Параметры мониторинга в Azure
Репутация вашей организации зависит от производительности, надежности и безопасности своих систем. Например, если ваша платежная система не может обрабатывать транзакции пользователей в период продаж с высоким объемом праздников, клиенты могут потерять доверие к вашему бизнесу.
Очень важно внимательно следить за системами, чтобы выявлять любые проблемы производительности или атаки до того, как они смогут повлиять на пользователей. В этом уроке описываются решения Azure, которые помогают отслеживать службы вашей организации.
Azure Monitor
Azure Monitor — это служба для сбора, анализа и выполнения данных телеметрии из облачных и локальных сред. Вы можете анализировать метрики и журналы из наблюдаемых ресурсов.
Azure Monitor помогает повысить доступность и производительность приложений и служб, обнаруживая и диагностируя проблемы с приложением, инфраструктурой и платформой. Кроме того, Azure Monitor поддерживает рабочие процессы с оповещениями и автоматизированными действиями, а также позволяет создавать визуализации, такие как панели мониторинга и отчеты.
Azure Monitor собирает данные телеметрии непосредственно из ресурсов платформы Azure, а также позволяет получать пользовательские данные с помощью API. Azure Monitor также может собирать данные уровня приложений и данные о производительности инфраструктуры из контейнеров и гостевых операционных систем виртуальной машины.
Azure Monitor хранит собранные данные в централизованных и полностью управляемых хранилищах данных: Метрики Azure Monitor для числовых значений временных рядов и рабочих областей Azure Monitor Log Analytics для журналов ресурсов. Azure Monitor автоматически собирает и сохраняет метрики для большинства ресурсов Azure, но для отправки и хранения журналов ресурсов требуется конфигурация пользователя. Вы можете выбрать способ использования, анализа и реагирования на собранные данные.
В большинстве случаев следует начать с аналитических сведений, которые позволяют отслеживать и устранять неполадки для ресурсов Azure. Например, вы можете использовать аналитику контейнеров Azure Monitor для рабочих нагрузок Kubernetes.
Вы также можете визуализировать данные с помощью панелей мониторинга Azure в портал Azure, создавать бизнес-представления с помощью Power BI или создавать интерактивные отчеты с помощью книг. Используйте Azure Monitor для подробного просмотра работоспособности приложений и инфраструктуры на одном экране.
Вы можете дополнительно проанализировать собранные данные с помощью обозревателя метрик для диаграммы и визуальной корреляции, а также Log Analytics для запросов, трендов и распознавания шаблонов. Azure Monitor позволяет управлять оповещениями, уведомлениями и действиями, такими как модули Runbook и автомасштабирование на основе метрик и журналов. Azure Monitor также можно интегрировать с другими средствами с помощью Центры событий Azure для экспорта данных или API для приема и экспорта.
Microsoft Defender для облака
Microsoft Defender для облака — это служба, которая управляет безопасностью инфраструктуры из централизованного расположения. Вы можете использовать Defender для облака для отслеживания безопасности как локальных, так и облачных рабочих нагрузок.
Атаки становятся все более развитыми, а число людей, которые обладают навыками в области безопасности, незначительно. Defender для облака помогает справиться с этими проблемами, предоставляя средства, которые повышают защиту от угроз безопасности. Используйте Defender для облака для мониторинга работоспособности ресурсов и реализации рекомендаций.
Defender для облака помогает оптимизировать конфигурацию безопасности. Defender для облака изначально интегрирован с другими службами Azure PaaS, такими как База данных SQL Azure. Для служб IaaS в Defender для облака можно включить автоматическую подготовку.
Defender для облака создает агент на каждой поддерживаемой виртуальной машине при создании виртуальной машины. Затем Defender автоматически начинает сбор данных с компьютера. Эта возможность Defender для облака снижает сложность настройки безопасности.
Microsoft Sentinel
Microsoft Sentinel — это облачная система управления безопасностью и событиями (SIEM), которая собирает данные на устройствах, пользователях, инфраструктуре и приложениях в вашей организации. Microsoft Sentinel можно использовать для упреждающего поиска угроз и аномалий, а также реагирования с помощью оркестрации и автоматизации. Microsoft Sentinel имеет встроенную аналитику угроз для обнаружения и исследования, которые могут помочь уменьшить ложные срабатывания.
Вы можете подключить источники данных к Microsoft Sentinel. Источники данных включают службы Майкрософт, такие как Microsoft 365 и Defender для облака, а также могут включать внешние решения, такие как AWS CloudTrail или локальные источники. На панели мониторинга Microsoft Sentinel отображаются подробные сведения, собранные из источников.
Инциденты помогают группировать и объединять связанные между собой оповещения. Инциденты можно использовать для снижения уровня шума, генерируемого через масштабирование данных. Инциденты также помогают вам более подробно исследовать аномальные действия или угрозы, которые вызывают оповещения.
Используйте запросы для охоты для поиска угроз по всему предприятию до появления оповещений. Исследователи по безопасности Майкрософт поддерживают встроенные запросы охоты, которые служат основой для создания собственных запросов.
Записные книжки могут состоять из шагов исследования или охоты, которые вы повторно используете или предоставляете другим пользователям. Используйте записные книжки Microsoft Sentinel для разработки и запуска записных книжек. Например, вы можете использовать интерактивную охоту — аномальную записную книжку Office365 Exchange Session для охоты на аномальные действия в Microsoft 365 на предприятии.
Рабочие области Log Analytics
Microsoft Sentinel и Microsoft Defender для облака использовать журналы Azure Monitor в качестве базовой платформы данных ведения журнала и хранить их данные в рабочих областях Log Analytics. Рабочие области Log Analytics — это центральное хранилище и расположения управления, которые собирают и агрегируют журналы приложений, инфраструктуры и безопасности для анализа, устранения неполадок и аудита.
Этот централизованный подход позволяет использовать один пользовательский интерфейс и язык запросов для сопоставления и анализа производительности приложений, производительности инфраструктуры и журналов безопасности в одной службе аналитики данных. Рекомендуется использовать как можно меньше рабочих областей и управлять доступом пользователей и команд к подмножествам данных журнала с помощью разрешений ресурсов или рабочей области. Дополнительные сведения см. в разделе "Проектирование архитектуры рабочей области Log Analytics".