Válasszon ki egy cél Azure-platformot az exportált előzményadatok tárolásához
A migrálási folyamat során meghozott egyik fontos döntés az előzményadatok tárolása. A döntés meghozatalához meg kell értenie és össze kell tudnia hasonlítani a különböző célplatformokat.
Ez a cikk összehasonlítja a célplatformokat a teljesítmény, a költség, a használhatóság és a felügyeleti többletterhelés szempontjából.
Feljegyzés
A táblázatban szereplő szempontok csak az előzménynapló-migrálásra vonatkoznak, és más forgatókönyvekben, például hosszú távú megőrzésben nem alkalmazhatók.
| Alapszintű naplók/archívum | Azure Data Explorer (ADX) | Azure Blob Storage | ADX + Azure Blob Storage | |
|---|---|---|---|---|
| Képességek: | • A meglévő Azure Monitor-naplók többségét alacsonyabb költséggel alkalmazhatja. • Az alapszintű naplók nyolc napig maradnak meg, majd automatikusan átkerülnek az archívumba (az eredeti megőrzési időszaknak megfelelően). • Keresési feladatok használatával petabájtnyi adatot kereshet, és konkrét eseményeket kereshet. • Egy adott időtartomány részletes vizsgálatához állítsa vissza az adatokat az archívumból. Az adatok ezután elérhetők a gyorsgyorsítótárban további elemzésekhez. |
• Az ADX és a Microsoft Sentinel egyaránt használja a Kusto lekérdezésnyelv (KQL), amely lehetővé teszi az adatok lekérdezését, összesítését vagy korrelálását mindkét platformon. Futtathat például egy KQL-lekérdezést a Microsoft Sentineltől, hogy az ADX-ben tárolt adatokat összekapcsolja a Log Analyticsben tárolt adatokkal. • Az ADX használatával jelentős mértékben szabályozhatja a fürt méretét és konfigurációját. Létrehozhat például egy nagyobb fürtöt a nagyobb betöltési átviteli sebesség eléréséhez, vagy létrehozhat egy kisebb fürtöt a költségek szabályozásához. |
• A Blob Storage nagy mennyiségű strukturálatlan adat tárolására van optimalizálva. • Versenyképes költségeket kínál. • Alkalmas olyan forgatókönyvre, amikor a szervezet nem rangsorolja az akadálymentességet vagy a teljesítményt, például amikor a szervezetnek meg kell felelnie a megfelelőségi vagy naplózási követelményeknek. |
• Az adatok tárolása blobtárolóban történik, amely alacsony költségekkel jár. • Az ADX használatával kérdezheti le az adatokat a KQL-ben, így könnyen hozzáférhet az adatokhoz. Megtudhatja, hogyan kérdezheti le az Azure Monitor-adatokat az ADX-lel |
| Használhatóság: |
Nagyszerű Az archív és a keresési lehetőségek egyszerűen használhatók és elérhetők a Microsoft Sentinel portálról. Az adatok azonban nem érhetők el azonnal a lekérdezésekhez. Az adatok lekéréséhez keresést kell végeznie, amely a beolvasott és visszaadott adatok mennyiségétől függően eltarthat egy ideig. |
Jó A Microsoft Sentinel környezetében meglehetősen könnyen használható. Azure-munkafüzettel például megjelenítheti a Microsoft Sentinel és az ADX közötti adateloszlással kapcsolatos adatokat. Az ADX-adatokat a Microsoft Sentinel portálról is lekérdezheti az ADX-proxy használatával. |
Szegény Az előzményadatok migrálásával több millió fájllal kell foglalkoznia, és az adatok feltárása kihívást jelent. |
Igazságos Az operátor használata externaldata nagy számú blob esetében nagy kihívást jelent, de a külső ADX-táblák használata kiküszöböli ezt a problémát. A külső tábladefiníció megérti a blobtároló mappastruktúráját, és lehetővé teszi a különböző blobokban és mappákban található adatok transzparens lekérdezését. |
| Felügyeleti többletterhelés: |
Teljes körűen felügyelt A keresési és archív beállítások teljes mértékben felügyeltek, és nem növelik a felügyeleti többletterhelést. |
Magas Az ADX kívül esik a Microsoft Sentinelen, ami monitorozást és karbantartást igényel. |
Alacsony Bár ez a platform kevés karbantartást igényel, a platform kiválasztása monitorozási és konfigurációs feladatokat, például az életciklus-felügyelet beállítását teszi szükségessé. |
Medium Ezzel a lehetőséggel az ADX-et és az Azure Blob Storage-t is felügyelheti és figyelheti, amelyek mindegyike a Microsoft Sentinel külső összetevői. Bár az ADX-et időnként le lehet állítani, fontolja meg a további felügyeleti többletterhelést ezzel a beállítással. |
| Teljesítmény: |
Medium Az archív alapszintű naplókkal általában keresési feladatokat használ, amelyek akkor megfelelőek, ha meg szeretné tartani az adatokhoz való hozzáférést, de nincs szükség azonnali hozzáférésre az adatokhoz. |
Magastól alacsonyig • Az ADX-fürtök lekérdezési teljesítménye a fürt csomópontjainak számától, a fürt virtuálisgép-termékváltozatától, az adatparticionálástól és egyebektől függ. • Amikor csomópontokat ad hozzá a fürthöz, a teljesítmény javul, plusz költségekkel. • Ha ADX-et használ, javasoljuk, hogy a fürt méretét úgy konfigurálja, hogy kiegyensúlyozza a teljesítményt és a költségeket. Ez a konfiguráció a szervezet igényeitől függ, beleértve a migrálás befejezésének időtartamát, az adatok elérésének gyakoriságát és a várt válaszidőt. |
Alacsony Két teljesítményszintet kínál: Prémium vagy Standard. Bár mindkét szint a hosszú távú tárolás egyik lehetősége, a Standard költséghatékonyabb. Ismerje meg a teljesítmény és a méretezhetőség korlátait. |
Alacsony Mivel az adatok a Blob Storage-ban találhatók, az adott platform korlátozza a teljesítményt. |
| Költség: |
Magas A költség két összetevőből áll: • Betöltési költség. Az alapszintű naplókba betöltött adatok gb-jára a Microsoft Sentinel és az Azure Monitor-naplók betöltési költségei vonatkoznak, amelyek összege körülbelül 1 USD/GB. Tekintse meg a díjszabás részleteit. • Archiválási költség. Az archív réteg adatainak költsége havonta körülbelül 0,02 USD/GB-ot foglal össze. Tekintse meg a díjszabás részleteit. A két költségösszetevő mellett, ha gyakran kell hozzáférnie az adatokhoz, további költségek vonatkoznak, ha keresési feladatokon keresztül fér hozzá az adatokhoz. |
Magastól alacsonyig • Mivel az ADX virtuális gépek fürtje, a számítási, tárolási és hálózati használat, valamint az ADX-korrektúra alapján kell fizetnie (lásd a díjszabás részleteit. Ezért minél több csomópontot ad hozzá a fürthöz, és minél több adatot tárol, annál magasabb lesz a költség. • Az ADX automatikus skálázási képességeket is kínál az igény szerinti számítási feladatokhoz való alkalmazkodáshoz. Az ADX a fenntartott példány díjszabását is élvezheti. Saját költségszámításokat is futtathat az Azure Díjkalkulátorban. |
Alacsony Optimális beállítás esetén az Azure Blob Storage a legalacsonyabb költségekkel rendelkezik. A nagyobb hatékonyság és költségmegtakarítás érdekében az Azure Storage életciklus-felügyeletével automatikusan olcsóbb tárolási szintekre helyezheti a régebbi blobokat. |
Alacsony Az ADX ebben az esetben csak proxyként működik, így a fürt kicsi lehet. Emellett a fürt akkor is leállhat, ha nincs szüksége az adatokhoz való hozzáférésre, és csak akkor indíthatja el, ha adathozzáférésre van szükség. |
| Adatok elérése: | Keresési feladatok | Közvetlen KQL-lekérdezések | KQL externaldata operátor | Módosított KQL-lekérdezések |
| Forgatókönyv: |
Alkalmi hozzáférés Olyan helyzetekben releváns, ahol nem kell nagy elemzési vagy aktiválási elemzési szabályokat futtatnia, és csak alkalmanként kell hozzáférnie az adatokhoz. |
Gyakori hozzáférés Olyan helyzetekben releváns, ahol gyakran kell hozzáférnie az adatokhoz, és szabályoznia kell a fürt méretének és konfigurálását. |
Megfelelőség/naplózás • Optimális nagy mennyiségű strukturálatlan adat tárolásához. • Olyan helyzetekben releváns, ahol nincs szüksége az adatok gyors elérésére vagy a magas teljesítményre, például megfelelőségi vagy naplózási célokra. |
Alkalmi hozzáférés Olyan helyzetekben releváns, ahol ki szeretné használni az Azure Blob Storage alacsony költségeit, és viszonylag gyorsan hozzáférhet az adatokhoz. |
| Összetettség: | Nagyon alacsony | Közepes | Alacsony | Magas |
| Felkészültség: | FE | FE | FE | FE |
Általános megfontolások
Most, hogy többet tud az elérhető célplatformokról, tekintse át ezeket a fő tényezőket a döntés véglegesítéséhez.
- Hogyan használja a szervezet a betöltött naplókat?
- Milyen gyorsan kell futtatni a migrálást?
- Mennyi adatot kell beszedni?
- Mik a migrálás becsült költségei a migrálás során és után? A költségek összehasonlításához tekintse meg a platform összehasonlítását .
Betöltött naplók használata
Határozza meg, hogy a szervezet hogyan fogja használni a betöltött naplókat a betöltési platform kiválasztásához.
Fontolja meg ezt a három általános forgatókönyvet:
- A szervezetnek csak megfelelőségi vagy naplózási célból kell megőriznie a naplókat. Ebben az esetben a szervezet ritkán fér hozzá az adatokhoz. Még ha a szervezet is hozzáfér az adatokhoz, a nagy teljesítmény vagy a könnyű használat nem prioritás.
- A szervezetnek meg kell őriznie a naplókat, hogy csapatai könnyen és viszonylag gyorsan hozzáférhessenek a naplókhoz.
- A szervezetnek meg kell őriznie a naplókat, hogy a csapatai időnként hozzáférhessenek a naplókhoz. A teljesítmény és a könnyű használat másodlagos.
A platform összehasonlítása alapján megtudhatja, hogy melyik platform felel meg az egyes forgatókönyveknek.
Migrálási sebesség
Bizonyos esetekben előfordulhat, hogy szűk határidőt kell teljesítenie, például előfordulhat, hogy a szervezetnek sürgősen át kell lépnie az előző SIEM-ről egy licenclejárati esemény miatt.
Tekintse át a migrálás sebességét meghatározó összetevőket és tényezőket.
Adatforrás
Az adatforrás általában helyi fájlrendszer vagy felhőbeli tároló, például S3. A kiszolgáló tárolási teljesítménye több tényezőtől függ, például a lemeztechnológiától (SSD és HDD), az IO-kérések jellegétől és az egyes kérések méretétől.
Az Azure-beli virtuális gépek teljesítménye például másodpercenként 30 MB/s-tól kisebb virtuálisgép-termékváltozatokon 20 GB/s-ig terjedhet az NVM Express (NVMe) lemezeket használó tárolóoptimalizált termékváltozatok némelyike esetében. Megtudhatja, hogyan tervezheti meg azure-beli virtuális gépét a magas tárolási teljesítmény érdekében. A legtöbb fogalmat a helyszíni kiszolgálókra is alkalmazhatja.
Számítási teljesítmény
Bizonyos esetekben még ha a lemez képes is gyorsan másolni az adatokat, a számítási teljesítmény a másolási folyamat szűk keresztmetszete. Ezekben az esetekben az alábbi méretezési lehetőségek közül választhat:
- Vertikális skálázás. Egy kiszolgáló teljesítményét több processzor hozzáadásával vagy a processzor sebességének növelésével növelheti.
- Horizontális skálázás. További kiszolgálókat vehet fel, amelyek növelik a másolási folyamat párhuzamosságát.
Célplatform
Az ebben a szakaszban tárgyalt célplatformok mindegyike eltérő teljesítményprofillal rendelkezik.
- Azure Monitor Basic-naplók. Alapértelmezés szerint az alapszintű naplók percenként körülbelül 1 GB sebességgel küldhetők le az Azure Monitorba. Ez az arány lehetővé teszi, hogy naponta körülbelül 1,5 TB-ot vagy havonta 43 TB-ot fogyjon.
- Azure Data Explorer. A betöltési teljesítmény a kiépített fürt méretétől és az alkalmazott kötegelési beállításoktól függően eltérő. Ismerje meg a betöltési ajánlott eljárásokat, beleértve a teljesítményt és a monitorozást.
- Azure Blob Storage. Az Azure Blob Storage-fiókok teljesítménye a fájlok számától és méretétől, a feladatok méretétől, az egyidejűségtől és így tovább változhat. Megtudhatja, hogyan optimalizálhatja az AzCopy teljesítményét az Azure Storage használatával.
Az adatok mennyisége
Az adatok mennyisége a migrálási folyamat időtartamát befolyásoló fő tényező. Ezért érdemes megfontolnia, hogyan állíthatja be a környezetet az adatkészletétől függően.
A migrálás minimális időtartamának meghatározásához és a szűk keresztmetszet meghatározásához vegye figyelembe a célplatform adatmennyiségét és betöltési sebességét. Kiválaszthat például egy célplatformot, amely másodpercenként 1 GB-ot képes betöltésre, és 100 TB-ot kell migrálnia. Ebben az esetben a migrálás legalább 100 000 GB-ot vesz igénybe, megszorozva a másodpercenkénti 1 GB-tal. Oszd el az eredményt 3600-tal, ami 27 órára számít. Ez a számítás akkor helyes, ha a folyamat többi összetevője, például a helyi lemez, a hálózat és a virtuális gépek másodpercenként 1 GB sebességgel képesek teljesíteni.
Következő lépések
Ebben a cikkben megtanulta, hogyan képezheti le a migrálási szabályokat a QRadarból a Microsoft Sentinelbe.