Azure 中的監視選項

已完成

您組織的信譽取決於其系統的效能、可靠性與安全性。 例如,如果付款系統在假日高銷售量期間無法處理使用者交易,客戶可能會對貴公司失去信心。

請務必密切監視系統,以在任何效能問題或攻擊對使用者產生影響之前,就找出這些問題或攻擊。 本單元說明可協助您監視組織服務的 Azure 解決方案。

Azure 監視器

Azure 監視器 是一項服務,可讓您從雲端和內部部署環境收集、分析及回應遙測。 您可以從受監視的資源分析計量和記錄。

Azure 監視器可藉由偵測及診斷應用程式、基礎結構和平台問題,協助您將應用程式和服務的可用性與效能最大化。 Azure 監視器還透過警示和自動化動作支援作業流程,並可讓您建立儀表板和報表等視覺效果。

該圖顯示了 Azure 監視器的概觀,包含傳送資料至中央資料平台的資料來源,以及使用收集的資料之功能。

Azure 監視器會直接從 Azure 平台資源收集遙測資料,而您也可以使用 API 擷取自訂資料。 Azure 監視器也可以從容器和 VM 客體作業系統中收集應用程式層的資料和基礎結構的效能資料。

Azure 監視器會將收集到的資料儲存在集中式且完全受控的資料存放區中:適用於數值時間序列值的 [Azure 監視器計量],以及適用於資源記錄的 [Azure 監視器 Log Analytics 工作區]。 Azure 監視器會自動收集及儲存大部分 Azure 資源的計量,但需要進行使用者設定才能傳送和儲存資源記錄。 您可以選擇如何取用、分析及回應收集到的資料。

在大部分情況下,您應該從深入解析開始,這是 Azure 資源的引導式監視和疑難排解體驗。 例如,您可以使用適用於 Kubernetes 工作負載的 Azure 監視器容器深入解析。

您也可以使用 Azure 入口網站中的 Azure 儀表板自行將資料視覺化、使用 Power BI 建立商務檢視,或使用活頁簿建立互動式報表。 使用 Azure 監視器可讓您在單一畫面上,詳細檢視應用程式和基礎結構的健康情況。

完整堆疊監視儀表板的螢幕擷取畫面。

您可以使用計量瀏覽器取得圖表和視覺效果相互關聯,以及使用 Log Analytics 取得查詢、趨勢和模式識別,藉此進一步分析收集到的資料。 Azure 監視器可讓您根據計量和記錄,管理和建立警示、通知與動作 (例如 Runbook 和自動調整)。 您也可以使用 Azure 事件中樞匯出資料或 API 以進行擷取和匯出,藉此將 Azure 監視器與其他工具整合起來。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 是一項服務,可從一個集中位置管理基礎結構的安全性。 無論您的工作負載是在內部部署或雲端中,您都可以使用適用於雲端的 Microsoft Defender 來監視其安全性。

攻擊變得越來越聰明,而具備正確安全性技能的人數也很少。 適用於雲端的 Defender 會為您提供可改善安全性威脅保護層級的工具,協助您處理這些挑戰。 使用適用於雲端的 Microsoft Defender 來監視資源的健康情況,並實作建議。

適用於雲端的 Microsoft Defender 概觀畫面的螢幕擷取畫面。

適用於雲端的 Defender 可協助您簡化安全性設定。 適用於雲端的 Defender 會與其他 Azure PaaS 服務 (例如 Azure SQL Database) 原生整合。 針對 IaaS 服務,您可以在適用於雲端的 Microsoft Defender 中啟用自動佈建。

適用於雲端的 Microsoft Defender 的自動佈建螢幕擷取畫面。

建立 VM 時,適用於雲端的 Defender 會在每個支援的 VM 上建立代理程式。 接著,Defender 便會自動開始從機器收集資料。 這個適用於雲端的 Defender 功能可降低設定安全性時的複雜性。

Microsoft Sentinel

Microsoft Sentinel 是雲端原生的安全性資訊和事件管理 (SIEM) 系統,會在整個企業收集裝置、使用者、基礎結構和應用程式的資料。 您可以使用 Microsoft Sentinel 主動搜捕威脅與異常,並使用協調流程與自動化來回應。 Microsoft Sentinel 具有用於偵測及調查的內建威脅情報,可協助減少誤判情況。

您可以將資料來源連線至 Microsoft Sentinel。 資料來源包括 Microsoft 365 和適用於雲端的 Defender 等 Microsoft 服務,也可以包括 AWS CloudTrail 或內部部署來源等外部解決方案。 Microsoft Sentinel 儀表板會顯示從來源收集到的詳細資訊。

Microsoft Sentinel 儀表板的螢幕擷取畫面。

事件可協助您將相關的警示分組和合併。 您可以使用事件來減少因資料規模而產生的雜訊。 事件也可協助您進一步調查引發警示的異常活動或威脅。

事件調查的螢幕擷取畫面。

您可以在引發警示之前,使用搜捕查詢來尋找企業中的威脅。 Microsoft 安全性研究人員會維護內建的搜捕查詢,您可以將其作為建置查詢的基礎。

搜捕查詢的螢幕擷取畫面。

筆記本可以包含您重複使用或與他人共用的調查或搜捕步驟。 使用 Microsoft Sentinel 筆記本便可開發和執行筆記本。 例如,您可以使用引導式搜捕 - Anomalous Office365 Exchange Sessions 筆記本,在整個企業的 Microsoft 365 中搜捕異常活動。

Log Analytics 工作區

Microsoft Sentinel 和適用於雲端的 Microsoft Defender 會使用 Azure 監視器記錄作為其基礎記錄資料平台,並將其資料儲存在 Log Analytics 工作區中。 Log Analytics 工作區是會收集和彙總應用程式、基礎結構和安全性記錄,以進行分析、疑難排解及稽核的集中儲存和管理位置。

這個集中式方法可讓您使用單一使用者介面和查詢語言,在相同資料分析服務內,跨應用程式效能、基礎結構效能和安全性記錄進行相互關聯和調查。 所使用的工作區數量越少越好,並且最好使用資源或工作區權限來管理使用者和小組對記錄資料子集的存取。 如需詳細資訊,請參閱設計 Log Analytics 工作區架構

檢定您的知識

1.

哪一項 Azure 服務納入了威脅情報,可在企業環境中進行偵測和調查?

2.

Microsoft Sentinel 與適用於雲端的 Microsoft Defender 共用的基礎記錄資料平台為何?