确定 Microsoft Sentinel 数据连接器的优先级
本文介绍如何规划和确定用于 Microsoft Sentinel 部署的数据源的优先级。 本文是 Microsoft Sentinel 部署指南的一部分。
确定所需的连接器
按以下顺序检查哪些数据连接器与你的环境相关:
对于自定义和合作伙伴连接器,建议先设置 CEF/Syslog 连接器(优先级最高的优先),以及任何基于 Linux 的设备。
如果数据引入太昂贵、太迅速,可使用 Azure Monitor 代理停止或筛选转发的日志。
提示
使用自定义数据连接器,可从当前内置功能不支持的数据源(如通过代理、Logstash 或 API)将数据引入 Microsoft Sentinel。 有关详细信息,请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。
其他数据引入要求
如果数据收集的标准配置不适用于你的组织,请查看以下以及可能的替代解决方案和注意事项。
筛选日志
如果选择在将数据引入 Microsoft Sentinel 之前筛选收集的日志或日志内容,请查看这些最佳做法。
后续步骤
本文介绍了如何确定数据连接器的优先级,以便为 Microsoft Sentinel 部署做好准备。