部署 Microsoft Sentinel 的先决条件
在部署 Microsoft Sentinel 之前,请确保 Azure 租户满足本文中列出的要求。 本文是 Microsoft Sentinel 部署指南的一部分。
先决条件
若要访问 Azure 并部署资源,需要 Microsoft Entra ID 许可证和租户或带有效付款方式的个人帐户。
一个 Azure 订阅以跟踪资源创建和计费。
-
- 若要维护最低特权访问权限,请在资源组级别分配角色。
- 若要更好地控制权限和访问权限,请设置自定义角色。 有关详细信息,请参阅基于角色的访问控制 (RBAC)。
- 为了在用户与安全用户之间进行进一步的分隔,请考虑使用资源上下文 RBAC 或表级 RBAC。
有关 Microsoft Sentinel 支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限。
需要 Log Analytics 工作区来存储 Microsoft Sentinel 引入和分析的检测、分析和其他功能的数据。 有关详细信息,请参阅设计 Log Analytics 工作区体系结构。
不得对 Log Analytics 工作区应用资源锁,工作区定价层必须为“即用即付”或承诺层级。 启用 Microsoft Sentinel 时,不支持 Log Analytics 旧版定价层和资源锁。 有关定价层的详细信息,请参阅 Microsoft Sentinel 的简化定价层。
若要降低复杂性,我们建议为已启用 Microsoft Sentinel 的 Log Analytics 工作区设置专用资源组。 此资源组应仅包含 Microsoft Sentinel 使用的资源,包括 Log Analytics 工作区、任何 playbook、工作簿等。
使用专用资源组,可以在资源组级别分配权限一次,权限便自动应用于任何相关资源。 使用专用资源组时,Microsoft Sentinel 的访问管理效率高,而且不太容易获得不当权限。 减少权限复杂性可确保用户和服务主体具有完成操作所需的权限,并更容易防止权限较低的角色访问不适当的资源。
实现额外的资源组以按层控制访问。 使用额外的资源组来存放只有具有更高权限的组才能访问的资源。 使用多个层更精细地分隔资源组之间的访问。
后续步骤
在本文中,你查看了有助于在部署 Microsoft Sentinel 之前进行规划和准备的先决条件。