Hiérarchiser vos connecteurs de données pour Microsoft Sentinel
Dans cet article, vous allez apprendre à planifier et à hiérarchiser les sources de données à utiliser pour votre déploiement Microsoft Sentinel. Cet article fait partie du guide de déploiement de Microsoft Sentinel.
Déterminer les connecteurs dont vous avez besoin
Vérifiez quels connecteurs de données sont pertinents pour votre environnement, dans l’ordre suivant :
- Passez en revue cette liste de connecteurs de données gratuits. Les connecteurs de données gratuits vous permettent de tirer rapidement parti de Microsoft Sentinel tout en planifiant d’autres connecteurs de données et budgets.
- Passez en revue les connecteurs de données personnalisés.
- Passez en revue les connecteurs de données partenaires.
Pour les connecteurs personnalisés et partenaires, nous vous recommandons de commencer par configurer les connecteurs CEF/Syslog, avec la priorité la plus élevée en premier, ainsi que tous les appareils Linux.
Si votre ingestion de données devient trop coûteuse trop vite, arrêtez ou filtrez les journaux transférés avec l’Agent Azure Monitor.
Conseil
Les connecteurs de données personnalisés vous permettent d’ingérer des données dans Microsoft Sentinel à partir de sources de données non prises en charge par les fonctionnalités intégrées, par exemple via l’agent, Logstash ou l’API. Pour plus d’informations, consultez Ressources pour la création de connecteurs Microsoft Sentinel personnalisés.
Autres besoins en ingestion de données
Si la configuration standard pour la collecte de données ne fonctionne pas correctement pour votre organisation, passez en revue ces solutions et considérations alternatives.
Filtrer vos journaux
Si vous choisissez de filtrer vos journaux ou votre contenu de journal collectés avant que les données ne sont ingérées dans Microsoft Sentinel, passez en revue ces meilleures pratiques.
Étapes suivantes
Dans cet article, vous avez appris à hiérarchiser les connecteurs de données pour préparer votre déploiement Microsoft Sentinel.