使用 Azure 数据资源管理器(Azure Synapse Analytics 的一部分)的 SecOps 分析平台架构
使用 Azure 数据资源管理器(Azure Synapse Analytics 的一部分)的 SecOps 分析平台架构
构建您自己的安全分析平台
用例
- 鉴于网络安全对所有组织来说都是一个大问题,我们需要建立一个平台来分析安全事件并为安全团队提供洞察力以采取行动。
- 没有任何组织必须使用一种工具来开展业务
- 对于组织中使用的所有系统和工具而言,安全性是一个大问题
- 目标是从不同工具中获取所有安全事件并对其进行分析,以便为安全团队提供见解
- 能够进行网络威胁分析并为安全团队提供见解
- 向 CISO 和安全团队提供网络威胁情报
- 构建安全分析平台也有很多挑战
- 最关注技术领域
- 有些在基础设施领域做
- 有些在应用程序空间中做
- 我们如何构建可以涵盖以上所有内容的东西
- 我们如何处理物理、虚拟和网络安全
- 鉴于我们的一切都在计算机中运行,我们如何构建一个可以分析所有安全事件的平台
目标
- 构建一个可以分析来自不同工具和来源的所有安全事件的平台
- 能够灵活地添加新的资源和工具
- 敏捷发现新威胁和洞察的能力
- 进行根本原因分析的能力
- 不是一个完整的解决方案,而是一个可以用来构建完整解决方案的平台
- 能够长时间存储大量数据
- 能够进行实时临时分析
- 没有预先烘焙的仪表板,但能够构建自己的仪表板
- 发现新用例和威胁的能力
建筑学
架构解释
- 上面的架构从左到右
- 左边是我们所有的资源
- 源可以是任何系统或应用程序
- 收集的所有数据都流经事件中心,其作用类似于摄取代理
- 事件中心可以根据需要进行扩展。
- 从事件中心 Azure 数据资源管理器有一个连接器来提取事件中心数据并存储在临时表中
- 然后我们可以转换为具有适当模式的最终表格
- 现在有很多可能的架构更改
- 我们可以将数据作为动态模式,然后转换为最终模式以适应源以保留业务逻辑
- Azure 数据资源管理器可以选择仅通过配置存储冷热数据
- Azure 数据资源管理器的大小也会根据需要进行缩放
- 使用 Azure 数据资源管理器查询冷数据也非常简单
- 为规模和敏捷性而设计
- 成本优化设计
- 无需进行 ETL/ELT 工作
- 如果需要,我们可以使用带有 Azure 数据资源管理器连接器的 Azure Synapse Spark 扩展数据处理
- 下面您将看到扩展 Azure 数据资源管理器以执行大规模机器学习的体系结构
- 还能够使用火花集群处理大数据
- 大多数临时分析都可以使用 Azure 数据资源管理器执行
- Kusto 是非常强大的语言
- 还具有进行机器学习的能力,例如预测、异常检测、聚类
- 如果要根据数据大小和复杂性构建自己的模型,可以将 Azure Synapse Spark 与 Azure 数据资源管理器连接器结合使用
- 现在为什么我们需要多个选项,并不是机器学习或深度学习中的所有用例都需
- 如果数据集大小增加,那么我们必须使用 Azure Synapse Spark 来获得并行性和规模
- 上述架构也可以是市场上现有网络安全工具的扩展
来源文章 Samples2022/secopsplatform.md at main · balakreshnan/Samples2022 (github.com)
[
Mlearning.ai 提交建议
如何成为 Mlearning.ai 上的作家
媒体网
](/mlearning-ai/mlearning-ai-submission-suggestions-b51e2b130bfb)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明