Planen der Azure Monitor-Implementierung
In diesem Artikel werden die Punkte beschrieben, die Sie berücksichtigen sollten, bevor Sie mit der Implementierung beginnen. Die richtige Planung hilft Ihnen bei der Auswahl der Konfigurationsoptionen, um Ihre geschäftlichen Anforderungen zu erfüllen.
Informationen zu allgemeinen Überwachungskonzepten und Anleitungen zum Definieren von Anforderungen für Ihre Überwachungsumgebung finden Sie im Leitfaden zur Cloudüberwachung, der Teil von Microsoft Cloud Adoption Framework für Azure ist.
Definieren einer Strategie
Formulieren Sie zunächst eine Überwachungsstrategie, um die Ziele und Anforderungen Ihres Plans zu klären. Die Strategie definiert Ihre speziellen Anforderungen, die Konfiguration, die diese Anforderungen am besten erfüllt, und die Prozesse für die Nutzung der Überwachungsumgebung, um die Leistung und Zuverlässigkeit Ihrer Anwendungen zu maximieren.
Lesen Sie auch den Artikel Überwachungsstrategie für Cloudbereitstellungsmodelle, der Informationen enthält, die Sie beim Vergleichen vollständig cloudbasierter Überwachungslösungen mit einem Hybridmodell unterstützen.
Sammeln erforderlicher Informationen
Bevor Sie die Details Ihrer Implementierung ermitteln, sammeln Sie diese Informationen:
Was muss überwacht werden?
Konzentrieren Sie sich auf Ihre kritischen Anwendungen und Komponenten, von denen die Anwendungen abhängen, um den Überwachungsaufgang und die Komplexität Ihrer Überwachungsumgebung zu reduzieren. Informationen zum Definieren der benötigten Daten finden Sie im Leitfaden zur Cloudüberwachung: Erfassen der richtigen Daten.
Wer benötigt Zugriffsberechtigungen? Wer muss benachrichtigt werden?
Ermitteln Sie, welche Benutzer Zugriff auf Überwachungsdaten benötigen und welche Benutzer benachrichtigt werden müssen, wenn ein Problem erkannt wird. Dabei kann es sich um Anwendungs- und Ressourcenbesitzer oder um ein zentrales Überwachungsteam handeln. Diese Informationen legen fest, wie Sie Berechtigungen für den Datenzugriff und Benachrichtigungen bei Warnungen konfigurieren. Sie können benutzerdefinierte Arbeitsmappen auch so konfigurieren, dass bestimmte Informationen für verschiedene Benutzer dargestellt werden.
Berücksichtigen der Anforderungen für die Vereinbarung zum Servicelevel
Möglicherweise hat Ihre Organisation SLAs eingerichtet, die Ihre Verpflichtungen hinsichtlich Leistung und Betriebszeit Ihrer Anwendungen definieren. Berücksichtigen Sie diese Vereinbarungen zum Servicelevel (Service Level Agreement, SLA) bei der Konfiguration zeitkritischer Azure Monitor-Features (z. B. Warnungen). Informieren Sie sich über die Datenlatenz in Azure Monitor, die sich auf die Reaktionsfähigkeit in Überwachungsszenarios und Ihre Fähigkeit zur Erfüllung von SLAs auswirkt.
Identifizieren von unterstützenden Überwachungsdiensten und -produkten
Azure Monitor ist für die Integritäts- und Statusüberwachung konzipiert. Eine vollständige Überwachungslösung umfasst in der Regel mehrere Azure-Dienste und kann weitere Produkte enthalten, um andere Überwachungsziele zu erreichen.
Erwägen Sie die Verwendung dieser anderen Produkte und Dienste zusammen mit Azure Monitor:
Sicherheitsüberwachungslösungen
Während die in Azure Monitor gespeicherten operativen Daten nützlich sein können, um Sicherheitsvorfälle zu untersuchen, sind andere Dienste in Azure zur Überwachung der Sicherheit konzipiert. Führen Sie die Sicherheitsüberwachung in Azure mithilfe von Microsoft Defender für Cloud und Microsoft Sentinel aus.
| Sicherheitsüberwachungslösung | Beschreibung |
|---|---|
| Microsoft Defender für Cloud | Hiermit werden Informationen zu Azure-Ressourcen und Hybridservern gesammelt. Wenngleich es Sicherheitsereignisse erfassen kann, konzentriert sich Defender für Cloud auf das Sammeln von Bestandsdaten, Risikobewertungsergebnissen und Richtlinienüberwachungen, um auf Sicherheitsrisiken hinzuweisen und Korrekturmaßnahmen zu empfehlen. Zu den wichtigsten Funktionen gehören eine interaktive Netzwerkkarte, Just-in-Time-VM-Zugriff, adaptive Netzwerkhärtung und die adaptive Anwendungssteuerung zum Blockieren verdächtiger ausführbarer Dateien. |
| Microsoft Defender für Server | Dies ist die von Defender for Cloud bereitgestellte Serverbewertungslösung. Defender für Server kann Windows-Sicherheitsereignisse an Log Analytics (Protokollanalyse) senden. Für die Warnungserstellung oder Analyse stützt sich Defender für Cloud nicht auf Windows-Sicherheitsereignisse. Die Verwendung dieses Features ermöglicht die zentrale Archivierung von Ereignissen zu Untersuchungs- oder anderen Zwecken. |
| Microsoft Sentinel | Dies ist eine Lösung für die Verwaltung von Sicherheitsinformationen und -ereignissen (Security Information & Event Management, SIEM) und die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). Sentinel sammelt Sicherheitsdaten aus einer Vielzahl von Microsoft- und Drittanbieterquellen, um Warnungen, Visualisierungen und Automatisierung bereitzustellen. Diese Lösung konzentriert sich darauf, so viele Sicherheitsprotokolle wie möglich zu konsolidieren, darunter auch Windows-Sicherheitsereignisse. Microsoft Sentinel kann außerdem Windows-Sicherheitsereignisprotokolle erfassen und einen Log-Analytics-Arbeitsbereich gemeinsam mit Defender für Cloud verwenden. Sicherheitsereignisse können nur von Microsoft Sentinel oder Defender für Cloud gesammelt werden, wenn sie denselben Arbeitsbereich gemeinsam nutzen. Im Gegensatz zu Defender für Cloud sind Sicherheitsereignisse eine wichtige Komponente von Warnungen und Analysen in Microsoft Sentinel. |
| Defender für Endpunkt | Dies ist eine Endpunktsicherheitsplattform auf Unternehmensniveau, die Organisationen dabei unterstützt, komplexe Bedrohungen für Netzwerke zu vermeiden, zu erkennen, zu untersuchen und darauf zu reagieren. Die Lösung wurde primär zum Schutz von Windows-Benutzergeräten entwickelt. Defender für Endpunkt überwacht Arbeitsstationen, Server, Tablets und Mobiltelefone mit verschiedenen Betriebssystemen auf Sicherheitsprobleme und -risiken. Defender für Endpunkt ist eng an Microsoft Intune ausgerichtet, um Daten zu sammeln und Sicherheitsbewertungen bereitzustellen. Die Datensammlung basiert in erster Linie auf ETW-Ablaufverfolgungsprotokollen, die Speicherung erfolgt in einem isolierten Arbeitsbereich. |
System Center Operations Manager
Wenn Sie über eine vorhandene Investition in System Center Operations Manager verfügen, um lokale Ressourcen und Workloads zu überwachen, die auf Ihren virtuellen Computern ausgeführt werden, können Sie diese Überwachungslösung zu Azure Monitor migrieren oder beide Produkte weiterhin in einer Hybridkonfiguration verwenden.
Einen Vergleich der Produkte finden Sie unter Übersicht über Cloudüberwachungsplattformen. Unter Überwachungsstrategie für Cloudbereitstellungsmodelle erfahren Sie, wie Sie die beiden Produkte in einer Hybridkonfiguration verwenden und das am besten geeignete Modell für Ihre Umgebung ermitteln.
Nächste Schritte
- Schritte und Empfehlungen zum Konfigurieren der Datensammlung in Azure Monitor finden Sie unter Konfigurieren der Datensammlung.