Aktiviteter före distribution och förutsättningar för att distribuera Microsoft Sentinel
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
I den här artikeln beskrivs aktiviteter före distribution och förutsättningar för att distribuera Microsoft Sentinel.
Aktiviteter före distribution
Innan du distribuerar Microsoft Sentinel rekommenderar vi att du vidtar följande steg för att fokusera distributionen på att tillhandahålla maximalt värde så snart som möjligt.
Bestäm vilka datakällor du behöver och kraven på datastorlek som hjälper dig att korrekt projicera distributionens budget och tidslinje.
Du kan fastställa den här informationen under granskningen av ditt företags användningsfall eller genom att utvärdera en aktuell SIEM som du redan har på plats. Om du redan har en SIEM på plats analyserar du dina data för att förstå vilka datakällor som ger mest värde och ska matas in i Microsoft Sentinel.
Utforma din Microsoft Sentinel-arbetsyta. Överväg parametrar som:
- Oavsett om du ska använda en enda klient eller flera klienter
- Eventuella efterlevnadskrav för datainsamling och lagring
- Så här styr du åtkomsten till Microsoft Sentinel-data
Mer information finns i Metodtips för arbetsytearkitektur och Exempel på arbetsytedesign.
När du har identifierat användningsfall för verksamheten, datakällor och krav på datastorlek börjar du planera din budgetmed hänsyn till kostnadskonsekvenser för varje planerat scenario.
Se till att din budget täcker kostnaden för datainmatning för både Microsoft Sentinel och Azure Log Analytics, alla spelböcker som kommer att distribueras och så vidare.
Mer information finns i:
Nominera en tekniker eller arkitekt som leder distributionen baserat på krav och tidslinjer. Den här personen bör leda distributionen och vara den huvudsakliga kontaktpunkten i ditt team.
Krav för Azure-klientorganisation
Innan du distribuerar Microsoft Sentinel kontrollerar du att din Azure-klientorganisation har följande krav:
En Azure Active Directory licens och klientorganisation,eller ett enskilt konto med en giltig betalningsmetod , krävs för att få åtkomst till Azure och distribuera resurser.
När du har en klientorganisation måste du ha en Azure-prenumeration för att kunna spåra resursskapande och fakturering.
När du har en prenumeration behöver du de relevanta behörigheterna för att börja använda din prenumeration. Om du använder en ny prenumeration ska en administratör eller högre från AAD-klientorganisationen anges som ägare/deltagare för prenumerationen.
- Tilldela roller på resursgruppens nivå för att upprätthålla den lägsta tillgängliga åtkomsten.
- Om du vill ha mer kontroll över behörigheter och åtkomst kan du konfigurera anpassade roller. Mer information finns i Rollbaserad åtkomstkontroll.
- Om du vill ha en extra uppdelning mellan användare och säkerhetsanvändare kanske du vill använda RBAC på resurskontext eller tabellnivå.
Mer information om andra roller och behörigheter som stöds för Microsoft Sentinel finns i Behörigheter i Microsoft Sentinel.
En Log Analytics-arbetsyta krävs för att lagra alla data som Microsoft Sentinel kommer att mata in och använda för identifieringar, analyser och andra funktioner. Mer information finns i Metodtips för Microsoft Sentinel-arbetsytearkitektur.
Tips
När du ställer in din Microsoft Sentinel-arbetsyta skapar du en resursgrupp som är dedikerad till Microsoft Sentinel och de resurser som Microsoft Sentinel-användare, inklusive Log Analytics-arbetsytan, spelböcker, arbetsböcker och så vidare.
Med en dedikerad resursgrupp kan behörigheter tilldelas en gång, på resursgruppsnivå, med behörigheter som tillämpas automatiskt på alla relevanta resurser. Att hantera åtkomst via en resursgrupp hjälper till att säkerställa att du använder Microsoft Sentinel effektivt utan att potentiellt utfärda felaktiga behörigheter. Utan en resursgrupp för Microsoft Sentinel, där resurserna är utspridda mellan flera resursgrupper, kan det hända att en användare eller tjänstens huvudnamn inte kan utföra en nödvändig åtgärd eller visa data på grund av otillräcklig behörighet.
Om du vill implementera mer åtkomstkontroll för resurser efter nivåer använder du extra resursgrupper för att insera de resurser som endast ska användas av dessa grupper. Genom att använda flera nivåer av resursgrupper kan du separera åtkomsten mellan dessa nivåer.