Stanovení priority datových konektorů pro Microsoft Sentinel
V tomto článku se dozvíte, jak naplánovat a určit prioritu zdrojů dat, které se mají použít pro nasazení služby Microsoft Sentinel. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
Určení potřebných konektorů
Zkontrolujte, které datové konektory jsou pro vaše prostředí relevantní, a to v následujícím pořadí:
- Projděte si tento seznam bezplatných datových konektorů. Bezplatné datové konektory začnou zobrazovat hodnotu z Microsoft Sentinelu co nejdříve, zatímco budete dál plánovat další datové konektory a rozpočty.
- Zkontrolujte vlastní datové konektory.
- Projděte si partnerské datové konektory.
Pro vlastní a partnerské konektory doporučujeme začít nastavením konektorů CEF/Syslog s nejvyšší prioritou a také všemi zařízeními založenými na Linuxu.
Pokud je příjem dat příliš nákladný, příliš rychle zastavte nebo vyfiltrujte protokoly přeposílané pomocí agenta služby Azure Monitor.
Tip
Vlastní datové konektory umožňují ingestovat data do Služby Microsoft Sentinel ze zdrojů dat, které nejsou v současné době podporovány integrovanými funkcemi, jako jsou agent, Logstash nebo API. Další informace najdete v tématu Zdroje informací o vytváření vlastních konektorů Microsoft Sentinelu.
Alternativní požadavky na příjem dat
Pokud standardní konfigurace shromažďování dat pro vaši organizaci nefunguje dobře, projděte si tato a možná alternativní řešení a aspekty.
Filtrování protokolů
Pokud se rozhodnete filtrovat shromážděné protokoly nebo obsah protokolu před tím, než se data ingestují do Služby Microsoft Sentinel, projděte si tyto osvědčené postupy.
Další kroky
V tomto článku jste se dozvěděli, jak určit prioritu datových konektorů pro přípravu nasazení Služby Microsoft Sentinel.