この記事では、Microsoft Sentinelデプロイに使用するデータ ソースを計画し、優先順位を付ける方法について説明します。 この記事は、Microsoft Sentinelのデプロイ ガイドの一部です。
必要なコネクタを決定する
環境に関連するデータ コネクタを次の順序で確認します。
- 無料のデータ コネクタの一覧を確認します。 空きデータ コネクタは、他のデータ コネクタと予算を計画しながら、できるだけ早くMicrosoft Sentinelからの値の表示を開始します。
- カスタム データ コネクタを確認します。
- パートナー データ コネクタを確認します。
カスタム コネクタとパートナー コネクタの場合は、最初に最も優先順位の高い CEF/Syslog コネクタと、Linux ベースのデバイスを設定することをお勧めします。
データ インジェストがコストがかかりすぎる場合は、Azure Monitor エージェントを使用して転送されたログを停止またはフィルター処理します。
ヒント
カスタム データ コネクタを使用すると、エージェント、Logstash、API などの組み込み機能で現在サポートされていないデータ ソースからMicrosoft Sentinelにデータを取り込むことができます。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinel参照してください。
代替データ インジェスト要件
データ収集の標準構成がorganizationに適していない場合は、これらの代替ソリューションと考慮事項を確認してください。
ログをフィルター処理する
データがMicrosoft Sentinelに取り込まれる前に、収集したログまたはログ コンテンツをフィルター処理する場合は、これらのベスト プラクティスを確認してください。
次の手順
この記事では、データ コネクタに優先順位を付けて、Microsoft Sentinelデプロイに備える方法について説明しました。