排定 Microsoft Sentinel 的資料連線器優先順序
在本文中,您將瞭解如何規劃和排定要用於 Microsoft Sentinel 部署的資料來源優先順序。 本文是 Microsoft Sentinel 的部署指南的 一部分。
判斷您需要的連接器
請依下列順序檢查哪些資料連線器與您的環境相關:
- 檢閱此免費資料連線器 清單 。 免費資料連線器會儘快開始顯示來自 Microsoft Sentinel 的值,同時繼續規劃其他資料連線器和預算。
- 檢閱 自訂 資料連線器。
- 檢閱 合作夥伴 資料連線器。
針對自訂和合作夥伴連接器,建議您從設定 CEF/Syslog 連接器開始,先設定優先順序最高的連接器,以及任何以 Linux 為基礎的裝置。
如果您的資料擷取變得太昂貴、太快、停止或篩選使用 Azure 監視器代理程式 轉送的 記錄。
提示
自訂資料連線器可讓您從內建功能目前不支援的資料來源內嵌資料內嵌至 Microsoft Sentinel,例如透過代理程式、Logstash 或 API。 如需詳細資訊,請參閱 建立 Microsoft Sentinel 自訂連接器的資源 。
替代資料擷取需求
如果資料收集的標準組態不適用於您的組織,請檢閱這些和可能的 替代解決方案和考慮 。
篩選您的記錄
如果您選擇在將資料內嵌至 Microsoft Sentinel 之前篩選收集的記錄或記錄內容, 請檢閱這些最佳做法 。
下一步
在本文中,您已瞭解如何設定資料連線器的優先順序,以準備 Microsoft Sentinel 部署。