重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
在部署Microsoft Sentinel之前,请确保Azure租户满足本文中列出的要求。 本文是Microsoft Sentinel部署指南的一部分。
许可和订阅要求
| 要求 | DESCRIPTION |
|---|---|
| 许可、租户或个人帐户 | Microsoft Entra ID 许可证和租户或具有有效付款方式的 独立帐户需要访问Azure和部署资源。 |
| Azure 订阅 | 需要 Azure 订阅来跟踪资源创建和计费。 |
| 权限 | 向订阅分配 相关权限。 对于新订阅,请指定所有者/参与者。 - 若要保持最低特权访问权限,请在资源组级别分配角色。 - 若要更好地控制权限和访问权限,请设置自定义角色。 有关详细信息,请参阅基于角色的访问控制 (RBAC)。 - 若要在用户与安全用户之间进行额外分离,请考虑 资源上下文 或 表级 RBAC。 有关 Microsoft Sentinel 支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限。 |
工作区要求
需要一个Log Analytics 工作区来容纳 Microsoft Sentinel 所引入和分析的数据,这些数据用于检测、分析和其他功能。 有关详细信息,请参阅 设计 Log Analytics 工作区体系结构。
Log Analytics工作区不得应用资源锁,工作区定价层必须是即用即付或承诺层。 Log Analytics启用Microsoft Sentinel时不支持旧定价层和资源锁。 有关定价层的详细信息,请参阅
专用资源组(建议)
为降低复杂性,我们建议为为Microsoft Sentinel启用的Log Analytics工作区创建专用资源组。 此资源组应仅包含 Microsoft Sentinel 使用的资源,包括日志分析 (Log Analytics) 工作区、任何运行手册 (playbooks)、工作簿等。
使用专用资源组,可以在资源组级别分配权限一次,权限便自动应用于任何相关资源。 使用专用资源组时,Microsoft Sentinel的访问管理高效且不容易获得不当权限。 减少权限复杂性可确保用户和服务主体具有完成操作所需的权限,并更容易防止权限较低的角色访问不适当的资源。
实现额外的资源组以按层控制访问。 使用额外的资源组来存放只有具有更高权限的组才能访问的资源。 使用多个层更精细地分隔资源组之间的访问。
后续步骤
本文介绍了在部署Microsoft Sentinel之前帮助你规划和准备的先决条件。