이 문서에서는 Microsoft Sentinel 배포에 사용할 데이터 원본을 계획하고 우선 순위를 지정하는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
필요한 커넥터 결정
환경과 관련된 데이터 커넥터를 다음 순서대로 확인합니다.
- 이 무료 데이터 커넥터 목록을 검토합니다. 무료 데이터 커넥터는 다른 데이터 커넥터 및 예산을 계속 계획하는 동안 가능한 한 빨리 Microsoft Sentinel 값을 표시하기 시작합니다.
- 사용자 지정 데이터 커넥터를 검토합니다.
- 파트너 데이터 커넥터를 검토합니다.
사용자 지정 및 파트너 커넥터의 경우 먼저 우선 순위가 가장 높은 CEF/Syslog 커넥터와 Linux 기반 디바이스를 설정하는 것이 좋습니다.
데이터 수집 비용이 너무 많이 들고 너무 빨리 Azure Monitor 에이전트를 사용하여 전달된 로그를 중지하거나 필터링합니다.
팁
사용자 지정 데이터 커넥터를 사용하면 에이전트, Logstash 또는 API와 같은 기본 제공 기능에서 현재 지원되지 않는 데이터 원본에서 데이터를 Microsoft Sentinel 수집할 수 있습니다. 자세한 내용은 Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스를 참조하세요.
대체 데이터 수집 요구 사항
데이터 수집에 대한 표준 구성이 organization 제대로 작동하지 않는 경우 이러한 대체 솔루션 및 고려 사항을 검토합니다.
로그 필터링
데이터가 Microsoft Sentinel 수집되기 전에 수집된 로그 또는 로그 콘텐츠를 필터링하도록 선택하는 경우 이러한 모범 사례를 검토합니다.
다음 단계
이 문서에서는 데이터 커넥터의 우선 순위를 지정하여 Microsoft Sentinel 배포를 준비하는 방법을 알아보았습니다.