编辑

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Sentinel、Azure Monitor 和 Azure 数据资源管理器来增强安全性、可观测性和分析

Azure 数据资源管理器
Azure Monitor
Microsoft Sentinel

解决方案构想

本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。

Microsoft Sentinel、Azure Monitor 和 Azure 数据资源管理器基于一种通用技术,并使用 Kusto 查询语言 (KQL) 准实时地分析从多个源流式传输的大量数据。

此解决方案演示如何利用 Microsoft Sentinel、Azure Monitor 与 Azure 数据资源管理器之间的紧密集成。 可以使用这些服务合并单一交互式数据资产,并增强监视和分析功能。

注意

此解决方案适用于 Azure 数据资源管理器,也适用于实时分析 KQL 数据库,该数据库在 Microsoft Fabric 中提供 SaaS 级实时日志、时序和高级分析功能。

Grafana 和 Jupyter 徽标是各自公司的商标。 使用这些标志并不意味着认可。

体系结构

此图显示了使用 Monitor、Microsoft Sentinel 和 Azure 数据资源管理器的增强型监视和分析解决方案。

下载此体系结构的 PowerPoint 文件

数据流

  1. 使用 Microsoft SentinelAzure MonitorAzure 数据资源管理器的合并引入功能来引入数据:

    • 配置诊断设置以从 Azure 服务(例如 Azure Kubernetes 服务 (AKS)、Azure 应用服务、Azure SQL 数据库和 Azure 存储引入数据。
    • 使用 Azure Monitor 代理从 VM、容器和工作负载引入数据。
    • 使用三个服务支持的各种连接器、代理和 API,从本地资源和其他云引入数据。 支持的连接器、代理和 API 包括 Logstash、Kafka 和 Logstash 连接器、OpenTelemetry 代理、Azure 数据资源管理器 API 及 Azure Monitor 日志引入 API。
    • 使用 Azure 服务(如 Azure IoT 中心、Azure 事件中心和 Azure 流分析)流式传输数据。

  2. 使用 Microsoft Sentinel 监视和调查整个 IT 环境中的与安全相关的数据,以及发出警报并采取行动。

  3. 使用 Azure Monitor 监视与分析应用程序、服务和 IT 资源的性能、可用性和运行状况,以及发出警报并采取行动。 这样做可以深入了解云基础设施的操作状态、识别问题,以及优化性能。

  4. 使用 Azure 数据资源管理器处理任何需要自定义或更灵活处理或分析的数据,包括完整架构控制、缓存或保留控制、深度数据平台集成及机器学习。

  5. (可选)对整个数据资产中的一组广泛的数据应用高级机器学习,以发现模式、检测异常、获取预测,并获取其他见解。

  6. 利用服务之间的紧密集成,来增强监视和分析功能:

    • Microsoft Sentinel、MonitorAzure 数据资源管理器运行跨服务查询,以分析和关联一个查询中的所有三个服务中的数据,而无需移动数据。
    • 使用自定义的跨服务工作簿、仪表板和报告合并数据资产的单玻璃窗格视图。

组件

使用跨服务查询来生成合并的交互式数据资产,联接 Microsoft Sentinel、Monitor 和 Azure 数据资源管理器中的数据:

  • Microsoft Sentinel 是一种用于安全信息和事件管理 (SIEM) 与安全业务流程、自动化和响应 (SOAR) 的 Azure 云原生解决方案。 Microsoft Sentinel 具有以下功能:

    • 连接器和 API,用于从各种源(例如,Azure 资源、Microsoft 365 及其他云和本地解决方案)收集安全数据。
    • 高级内置分析、机器学习和威胁情报功能,用于检测和调查威胁。
    • 基于规则的案例管理和事件响应自动化功能,这些功能使用基于 Azure 逻辑应用的模块化、可重复使用的剧本。
    • KQL 查询功能,可让你通过关联来自多个源和服务的数据,来分析安全数据并搜寻威胁。

  • Azure Monitor 是用于 IT 和应用程序监视的 Azure 托管解决方案。 Monitor 具有以下功能:

    • 从 Azure 资源原生引入监视数据。 代理、连接器和 API,用于从 Azure 资源以及 Azure 和混合环境中的任何源、应用程序与工作负载收集监视数据。
    • IT 监视工具和分析工具,包括智能运维 (AIOps) 功能、警报和自动化操作,以及用于监视特定资源(如虚拟机、容器和应用程序)的预生成工作簿。
    • 端到端可观测性功能,可帮助你提高 IT 和应用程序效率与性能。
    • KQL 查询功能,使你可以通过跨资源和服务关联数据,来分析数据并排查操作问题。

  • Azure 数据资源管理器是 Azure 数据平台的一部分。 它为任何类型的结构化和非结构化数据,提供实时高级分析。 它具有以下功能:

    • 适用于各种类型 IT 和非 IT 数据(例如业务、用户和地理空间数据)的连接器和 API。
    • 全套 KQL 分析功能,包括以 Python 托管机器学习算法,以及对其他数据技术(如 SQL Server、数据湖和 Azure Cosmos DB)的联合查询。
    • 可缩放的数据管理功能,包括完整的架构控制、使用 KQL 处理传入数据、具体化视图、分区、精细保留及缓存控件。
    • 跨服务查询功能,使你能够将收集的数据与 Microsoft Sentinel、Monitor 及其他服务中的数据关联。

方案详细信息

基于 Microsoft Sentinel、Monitor 及 Azure 数据资源管理器提供的功能和灵活性构建的体系结构提供:

  • 跨各种类型的数据和数据源的广泛的数据引入选项。
  • 一组功能强大的本机安全性、可观测性及数据分析特性和功能。
  • 使用跨服务查询通过以下方式创建数据的单一玻璃窗格视图的功能:
    • 查询 IT 监视和非 IT 数据。
    • 对广泛的数据集应用机器学习,以发现模式、实现异常情况检测和预测,并获取其他高级见解。
    • 创建工作簿和报告,使你能够监视、关联和处理各种类型的数据。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤