Aktivity a požadavky před nasazením služby Microsoft Sentinel
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tento článek představuje aktivity před nasazením a požadavky pro nasazení služby Microsoft Sentinel.
Aktivity před nasazením
Před nasazením Microsoft Sentinelu doporučujeme provést následující kroky, které vám pomůžou co nejdříve zaměřit vaše nasazení na poskytování maximální hodnoty.
Určete, které zdroje dat potřebujete, a požadavky na velikost dat, které vám pomůžou přesně odhadovat rozpočet a časovou osu nasazení.
Tyto informace můžete zjistit během kontroly případů obchodního použití nebo vyhodnocením stávajícího systému SIEM, který už máte k dispozici. Pokud už máte siem, analyzujte data, abyste pochopili, které zdroje dat poskytují největší hodnotu a které by se měly ingestovat do Microsoft Sentinelu.
Navrhovat pracovní prostor Microsoft Sentinelu Zvažte parametry, jako jsou:
- Bez ohledu na to, jestli budete používat jednoho nebo více tenantů
- Všechny požadavky na dodržování předpisů, které máte pro shromažďování a ukládání dat
- Řízení přístupu k datům služby Microsoft Sentinel
Další informace najdete v tématu Osvědčené postupy architektury pracovních prostorů a Ukázkové návrhy pracovních prostorů.
Po identifikování případů obchodního použití, zdrojů dat a požadavků na velikost dat začněte plánovat rozpočet sohledem na nákladové důsledky pro každý plánovaný scénář.
Ujistěte se, že váš rozpočet pokrývá náklady na příjem dat pro Microsoft Sentinel i Azure Log Analytics, všechny playbooky, které se nasadí atd.
Další informace naleznete v tématu:
Nominace inženýra nebo architekta vede nasazení na základě požadavků a časových os. Tento jednotlivec by měl vést nasazení a být hlavním kontaktním bodem vašeho týmu.
Požadavky na tenanta Azure
Před nasazením Microsoft Sentinelu se ujistěte, že váš tenant Azure splňuje následující požadavky:
Pro Azure Active Directory Azure a nasazování prostředků se vyžaduje potřebná licence a tenantnebo individuální účet s platným způsobem platby.
Jakmile máte tenanta, musíte mít předplatné Azure, abyste sledovali vytváření a fakturaci prostředků.
Jakmile máte předplatné, budete potřebovat příslušná oprávnění, abyste předplatné začali používat. Pokud používáte nové předplatné, správce nebo vyšší z tenanta AAD by měl být pro předplatné určen jako vlastník nebo přispěvatel.
- Pokud chcete zachovat co nejméně privilegovaný přístup, přiřaďte role na úrovni skupiny prostředků.
- Pokud chcete mít větší kontrolu nad oprávněními a přístupem, nastavte si vlastní role. Další informace najdete v tématu Řízení přístupu na základě role.
- K oddělení uživatelů a uživatelů zabezpečení navíc můžete chtít použít RBAC na úrovni prostředku nebo tabulky.
Další informace o dalších rolích a oprávněních podporovaných pro Microsoft Sentinel najdete v tématu Oprávnění ve službě Microsoft Sentinel.
Pracovní prostor služby Log Analytics je potřeba k umístění všech dat, která bude Microsoft Sentinel ingestovat a používat pro své detekce, analýzy a další funkce. Další informace najdete v osvědčených postupech architektury pracovních prostorů služby Microsoft Sentinel.
Tip
Při nastavování pracovního prostoru Microsoft Sentinelu vytvořte skupinu prostředků vyhrazenou pro Microsoft Sentinel a prostředky, které uživatelé Microsoft Sentinelu, včetně pracovního prostoru služby Log Analytics, playbooků, sešitů atd.
Vyhrazená skupina prostředků umožňuje, aby se oprávnění přiřadili jednou na úrovni skupiny prostředků a oprávnění se automaticky použila na všechny relevantní prostředky. Správa přístupu prostřednictvím skupiny prostředků pomáhá zajistit efektivní používání služby Microsoft Sentinel bez potenciálního vystavení nesprávných oprávnění. Bez skupiny prostředků pro Microsoft Sentinel, kde jsou prostředky rozptýlené mezi více skupinami prostředků, může uživatel nebo objekt služby zjistit, že kvůli nedostatečným oprávněním nemůže provést požadovanou akci nebo zobrazit data.
Pokud chcete implementovat více řízení přístupu k prostředkům podle úrovní, použijte další skupiny prostředků, ve kterých budou prostředky, ke kterým by měly mít přístup jenom tyto skupiny. Použití více úrovní skupin prostředků umožňuje oddělit přístup mezi těmito úrovněmi.