Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этой статьи вы узнаете, как спланировать и определить, какие источники данных следует использовать для развертывания Microsoft Sentinel. Эта статья является частью руководства по развертыванию для Microsoft Sentinel.
Определение необходимых соединителей
Проверьте, какие соединители данных относятся к вашей среде в следующем порядке:
- Просмотрите этот список бесплатных соединителей данных. Бесплатные соединители данных начнут отображать значение с Microsoft Sentinel как можно скорее, в то время как вы продолжите планировать другие соединители данных и бюджеты.
- Просмотрите настраиваемые соединители данных.
- Просмотрите соединители данных партнеров .
Для пользовательских соединителей и соединителей партнеров рекомендуется сначала настроить соединители CEF/Syslog с наивысшим приоритетом, а также любые устройства на основе Linux.
Если прием данных становится слишком дорогостоящим и слишком быстрым, остановите или отфильтруйте журналы, переадресованные с помощью агента мониторинга Azure.
Совет
Настраиваемые соединители данных позволяют принимать данные в Microsoft Sentinel из источников данных, которые в настоящее время не поддерживаются встроенными функциями, такими как агент, Logstash или API. Дополнительные сведения см. в разделе Ресурсы для создания Microsoft Sentinel настраиваемых соединителей.
Требования к приему альтернативных данных
Если стандартная конфигурация для сбора данных не подходит для вашей организации, ознакомьтесь с этими и возможными альтернативными решениями и рекомендациями.
Фильтрация журналов
Если вы решили отфильтровать собранные журналы или содержимое журнала перед приемом данных в Microsoft Sentinel, ознакомьтесь с этими рекомендациями.
Дальнейшие действия
Из этой статьи вы узнали, как определить приоритет соединителей данных для подготовки к развертыванию Microsoft Sentinel.