configurazione della sicurezza.
Microsoft Sentinel
Microsoft Sentinel è un sistema di SIEM (Security Information and Event Management) nativo del cloud che raccoglie dati su dispositivi, utenti, infrastruttura e applicazioni nell'intera azienda. È possibile usare Microsoft Sentinel per cercare in modo proattivo minacce e anomalie e rispondere tramite l'uso dell'orchestrazione e dell'automazione. Microsoft Sentinel dispone di intelligence sulle minacce incorporata per il rilevamento e l'indagine, che consente di ridurre i falsi positivi.
È possibile connettere le origini dati a Microsoft Sentinel. Le origini dati includono servizi Microsoft come Microsoft 365 e Defender per il cloud e possono includere anche soluzioni esterne come AWS CloudTrail oppure origini locali. Il dashboard di Microsoft Sentinel mostra le informazioni dettagliate raccolte dalle origini.
Gli eventi imprevisti consentono di raggruppare e combinare avvisi correlati e di ridurre il rumore generato dalla scala dei dati. Gli incidenti consentono anche di eseguire indagini più approfondite sulle attività anomale o sulle minacce che hanno provocato la generazione di avvisi.
È possibile usare query di ricerca per cercare eventuali minacce all'interno dell'intera azienda prima che vengano generati avvisi. I ricercatori Microsoft in materia di sicurezza mettono a disposizione query di ricerca predefinite che fungono da punto di partenza per la creazione di query personalizzate.
I notebook possono essere costituiti da passaggi di indagine o di ricerca che è possibile riutilizzare o condividere con altri utenti. Usare i notebook di Microsoft Sentinel per sviluppare ed eseguire i notebook. Ad esempio è possibile usare il notebook Ricerca guidata - Sessioni anomale di Office365 Exchange per cercare attività anomale in Microsoft 365 nell'intera azienda.
Aree di lavoro Log Analytics
Microsoft Sentinel e Microsoft Defender per il cloud usano i log di Monitoraggio di Azure come piattaforma dati di registrazione sottostante e archiviano i dati nelle aree di lavoro Log Analytics. Le aree di lavoro Log Analytics sono posizioni di archiviazione e gestione centrali che raccolgono e aggregano i log di sicurezza, dell'infrastruttura e delle applicazioni per l'analisi, la risoluzione dei problemi e il controllo.
Questo approccio centralizzato consente di usare un'unica interfaccia utente e un solo linguaggio di query per eseguire la correlazione e le indagini sulle prestazioni delle applicazioni, le prestazioni dell'infrastruttura e i log di sicurezza all'interno dello stesso servizio di analisi dei dati. È preferibile usare il minor numero di aree di lavoro possibile e gestire l'accesso degli utenti e dei team ai subset di dati di log usando le autorizzazioni per le risorse o le aree di lavoro. Per altre informazioni, vedere Progettare l’architettura di un’area di lavoro Log Analytics.