Wymagania wstępne dotyczące wdrażania usługi Microsoft Sentinel

  • Artykuł

Przed wdrożeniem usługi Microsoft Sentinel upewnij się, że dzierżawa platformy Azure spełnia wymagania wymienione w tym artykule. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Wymagania wstępne

  • Aby uzyskać dostęp do platformy Azure i wdrożyć zasoby, wymagana jest licencja identyfikatora Entra firmy Microsoft i dzierżawa lub indywidualne konto z prawidłową formą płatności.

  • Subskrypcja platformy Azure do śledzenia tworzenia zasobów i rozliczeń.

  • Przypisz odpowiednie uprawnienia do subskrypcji. W przypadku nowych subskrypcji należy wyznaczyć właściciela/współautora.

    • Aby zachować najmniej uprzywilejowany dostęp, przypisz role na poziomie grupy zasobów.
    • Aby uzyskać większą kontrolę nad uprawnieniami i dostępem, skonfiguruj role niestandardowe. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC).
    • Aby uzyskać dodatkową separację między użytkownikami i użytkownikami zabezpieczeń, rozważ użycie kontroli dostępu opartej na rolach na poziomie zasobu lub tabeli.

    Aby uzyskać więcej informacji na temat innych ról i uprawnień obsługiwanych w usłudze Microsoft Sentinel, zobacz Uprawnienia w usłudze Microsoft Sentinel.

  • Obszar roboczy usługi Log Analytics jest wymagany do przechowywania danych pozyskiwanych i analizowanych przez usługę Microsoft Sentinel pod kątem wykrywania, analizy i innych funkcji. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel workspace architecture best practices (Najlepsze rozwiązania dotyczące architektury obszaru roboczego usługi Microsoft Sentinel).

  • Obszar roboczy usługi Log Analytics nie może mieć zastosowanej blokady zasobów, a warstwa cenowa obszaru roboczego musi być płatna zgodnie z rzeczywistym użyciem lub warstwa zobowiązania. Starsze warstwy cenowe i blokady zasobów usługi Log Analytics nie są obsługiwane podczas włączania usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat warstw cenowych, zobacz Uproszczone warstwy cenowe dla usługi Microsoft Sentinel.

  • Aby zmniejszyć złożoność, zalecamy dedykowaną grupę zasobów dla obszaru roboczego usługi Microsoft Sentinel. Ta grupa zasobów powinna zawierać tylko zasoby używane przez usługę Microsoft Sentinel, w tym obszar roboczy usługi Log Analytics, wszystkie podręczniki, skoroszyty itd.

    Dedykowana grupa zasobów umożliwia przypisanie uprawnień raz na poziomie grupy zasobów z uprawnieniami automatycznie zastosowanymi do zasobów zależnych. W przypadku dedykowanej grupy zasobów zarządzanie dostępem do usługi Microsoft Sentinel jest wydajne i mniej podatne na niewłaściwe uprawnienia. Zmniejszenie złożoności uprawnień gwarantuje, że użytkownicy i jednostki usługi mają uprawnienia wymagane do wykonania akcji i ułatwiają uzyskiwanie dostępu do nieodpowiednich zasobów przez mniej uprzywilejowane role.

    Zaimplementuj dodatkowe grupy zasobów, aby kontrolować dostęp według warstw. Użyj dodatkowych grup zasobów, aby pomieścić zasoby dostępne tylko dla grup z wyższymi uprawnieniami. Użyj wielu warstw, aby oddzielić dostęp między grupami zasobów jeszcze bardziej szczegółowie.

Następne kroki

W tym artykule zapoznaliśmy się z wymaganiami wstępnymi, które ułatwiają planowanie i przygotowywanie przed wdrożeniem usługi Microsoft Sentinel.

Przegląd najlepszych rozwiązań dotyczących architektury obszaru roboczego