Assegnare priorità ai connettori dati per Microsoft Sentinel
Questo articolo illustra come pianificare e definire le priorità per le origini dati da usare per la distribuzione di Microsoft Sentinel. Questo articolo fa parte della Guida alla distribuzione per Microsoft Sentinel.
Determinare quali connettori sono necessari
Verificare quali connettori dati sono rilevanti per l'ambiente in uso, nell'ordine seguente:
- Esaminare questo elenco di connettori dati gratuiti. I connettori dati gratuiti inizieranno a visualizzare il valore di Microsoft Sentinel il prima possibile, mentre si continua a pianificare altri connettori dati e budget.
- Esaminare i connettori dati personalizzati .
- Esaminare i connettori dati dei partner .
Per i connettori personalizzati e partner, è consigliabile iniziare configurando i connettori CEF/Syslog , con la priorità più alta e con qualsiasi dispositivo basato su Linux.
Se l'inserimento dati diventa troppo costoso, troppo rapidamente, arrestare o filtrare i log inoltrati usando l'agente di Monitoraggio di Azure.
Suggerimento
I connettori dati personalizzati consentono di inserire dati in Microsoft Sentinel da origini dati attualmente non supportate dalle funzionalità predefinite, ad esempio tramite agente, Logstash o API. Per altre informazioni, vedere Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.
Requisiti di inserimento dati alternativi
Se la configurazione standard per la raccolta dati non funziona correttamente per l'organizzazione, esaminare queste e possibili soluzioni alternative e considerazioni.
Filtrare i log
Se si sceglie di filtrare i log raccolti o il contenuto del log prima che i dati vengano inseriti in Microsoft Sentinel, esaminare queste procedure consigliate.
Passaggi successivi
In questo articolo si è appreso come assegnare priorità ai connettori dati per prepararsi alla distribuzione di Microsoft Sentinel.