تحديد أولويات موصلات البيانات الخاصة بك ل Microsoft Sentinel
في هذه المقالة، ستتعرف على كيفية تخطيط مصادر البيانات التي يجب استخدامها لنشر Microsoft Sentinel وتحديد أولوياتها. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
تحديد الموصلات التي تحتاج إليها
تحقق من موصلات البيانات ذات الصلة بالبيئة الخاصة بك، بالترتيب التالي:
- راجع قائمة موصلات البيانات المجانية هذه. ستبدأ موصلات البيانات المجانية في إظهار القيمة من Microsoft Azure Sentinel في أقرب وقت ممكن، بينما تستمر في تخطيط موصلات البيانات والميزانيات الأخرى.
- راجع موصلات البيانات المخصصة.
- راجع موصلات بيانات الشريك.
بالنسبة للموصلات المخصصة والشركاء، نوصي بالبدء بإعداد موصلات CEF/Syslog ، مع الأولوية القصوى أولا، بالإضافة إلى أي أجهزة تستند إلى Linux.
إذا أصبح عرض البيانات مكلفاً للغاية وبسرعة كبيرة، فقم بإيقاف أو تصفية السجلات المعاد توجيهها باستخدام Azure Monitor Agent .
تلميح
تمكّنك موصلات البيانات المخصصة من إدخال البيانات إلى Microsoft Azure Sentinel من مصادر البيانات غير المدعومة حالياً بواسطة الوظائف المضمنة، مثل عبر العامل أو Logstash أو API. لمزيد من المعلومات، راجع موارد لإنشاء موصلات Microsoft Azure Sentinel المخصصة .
متطلبات نقل البيانات البديلة
إذا لم يعمل التكوين القياسي لجمع البيانات بشكل جيد لمؤسستك، فراجع هذه الحلول والاعتبارات البديلة الممكنة.
تصفية سجلاتك
إذا اخترت تصفية السجلات التي تم جمعها أو محتوى السجل قبل استيعاب البيانات في Microsoft Sentinel، فراجع أفضل الممارسات هذه.
الخطوات التالية
في هذه المقالة، تعلمت كيفية تحديد أولويات موصلات البيانات للتحضير لنشر Microsoft Sentinel.