Erweitern von Sicherheit, Beobachtung und Analysen mithilfe von Microsoft Sentinel, Azure Monitor und Azure Data Explorer

Azure-Daten-Explorer
Azure Monitor
Microsoft Sentinel

Lösungsmöglichkeiten

In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.

Microsoft Sentinel, Azure Monitor und Azure Data Explorer basieren auf einer gemeinsamen Technologie und verwenden Kusto-Abfragesprache (KQL), um große Datenmengen zu analysieren, die aus mehreren Quellen in nahezu Echtzeit gestreamt werden.

Diese Lösung veranschaulicht, wie Sie die enge Integration zwischen Microsoft Sentinel, Azure Monitor und Azure Data Explorer nutzen. Sie können diese Dienste verwenden, um einen einzigen interaktiven Datenbestand zu konsolidieren und Ihre Überwachungs- und Analysefunktionen zu erweitern.

Hinweis

Diese Lösung gilt für Azure Data Explorer und auch für KQL-Datenbanken mit Echtzeitanalyse, die saaS-grade Echtzeitprotokoll, Zeitreihen und erweiterte Analysefunktionen als Teil von Microsoft Fabric bereitstellen.

Die Grafana und Jupyter Logos sind Marken ihrer jeweiligen Unternehmen. Die Verwendung dieser Marken impliziert keine Empfehlung.

Aufbau

Diagramm, das eine erweiterte Überwachungs- und Analyselösung mit Monitor, Microsoft Sentinel und Azure Data Explorer zeigt.

Laden Sie eine PowerPoint-Datei zu dieser Architektur herunter.

Datenfluss

  1. Aufnehmen von Daten mithilfe der kombinierten Aufnahmefunktionen von Microsoft Sentinel, Azure Monitor und Azure Data Explorer:

    • Konfigurieren Sie Diagnoseeinstellungen zum Aufnehmen von Daten aus Azure-Diensten wie Azure Kubernetes Service (AKS), Azure-App Service, Azure SQL-Datenbank und Azure Storage.
    • Verwenden Sie Azure Monitor Agent, um Daten von VMs, Containern und Workloads aufzunehmen.
    • Verwenden Sie eine große Bandbreite an Connectors, Agents und APIs, die von den drei Diensten unterstützt werden, um Daten aus lokalen Ressourcen und anderen Clouds aufzunehmen. Unterstützte Connectors, Agents und APIs umfassen Logstash-, Kafka- und Logstash-Connectors, OpenTelemetry-Agents, Azure Data Explorer-APIs und die Azure Monitor Log Ingestion-API.
    • Streamen Sie Daten mithilfe von Azure-Diensten wie Azure IoT Hub, Azure Event Hubs und Azure Stream Analytics.

  2. Verwenden Sie Microsoft Sentinel, um sicherheitsrelevante Daten in Ihrer IT-Umgebung zu überwachen, zu untersuchen und zu benachrichtigen und zu reagieren.

  3. Verwenden Sie Azure Monitor, um die Leistung, Verfügbarkeit und Gesundheit von Anwendungen, Diensten und IT-Ressourcen zu überwachen, zu analysieren, zu alarmieren und darauf zu reagieren. Auf diese Weise erhalten Sie Einblicke in den Betriebsstatus Ihrer Cloudinfrastruktur, identifizieren Probleme und optimieren die Leistung.

  4. Verwenden Sie Azure Data Explorer für alle Daten, die eine benutzerdefinierte oder flexiblere Handhabung oder Analyse erfordern, einschließlich vollständiger Schemasteuerung, Cache- oder Aufbewahrungssteuerung, Deep Data-Plattformintegrationen und Machine Learning.

  5. Wenden Sie optional erweitertes maschinelles Lernen auf eine breite Datenmenge aus Ihrem gesamten Datenbestand an, um Muster zu erkennen, Anomalien aufzudecken, Prognosen zu erhalten und andere Erkenntnisse zu gewinnen.

  6. Nutzen Sie die enge Integration zwischen Diensten, um Überwachungs- und Analysefunktionen zu erweitern:

    • Führen Sie dienstübergreifende Abfragen von Microsoft Sentinel, Monitor und Azure Data Explorer aus, um Daten in allen drei Diensten in einer Abfrage zu analysieren und zu korrelieren, ohne die Daten zu verschieben.
    • Konsolidieren Sie eine einzelseitige Ansicht Ihrer Datenfläche mit angepassten dienstübergreifenden Arbeitsmappen, Dashboards und Berichten.

Komponenten

Verwenden Sie dienstübergreifende Abfragen, um einen konsolidierten, interaktiven Datenbestand zu erstellen, Daten in Microsoft Sentinel, Monitor und Azure Data Explorer zu verknüpfen:

  • Microsoft Sentinel ist die Azure Cloudnative Lösung für SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel verfügt über die folgenden Features:

    • Connectors und APIs zum Sammeln von Sicherheitsdaten aus verschiedenen Quellen, wie beispielsweise Azure-Ressourcen, Microsoft 365 und andere Cloud- und lokale Lösungen.
    • Erweiterte integrierte Analyse-, Machine Learning- und Threat Intelligence-Funktionen zum Erkennen und Untersuchen von Bedrohungen.
    • Regelbasierte Fallverwaltungs- und Vorfallreaktionsautomatisierungs-Funktionen, die modulare, wiederverwendbare Playbooks verwenden, die auf Azure Logic Apps basieren.
    • KQL-Abfragefunktionen, mit denen Sie Sicherheitsdaten analysieren und nach Bedrohungen suchen können, indem Sie Daten aus mehreren Quellen und Diensten korrelieren.

  • Azure Monitor ist die von Azure verwaltete Lösung für die IT- und Anwendungsüberwachung. Monitor umfasst die folgenden Funktionen:

    • Native Erfassung von Überwachungsdaten aus Azure-Ressourcen. Agents, Connectors und APIs zum Sammeln von Überwachungsdaten aus Azure-Ressourcen und allen Quellen, Anwendungen und Workloads in Azure- und Hybridumgebungen.
    • IT-Überwachungstools und Analysefeatures, einschließlich KI für IT-Vorgänge (AIOps)-Features, Warnungen und automatisierte Aktionen sowie vorgefertigte Arbeitsmappen für die Überwachung bestimmter Ressourcen wie virtuelle Maschinen, Container und Anwendungen.
    • End-to-End-Beobachtungs-Funktionen, die Ihnen helfen, die IT- und Anwendungseffizienz und -leistung zu verbessern.
    • KQL-Abfragefunktionen, mit denen Sie Daten analysieren und Betriebsprobleme beheben können, indem Sie Daten über Ressourcen und Dienste hinweg korrelieren.

  • Azure Data Explorer ist Teil der Azure-Datenplattform. Sie bietet erweiterte Echtzeitanalysen für jede Art von strukturierten und unstrukturierten Daten. Sie hat die folgenden Funktionen:

    • Connectors und APIs für verschiedene Arten von IT- und nicht-IT-Daten, z. B. Geschäfts-, Benutzer- und Geospatialdaten.
    • Die vollständigen Analysefunktionen von KQL, einschließlich des Hostings von Machine Learning-Algorithmen in Python und Verbundabfragen für andere Datentechnologien wie SQL Server, Datenseen und Azure Cosmos DB.
    • Skalierbare Datenverwaltungsfunktionen, einschließlich vollständiger Schemakontrolle, Verarbeitung eingehender Daten mithilfe von KQL, materialisierten Ansichten, Partitionierung, granularer Aufbewahrungs- und Zwischenspeicherungssteuerelementen.
    • Dienstübergreifende Abfragefunktionen, mit denen Sie gesammelte Daten mit Daten in Microsoft Sentinel, Monitor und anderen Diensten korrelieren können.

Szenariodetails

Eine Architektur, die auf den von Microsoft Sentinel, Monitor und Azure Data Explorer bereitgestellten Features und Flexibilität basiert, bietet Ihnen:

  • Eine breite Palette von Datenaufnahmeoptionen, die verschiedene Arten von Daten und Datenquellen umfassen.
  • Ein leistungsstarker Satz systemeigener Sicherheits-, Beobachtungs- und Datenanalysefeatures und -funktionen.
  • Die Möglichkeit, dienstübergreifende Abfragen zu verwenden, um eine einzelbereichsbezogene Ansicht Ihrer Daten zu erstellen, indem Sie:
    • Abfragen von IT-Überwachung und Nicht-IT-Daten.
    • Anwenden von maschinellem Lernen auf ein breites Dataset, um Muster zu ermitteln, Anomalieerkennung und Prognose zu implementieren und weitere erweiterte Erkenntnisse zu erhalten.
    • Erstellen von Arbeitsmappen und Berichten, mit denen Sie verschiedene Datentypen überwachen, korrelieren und darauf reagieren können.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte