部署 Microsoft Sentinel 的先决条件

在部署 Microsoft Sentinel 之前,请确保 Azure 租户满足本文中列出的要求。 本文是 Microsoft Sentinel 部署指南的一部分。

先决条件

  • 若要访问 Azure 并部署资源,需要 Microsoft Entra ID 许可证和租户带有效付款方式的个人帐户

  • 一个 Azure 订阅以跟踪资源创建和计费。

  • 向订阅分配 相关权限。 对于新订阅,请指定所有者/参与者

    • 若要维护最低特权访问权限,请在资源组级别分配角色。
    • 若要更好地控制权限和访问权限,请设置自定义角色。 有关详细信息,请参阅基于角色的访问控制 (RBAC)。
    • 为了在用户与安全用户之间进行进一步的分隔,请考虑使用资源上下文 RBAC表级 RBAC

    有关 Microsoft Sentinel 支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限

  • 需要 Log Analytics 工作区来存储 Microsoft Sentinel 引入和分析的检测、分析和其他功能的数据。 有关详细信息,请参阅设计 Log Analytics 工作区体系结构

  • 不得对 Log Analytics 工作区应用资源锁,工作区定价层必须为“即用即付”或承诺层级。 启用 Microsoft Sentinel 时,不支持 Log Analytics 旧版定价层和资源锁。 有关定价层的详细信息,请参阅 Microsoft Sentinel 的简化定价层

  • 若要降低复杂性,我们建议为已启用 Microsoft Sentinel 的 Log Analytics 工作区设置专用资源组。 此资源组应仅包含 Microsoft Sentinel 使用的资源,包括 Log Analytics 工作区、任何 playbook、工作簿等。

    使用专用资源组,可以在资源组级别分配权限一次,权限便自动应用于任何相关资源。 使用专用资源组时,Microsoft Sentinel 的访问管理效率高,而且不太容易获得不当权限。 减少权限复杂性可确保用户和服务主体具有完成操作所需的权限,并更容易防止权限较低的角色访问不适当的资源。

    实现额外的资源组以按层控制访问。 使用额外的资源组来存放只有具有更高权限的组才能访问的资源。 使用多个层更精细地分隔资源组之间的访问。

后续步骤

在本文中,你查看了有助于在部署 Microsoft Sentinel 之前进行规划和准备的先决条件。