Vereisten voor het implementeren van Microsoft Sentinel

  • Artikel

Voordat u Microsoft Sentinel implementeert, moet u ervoor zorgen dat uw Azure-tenant voldoet aan de vereisten die in dit artikel worden vermeld. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Vereisten

  • Een Microsoft Entra ID-licentie en -tenant, of een afzonderlijk account met een geldige betalingswijze, zijn vereist voor toegang tot Azure en het implementeren van resources.

  • Een Azure-abonnement om het maken en factureren van resources bij te houden.

  • Wijs relevante machtigingen toe aan uw abonnement. Voor nieuwe abonnementen wijst u een eigenaar/inzender aan.

    • Als u de minst bevoegde toegang wilt behouden, wijst u rollen toe op resourcegroepniveau.
    • Voor meer controle over machtigingen en toegang moet u aangepaste rollen instellen. Zie op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
    • Voor extra scheiding tussen gebruikers en beveiligingsgebruikers kunt u RBAC op resourcecontext of tabelniveau overwegen.

    Zie Machtigingen in Microsoft Sentinel voor meer informatie over andere rollen en machtigingen die worden ondersteund voor Microsoft Sentinel.

  • Een Log Analytics-werkruimte is vereist om de gegevens te bevatten die Microsoft Sentinel opneemt en analyseert voor detectie, analyse en andere functies. Zie best practices voor de architectuur van Microsoft Sentinel-werkruimten voor meer informatie.

  • De Log Analytics-werkruimte mag geen resourcevergrendeling hebben toegepast en de prijscategorie voor de werkruimte moet Betalen per gebruik of een toezeggingslaag zijn. Verouderde prijscategorieën en resourcevergrendelingen van Log Analytics worden niet ondersteund bij het inschakelen van Microsoft Sentinel. Zie Vereenvoudigde prijscategorieën voor Microsoft Sentinel voor meer informatie over prijscategorieën.

  • Om de complexiteit te verminderen, raden we een toegewezen resourcegroep aan voor uw Microsoft Sentinel-werkruimte. Deze resourcegroep mag alleen de resources bevatten die door Microsoft Sentinel worden gebruikt, waaronder de Log Analytics-werkruimte, playbooks, werkmappen enzovoort.

    Met een toegewezen resourcegroep kunnen machtigingen eenmaal worden toegewezen op het niveau van de resourcegroep, waarbij machtigingen automatisch worden toegepast op afhankelijke resources. Met een toegewezen resourcegroep is toegangsbeheer van Microsoft Sentinel efficiënt en minder gevoelig voor onjuiste machtigingen. Het verminderen van de complexiteit van machtigingen zorgt ervoor dat gebruikers en service-principals over de vereiste machtigingen beschikken om acties te voltooien en maakt het eenvoudiger om minder bevoorrechte rollen toegang te geven tot ongepaste resources.

    Implementeer extra resourcegroepen om de toegang per laag te beheren. Gebruik de extra resourcegroepen om resources alleen toegankelijk te maken voor groepen met hogere machtigingen. Gebruik meerdere lagen om de toegang tussen resourcegroepen nog gedetailleerder te scheiden.

Volgende stappen

In dit artikel hebt u de vereisten bekeken die u helpen bij het plannen en voorbereiden voordat u Microsoft Sentinel implementeert.

Best practices voor werkruimtearchitectuur bekijken