Activiteiten vóór de implementatie en vereisten voor het implementeren van Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
In dit artikel worden de activiteiten vóór de implementatie en vereisten voor het implementeren van Microsoft Sentinel beschreven.
Activiteiten vóór de implementatie
Voordat u Microsoft Sentinel implementeert, raden we u aan de volgende stappen uit te voeren om uw implementatie zo snel mogelijk te richten op het bieden van maximale waarde.
Bepaal welke gegevensbronnen u nodig hebt en wat de vereisten zijn voor de grootte van de gegevens, om u te helpen het budget en de tijdlijn van uw implementatie nauwkeurig te projecten.
U kunt deze informatie bepalen tijdens de beoordeling van uw bedrijfsgebruikscase of door een huidige SIEM te evalueren die u al hebt. Als u al een SIEM hebt, analyseert u uw gegevens om te begrijpen welke gegevensbronnen de meeste waarde bieden en moeten worden opgenomen in Microsoft Sentinel.
Ontwerp uw Microsoft Sentinel-werkruimte. Overweeg parameters zoals:
- Of u nu één of meerdere tenants wilt gebruiken
- Alle nalevingsvereisten die u hebt voor het verzamelen en opslaan van gegevens
- Toegang tot Microsoft Sentinel-gegevens controleren
Zie Best practices voor werkruimtearchitectuur en Voorbeeldwerkruimteontwerpen voor meer informatie.
Nadat de bedrijfsgebruiksscenario's, gegevensbronnen en vereisten voor gegevensgrootte zijn geïdentificeerd, begint u met het plannen van uw budget,rekening houden met de kosten voor elk gepland scenario.
Zorg ervoor dat uw budget de kosten dekt van gegevensingestie voor zowel Microsoft Sentinel als Azure Log Analytics, playbooks die worden geïmplementeerd, en meer.
Zie voor meer informatie:
Een technicus of architect benoemen om de implementatie te leiden, op basis van vereisten en tijdlijnen. Deze persoon moet de implementatie leiden en het belangrijkste contactpunt in uw team zijn.
Vereisten voor Azure-tenants
Voordat u Microsoft Sentinel implementeert, moet u ervoor zorgen dat uw Azure-tenant aan de volgende vereisten voldoet:
Een Azure Active Directory en tenant,of een afzonderlijk accountmet een geldige betalingswijze, zijn vereist voor toegang tot Azure en het implementeren van resources.
Nadat u een tenant hebt, moet u een Azure-abonnement hebben om het maken en factureren van resources bij te houden.
Nadat u een abonnement hebt, hebt u de relevante machtigingen nodig om uw abonnement te gaan gebruiken. Als u een nieuw abonnement gebruikt, moet een beheerder of hoger van de AAD tenant worden aangewezen als de eigenaar/inzender voor het abonnement.
- Als u de minst bevoegde toegang wilt behouden, wijst u rollen toe op het niveau van de resourcegroep.
- Stel aangepaste rollen in voor meer controle over machtigingen en toegang. Zie Op rollen gebaseerd toegangsbeheer voor meer informatie.
- Voor extra scheiding tussen gebruikers en beveiligingsgebruikers kunt u resourcecontext of RBAC op tabelniveau gebruiken.
Zie Machtigingen in Microsoft Sentinel voor meer informatie over andere rollen en machtigingen die worden ondersteund voor Microsoft Sentinel.
Een Log Analytics-werkruimte is vereist voor alle gegevens die Door Microsoft Sentinel worden opgenomen en gebruikt voor detecties, analyses en andere functies. Zie Best practices voor Microsoft Sentinel-werkruimtearchitectuur voor meer informatie.
Tip
Wanneer u uw Microsoft Sentinel-werkruimte instelt, maakt u een resourcegroep die is toegewezen aan Microsoft Sentinel en de resources die Microsoft Sentinel-gebruikers gebruiken, waaronder de Log Analytics-werkruimte, playbooks, werkmappen, en meer.
Met een toegewezen resourcegroep kunnen machtigingen eenmaal worden toegewezen, op het niveau van de resourcegroep, waarbij machtigingen automatisch worden toegepast op alle relevante resources. Als u toegang beheert via een resourcegroep, zorgt u ervoor dat u Microsoft Sentinel efficiënt gebruikt zonder dat u mogelijk onjuiste machtigingen geeft. Zonder een resourcegroep voor Microsoft Sentinel, waarbij resources zijn verspreid over meerdere resourcegroepen, kan een gebruiker of service-principal mogelijk geen vereiste actie uitvoeren of gegevens weergeven vanwege onvoldoende machtigingen.
Als u meer toegangsbeheer voor resources per laag wilt implementeren, gebruikt u extra resourcegroepen voor de resources die alleen toegankelijk moeten zijn voor die groepen. Door meerdere lagen van resourcegroepen te gebruiken, kunt u de toegang tussen deze lagen scheiden.