Приоритет соединителей данных для Microsoft Sentinel
Из этой статьи вы узнаете, как спланировать и определить приоритеты источников данных, используемых для развертывания Microsoft Sentinel. Эта статья является частью руководства по развертыванию Microsoft Sentinel.
Определение необходимых соединителей
Проверьте, какие соединители данных относятся к вашей среде, в следующем порядке:
- Просмотрите этот список бесплатных соединителей данных. Бесплатные соединители данных начнут сразу возвращать значения из среды Microsoft Sentinel, а вы сможете продолжить подбирать другие соединители и планировать бюджет.
- Просмотрите настраиваемые соединители данных.
- Просмотрите соединители данных партнера .
Для пользовательских соединителей и соединителей партнеров рекомендуется начать с настройки соединителей CEF/Syslog , с наивысшим приоритетом, а также на всех устройствах под управлением Linux.
Если прием данных слишком быстро приводит к высоким расходам, остановите или отфильтруйте пересылаемые журналы с помощью агента Azure Monitor.
Совет
Нестандартные соединители позволяют принимать данные в Microsoft Sentinel из источников, которые в настоящее время не поддерживаются встроенными функциями, например через агент, Logstash или API. Дополнительные сведения см. в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.
Альтернативные варианты приема данных
Если стандартная конфигурация сбора данных не работает хорошо для вашей организации, ознакомьтесь с этими и возможными альтернативными решениями и рекомендациями.
Фильтрация журналов
Если вы решили отфильтровать собранные журналы или содержимое журнала перед приемом данных в Microsoft Sentinel, ознакомьтесь с этими рекомендациями.
Следующие шаги
Из этой статьи вы узнали, как определить приоритет соединителей данных для подготовки к развертыванию Microsoft Sentinel.