Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa opit suunnittelemaan ja priorisoimaan tietolähteitä, joita käytetään Microsoft Sentinel käyttöönotossa. Tämä artikkeli on osa Microsoft Sentinel käyttöönotto-opasta.
Määritä, mitä liittimiä tarvitset
Tarkista seuraavassa järjestyksessä, mitkä tietoliittimet liittyvät ympäristöösi:
- Tarkista tämä maksuttomien tietoliittimien luettelo. Maksuttomat tietoliittimet alkavat näyttää Microsoft Sentinel arvoa mahdollisimman pian samalla, kun suunnittelet muita tietoliittimiä ja budjetteja.
- Tarkista mukautetut tietoliittimet.
- Tarkista kumppanin tietoliittimet.
Mukautettujen liittimien ja kumppanien liittimien kohdalla suosittelemme, että aloitat määrittämällä CEF-/Syslog-liittimet, joilla on ensin suurin prioriteetti, sekä mahdolliset Linux-pohjaiset laitteet.
Jos tietojen käsittely tulee liian kalliiksi ja liian nopeasti, pysäytä tai suodata edelleen välitetyt lokit Azure Monitor Agentin avulla.
Vihje
Mukautettujen tietoliittimien avulla voit käyttää tietoja Microsoft Sentinel tietolähteistä, joita sisäinen toiminto, kuten agentti, Logstash tai ohjelmointirajapinta, ei tällä hetkellä tue. Lisätietoja on artikkelissa Mukautettujen liittimien Microsoft Sentinel luominen.
Vaihtoehtoiset tietojen käsittelyvaatimukset
Jos tietojen keräämisen vakiomääritys ei toimi hyvin organisaatiossasi, tarkista nämä ja mahdolliset vaihtoehtoiset ratkaisut ja huomioitavat seikat.
Lokien suodattaminen
Jos suodatat kerättyjä lokeja tai kirjaat sisältöä, ennen kuin tiedot käsitellään Microsoft Sentinel, tutustu näihin parhaisiin käytäntöihin.
Seuraavat vaiheet
Tässä artikkelissa opit priorisoimaan tietoyhdistimiä valmistautuaksesi Microsoft Sentinel käyttöönottoon.