本文介绍在开始实现之前应考虑的事项。 适当的规划有助于选择符合业务需求的配置选项。
若要开始了解有关定义监视环境的要求的高级监视概念和指南,请参阅 云监视指南,该指南是 适用于 Azure 的 Microsoft 云采用框架的一部分。
首先, 制定一个监测策略 ,明确计划的目标和要求。 该策略定义了你的特定要求、最符合这些要求的配置,以及使用监视环境以最大程度地提高应用程序性能和可靠性的过程。
请参阅 云部署模型的监视策略,该策略有助于将完全基于云的监视与混合模型进行比较。
在确定实现的详细信息之前,请收集以下信息:
专注于关键应用程序和它们依赖的组件,以减少监视环境和监视环境的复杂性。 请参阅 云监视指南:收集正确的数据 ,以获取有关定义所需数据的指南。
确定哪些用户需要访问监视数据,以及检测到问题时需要通知哪些用户。 这些可能是应用程序和资源所有者,或者你可能拥有集中式监视团队。 此信息确定如何为数据访问和警报通知配置权限。 还可以决定将自定义工作簿配置为向不同用户显示特定信息集。
你的组织可能有服务等级协议(SLA),用于定义关于你的应用程序的性能和可用性的承诺。 配置 Azure Monitor 的时间敏感功能(例如警报)时,请考虑这些 SLA。 了解 Azure Monitor 中的数据延迟 ,这会影响监视方案的响应能力和满足 SLA 的能力。
Azure Monitor 旨在解决运行状况和状态监视问题。 完整的监视解决方案通常涉及多个 Azure 服务,并可能包括其他产品来实现其他 监视目标。
请考虑将这些其他产品和服务与 Azure Monitor 一起使用:
虽然 Azure Monitor 中存储的作数据可能有助于调查安全事件,但 Azure 中的其他服务旨在监视安全性。 Azure 中的安全监视由 Microsoft Defender for Cloud 和 Microsoft Sentinel 执行。
| 安全监视解决方案 | DESCRIPTION |
|---|---|
| Microsoft Defender for Cloud | 收集有关 Azure 资源和混合服务器的信息。 尽管它可以收集安全事件,但 Defender for Cloud 侧重于收集清单数据、评估扫描结果和策略审核,以突出显示漏洞并建议采取纠正措施。 值得注意的功能包括交互式网络映射、实时 VM 访问、自适应网络强化和自适应应用程序控制来阻止可疑的可执行文件。 |
| Microsoft Defender 服务器版 | Defender for Cloud 提供的服务器评估解决方案。 Defender for servers 可以将 Windows 安全事件发送到 Log Analytics。 Defender for Cloud 不依赖于 Windows 安全事件来发出警报或分析。 使用此功能可以集中存档事件以进行调查或其他目的。 |
| Microsoft Sentinel | 安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。 Sentinel 从各种Microsoft和第三方源收集安全数据,以提供警报、可视化和自动化。 此解决方案侧重于合并尽可能多的安全日志,包括 Windows 安全事件。 Microsoft Sentinel 还可以收集 Windows 安全事件日志,并且通常与 Defender for Cloud 共享 Log Analytics 工作区。 只有在 Microsoft Sentinel 或 Defender for Cloud 共享同一工作区时,才能收集安全事件。 与 Defender for Cloud 不同,安全事件是Microsoft Sentinel 中警报和分析的关键组成部分。 |
| Defender for Endpoint | 一个企业终结点安全平台,旨在帮助企业网络防止、检测、调查和响应高级威胁。 它的设计主要侧重于保护 Windows 用户设备。 Defender for Endpoint 使用各种操作系统监视工作站、服务器、平板电脑和手机,以监控安全问题和漏洞。 Defender for Endpoint 与 Microsoft Intune 紧密保持一致,以收集数据并提供安全评估。 数据收集主要基于 ETW 跟踪日志,存储在隔离工作区中。 |
- 有关在 Azure Monitor 中配置数据收集的步骤和建议,请参阅 “配置数据收集 ”。