Dışarı aktarılan geçmiş verileri barındırmak için bir hedef Azure platformu seçin
Geçiş işleminiz sırasında verebileceğiniz önemli kararlardan biri, geçmiş verilerinizin depolandığı yerdir. Bu kararı vermek için çeşitli hedef platformları anlamanız ve karşılaştırabilmeniz gerekir.
Bu makalede performans, maliyet, kullanılabilirlik ve yönetim ek yükü açısından hedef platformlar karşılaştırılmıştır.
Not
Bu tablodaki önemli noktalar yalnızca geçmiş günlük geçişi için geçerlidir ve uzun süreli saklama gibi diğer senaryolarda geçerli değildir.
| Temel Günlükler/Arşiv | Azure Veri Gezgini (ADX) | Azure Blob Depolama | ADX + Azure Blob Depolama | |
|---|---|---|---|---|
| Özellikler: | • Mevcut Azure İzleyici Günlükleri deneyimlerinin çoğunu daha düşük bir maliyetle uygulayın. • Temel Günlükler sekiz gün boyunca saklanır ve daha sonra otomatik olarak arşive aktarılır (özgün saklama süresine göre). • Petabaytlarlık verilerde arama yapmak ve belirli olayları bulmak için arama işlerini kullanın. • Belirli bir zaman aralığı hakkında ayrıntılı araştırma için arşivden verileri geri yükleyin. Daha sonra veriler daha fazla analiz için sık erişimli önbellekte kullanılabilir. |
• Hem ADX hem de Microsoft Sentinel, her iki platformdaki verileri sorgulamanıza, toplamanıza veya ilişkilendirmenize olanak sağlayan Kusto Sorgu Dili (KQL) kullanır. Örneğin, AdX'te depolanan verileri Log Analytics'te depolanan verilerle birleştirmek için Microsoft Sentinel'den bir KQL sorgusu çalıştırabilirsiniz. • ADX ile küme boyutu ve yapılandırması üzerinde önemli bir denetiminiz vardır. Örneğin, daha yüksek verim aktarım hızı elde etmek için daha büyük bir küme oluşturabilir veya maliyetlerinizi denetlemek için daha küçük bir küme oluşturabilirsiniz. |
• Blob depolama, çok büyük miktarlarda yapılandırılmamış verileri depolamak için iyileştirilmiştir. • Rekabetçi maliyetler sunar. • Kuruluşunuzun erişilebilirlik veya performansa öncelik vermediği bir senaryo için uygundur( örneğin, kuruluşun uyumluluk veya denetim gereksinimleriyle uyumlu olması gerektiğinde). |
• Veriler, maliyeti düşük olan bir blob depolama alanında depolanır. • KQL'deki verileri sorgulamak için ADX kullanarak verilere kolayca erişmenizi sağlarsınız. ADX ile Azure İzleyici verilerini sorgulamayı öğrenin |
| Kullanılabilirlik: |
Büyük Arşiv ve arama seçeneklerinin kullanımı kolaydır ve Microsoft Sentinel portalından erişilebilir. Ancak veriler sorgular için hemen kullanılamaz. Taranan ve döndürülen veri miktarına bağlı olarak verileri almak için bir arama yapmanız gerekir. |
İyi Microsoft Sentinel bağlamında kullanımı oldukça kolaydır. Örneğin, hem Microsoft Sentinel hem de ADX'e yayılmış verileri görselleştirmek için bir Azure çalışma kitabı kullanabilirsiniz. ADX proxy'sini kullanarak Microsoft Sentinel portalından ADX verilerini de sorgulayabilirsiniz. |
Fakir Geçmiş veri geçişleriyle, milyonlarca dosyayla ilgilenmeniz gerekebilir ve verileri keşfetmek bir zorluk haline gelir. |
Adil İşlecini externaldata kullanmak, başvurulacak çok sayıda blob ile çok zor olsa da, dış ADX tablolarının kullanılması bu sorunu ortadan kaldırır. Dış tablo tanımı blob depolama klasörü yapısını anlar ve birçok farklı blob ve klasördeki verileri saydam bir şekilde sorgulamanıza olanak tanır. |
| Yönetim yükü: |
Tam olarak yönetilen Arama ve arşiv seçenekleri tamamen yönetilir ve yönetim yükü eklemez. |
Yüksek ADX, izleme ve bakım gerektiren Microsoft Sentinel'in dışındadır. |
Alçak Bu platform çok az bakım gerektirse de, bu platformun seçilmesi yaşam döngüsü yönetimini ayarlama gibi izleme ve yapılandırma görevleri ekler. |
Medium Bu seçenekle, her ikisi de Microsoft Sentinel'in dış bileşenleri olan ADX ve Azure Blob Depolama korur ve izlersiniz. ADX zaman zaman kapatılabiliyor olsa da, bu seçenekle ek yönetim ek yükünü göz önünde bulundurun. |
| Performans: |
Medium Genellikle arama işlerini kullanarak arşivdeki temel günlüklerle etkileşim kurarsınız. Bu, verilere erişimi korumak istediğinizde uygundur ancak verilere hemen erişmeniz gerekmez. |
Yüksek-düşük • BIR ADX kümesinin sorgu performansı, kümedeki düğüm sayısına, küme sanal makinesi SKU'sunun, veri bölümlemenin ve daha fazlasına bağlıdır. • Kümeye düğüm eklediğinizde performans artar ve maliyet artar. • ADX kullanıyorsanız, performansı ve maliyeti dengelemek için küme boyutunuzu yapılandırmanızı öneririz. Bu yapılandırma, geçiş işleminin ne kadar hızlı tamamlanması gerektiği, verilere ne sıklıkta erişilmesi gerektiği ve beklenen yanıt süresi dahil olmak üzere kuruluşunuzun gereksinimlerine bağlıdır. |
Alçak İki performans katmanı sunar: Premium veya Standart. Her iki katman da uzun süreli depolama için bir seçenek olsa da, Standart daha uygun maliyetlidir. Performans ve ölçeklenebilirlik sınırları hakkında bilgi edinin. |
Alçak Veriler Blob Depolama'da bulunduğundan, performans bu platformla sınırlıdır. |
| Maliyet: |
Yüksek Maliyet iki bileşenden oluşur: • Alım maliyeti. Temel Günlüklere alınan her GB veri Microsoft Sentinel ve Azure İzleyici Günlükleri alım maliyetlerine tabidir ve bu maliyetler yaklaşık 1 GB'a kadar hesaplanır. Fiyatlandırma ayrıntılarına bakın. • Arşiv maliyeti. Arşiv katmanındaki verilerin maliyeti aylık yaklaşık 0,02 ABD doları/GB'a kadardır. Fiyatlandırma ayrıntılarına bakın. Bu iki maliyet bileşenine ek olarak, verilere sık sık erişmeniz gerekiyorsa, arama işleri aracılığıyla verilere eriştiğinizde ek maliyetler uygulanır. |
Yüksek-düşük • ADX bir sanal makine kümesi olduğundan işlem, depolama ve ağ kullanımına ek olarak bir ADX işaretlemesine göre ücretlendirilirsiniz (fiyatlandırma ayrıntılarına bakın). Bu nedenle, kümenize ne kadar çok düğüm eklerseniz ve ne kadar çok veri depolarsanız maliyet o kadar yüksek olur. • ADX, isteğe bağlı olarak iş yüküne uyum sağlamak için otomatik ölçeklendirme özellikleri de sunar. ADX, Ayrılmış Örnek fiyatlandırmasından da yararlanabilir. Azure Fiyatlandırma Hesaplayıcısı'nda kendi maliyet hesaplamalarınızı çalıştırabilirsiniz. |
Alçak En iyi kurulumla Azure Blob Depolama en düşük maliyetlere sahiptir. Daha fazla verimlilik ve maliyet tasarrufu için Azure Depolama yaşam döngüsü yönetimi, eski blobları otomatik olarak daha ucuz depolama katmanlarına yerleştirmek için kullanılabilir. |
Alçak ADX bu durumda yalnızca ara sunucu işlevi görür, bu nedenle küme küçük olabilir. Ayrıca, verilere erişmeniz gerekmediğinde küme kapatılabilir ve yalnızca veri erişimi gerektiğinde başlatılabilir.. |
| Verilere erişme: | arama işleri | Doğrudan KQL sorguları | KQL externaldata işleci | Değiştirilen KQL sorguları |
| Senaryo: |
Ara sıra erişim Yoğun analiz çalıştırmanız veya analiz kurallarını tetiklemeniz gerekmeyen senaryolarda geçerlidir ve verilere yalnızca ara sıra erişmeniz gerekir. |
Sık erişim Verilere sık sık erişmeniz ve kümenin nasıl boyutlandırılıp yapılandırıldığını denetlemeniz gereken senaryolarda geçerlidir. |
Uyumluluk/denetim • Büyük miktarlarda yapılandırılmamış verileri depolamak için idealdir. • Uyumluluk veya denetim amaçları gibi verilere hızlı erişime veya yüksek performansa ihtiyaç duymadığınız senaryolarda geçerlidir. |
Ara sıra erişim Düşük Azure Blob Depolama maliyetinden yararlanmak ve verilere nispeten hızlı erişim sağlamak istediğiniz senaryolarda geçerlidir. |
| Karmaşıklık: | Çok düşük | Orta | Düşük | Yüksek |
| Hazır olma durumu: | GA | GA | GA | GA |
Dikkat edilmesi gereken temel noktalar
Artık kullanılabilir hedef platformlar hakkında daha fazla bilgi edindiğinize göre, kararınızı sonlandırmak için bu ana faktörleri gözden geçirin.
- Kuruluşunuz alınan günlükleri nasıl kullanacak?
- Geçişin ne kadar hızlı çalışması gerekiyor?
- Alınacak veri miktarı nedir?
- Geçiş sırasında ve sonrasında tahmini geçiş maliyetleri nelerdir? Maliyetleri karşılaştırmak için platform karşılaştırmasına bakın.
Alınan günlüklerin kullanımı
Kuruluşunuzun alınan günlükleri kullanarak alım platformu seçiminize nasıl yol göstereceğini tanımlayın.
Şu üç genel senaryoya göz önünde bulundurun:
- Kuruluşunuzun günlükleri yalnızca uyumluluk veya denetim amacıyla tutması gerekir. Bu durumda kuruluşunuz verilere nadiren erişecektir. Kuruluşunuz verilere erişse bile yüksek performans veya kullanım kolaylığı öncelikli değildir.
- Ekiplerinizin günlüklere kolayca ve oldukça hızlı bir şekilde erişebilmesi için kuruluşunuzun günlükleri tutması gerekir.
- Ekiplerinizin günlüklere ara sıra erişebilmesi için kuruluşunuzun günlükleri tutması gerekir. Performans ve kullanım kolaylığı ikincildir.
Bu senaryoların her birine hangi platformun uygun olduğunu anlamak için platform karşılaştırmasına bakın.
Geçiş hızı
Bazı senaryolarda, sıkı bir son tarihe uymanız gerekebilir. Örneğin, lisans süre sonu olayı nedeniyle kuruluşunuzun önceki SIEM'den acilen taşınması gerekebilir.
Geçişinizin hızını belirleyen bileşenleri ve faktörleri gözden geçirin.
Data source
Veri kaynağı genellikle S3 gibi yerel bir dosya sistemi veya bulut depolama alanıdır. Sunucunun depolama performansı disk teknolojisi (SSD vs HDD), GÇ isteklerinin yapısı ve her isteğin boyutu gibi birden çok faktöre bağlıdır.
Örneğin, Azure sanal makine performansı daha küçük VM SKU'larında saniyede 30 MB ile NVM Express (NVMe) diskleri kullanan depolama için iyileştirilmiş SKU'lardan bazıları için saniyede 20 GB arasında değişir. Azure VM'nizi yüksek depolama performansı için tasarlamayı öğrenin. Ayrıca çoğu kavramı şirket içi sunuculara da uygulayabilirsiniz.
İşlem gücü
Bazı durumlarda, diskiniz verilerinizi hızlı bir şekilde kopyalayabilse bile kopyalama işlemindeki performans sorunu işlem gücüdür. Bu gibi durumlarda, şu ölçeklendirme seçenekleri arasından birini belirleyebilirsiniz:
- Dikey olarak ölçeklendirin. Daha fazla CPU ekleyerek veya CPU hızını artırarak tek bir sunucunun gücünü artırırsınız.
- Yatay olarak ölçeklendirin. Kopyalama işleminin paralelliğini artıran daha fazla sunucu eklersiniz.
Hedef platform
Bu bölümde açıklanan hedef platformların her biri farklı bir performans profiline sahiptir.
- Azure İzleyici Temel günlükleri. Varsayılan olarak, Temel günlükler dakikada yaklaşık 1 GB hızında Azure İzleyici'ye gönderilebilir. Bu oran günde yaklaşık 1,5 TB veya ayda 43 TB almanızı sağlar.
- Azure Veri Gezgini. Veri alımı performansı, sağladığınız kümenin boyutuna ve uyguladığınız toplu işlem ayarlarına bağlı olarak değişir. Performans ve izleme de dahil olmak üzere en iyi alım yöntemleri hakkında bilgi edinin.
- Azure Blob Depolama. Azure Blob Depolama hesabının performansı, dosyaların sayısına ve boyutuna, iş boyutuna, eşzamanlılığa vb. bağlı olarak büyük ölçüde farklılık gösterebilir. Azure Depolama ile AzCopy performansını iyileştirmeyi öğrenin.
Veri miktarı
Veri miktarı, geçiş işleminin süresini etkileyen ana faktördür. Bu nedenle, veri kümenize bağlı olarak ortamınızı nasıl ayarlayabileceğinizi göz önünde bulundurmanız gerekir.
Geçişin en düşük süresini ve performans sorununun nerede olabileceğini belirlemek için veri miktarını ve hedef platformun alım hızını göz önünde bulundurun. Örneğin, saniyede 1 GB alabilen bir hedef platform seçersiniz ve 100 TB geçirmeniz gerekir. Bu durumda geçişiniz en az 100.000 GB sürer ve saniye başına 1 GB hız ile çarpılır. Sonucu 27 saate hesaplayan 3600'e bölün. yerel disk, ağ ve sanal makineler gibi işlem hattındaki bileşenlerin geri kalanı saniyede 1 GB hızında performans gösterebiliyorsa bu hesaplama doğrudur.
Sonraki adımlar
Bu makalede, geçiş kurallarınızı QRadar'dan Microsoft Sentinel'e eşlemeyi öğrendiniz.