部署 Microsoft Sentinel 的先决条件

在部署 Microsoft Sentinel 之前，请确保 Azure 租户满足本文中列出的要求。 本文是 Microsoft Sentinel 部署指南的一部分。

先决条件

• 若要访问 Azure 并部署资源，需要 Microsoft Entra ID 许可证和租户或带有效付款方式的个人帐户。

• 一个 Azure 订阅以跟踪资源创建和计费。

• 向订阅分配 相关权限。 对于新订阅，请指定所有者/参与者。

  • 若要维护最低特权访问权限，请在资源组级别分配角色。
  • 若要更好地控制权限和访问权限，请设置自定义角色。 有关详细信息，请参阅基于角色的访问控制 (RBAC)。
  • 为了在用户与安全用户之间进行进一步的分隔，请考虑使用资源上下文 RBAC 或表级 RBAC。

  有关 Microsoft Sentinel 支持的其他角色和权限的详细信息，请参阅 Microsoft Sentinel 中的权限。

• 需要 Log Analytics 工作区来存储 Microsoft Sentinel 引入和分析的检测、分析和其他功能的数据。 有关详细信息，请参阅 Microsoft Sentinel 工作区体系结构最佳做法。

• 不得对 Log Analytics 工作区应用资源锁，工作区定价层必须为“即用即付”或承诺层级。 启用 Microsoft Sentinel 时，不支持 Log Analytics 旧版定价层和资源锁。 有关定价层的详细信息，请参阅 Microsoft Sentinel 的简化定价层。

• 为了降低复杂性，我们建议为 Microsoft Sentinel 工作区创建专用资源组。 此资源组应仅包含 Microsoft Sentinel 使用的资源，包括 Log Analytics 工作区、任何 playbook、工作簿等。

  使用专用资源组，可以在资源组级别分配权限一次，权限便自动应用于任何相关资源。 使用专用资源组时，Microsoft Sentinel 的访问管理效率高，而且不太容易获得不当权限。 减少权限复杂性可确保用户和服务主体具有完成操作所需的权限，并更容易防止权限较低的角色访问不适当的资源。

  实现额外的资源组以按层控制访问。 使用额外的资源组来存放只有具有更高权限的组才能访问的资源。 使用多个层更精细地分隔资源组之间的访问。

后续步骤

在本文中，你查看了有助于在部署 Microsoft Sentinel 之前进行规划和准备的先决条件。