Określanie priorytetów łączników danych dla usługi Microsoft Sentinel
Z tego artykułu dowiesz się, jak planować i określać priorytety źródeł danych do użycia na potrzeby wdrożenia usługi Microsoft Sentinel. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Określanie potrzebnych łączników
Sprawdź, które łączniki danych są istotne dla danego środowiska, w następującej kolejności:
- Przejrzyj tę listę bezpłatnych łączników danych. Bezpłatne łączniki danych zaczną wyświetlać wartość z usługi Microsoft Sentinel tak szybko, jak to możliwe, podczas gdy będziesz nadal planować inne łączniki danych i budżety.
- Przejrzyj niestandardowe łączniki danych.
- Przejrzyj łączniki danych partnerów.
W przypadku łączników niestandardowych i partnerów zalecamy rozpoczęcie od skonfigurowania łączników CEF/Syslog z najwyższym priorytetem, a także urządzeń z systemem Linux.
Jeśli pozyskiwanie danych stanie się zbyt kosztowne, zbyt szybko zatrzymaj lub przefiltruj dzienniki przekazywane przy użyciu agenta usługi Azure Monitor.
Napiwek
Niestandardowe łączniki danych umożliwiają pozyskiwanie danych do usługi Microsoft Sentinel ze źródeł danych, które nie są obecnie obsługiwane przez wbudowane funkcje, takie jak agent, usługa Logstash lub interfejs API. Aby uzyskać więcej informacji, zobacz Zasoby dotyczące tworzenia łączników niestandardowych usługi Microsoft Sentinel.
Wymagania dotyczące pozyskiwania danych alternatywnych
Jeśli konfiguracja standardowa zbierania danych nie działa dobrze w twojej organizacji, zapoznaj się z tymi i możliwymi alternatywnymi rozwiązaniami i zagadnieniami.
Filtrowanie dzienników
Jeśli zdecydujesz się filtrować zebrane dzienniki lub zawartość dziennika przed pozyskiwaniem danych do usługi Microsoft Sentinel, zapoznaj się z tymi najlepszymi rozwiązaniami.
Następne kroki
W tym artykule przedstawiono sposób określania priorytetów łączników danych w celu przygotowania do wdrożenia usługi Microsoft Sentinel.