Conditions préalables au déploiement de Microsoft Sentinel
Avant de déployer Microsoft Sentinel, assurez-vous que votre locataire Azure répond aux exigences répertoriées dans cet article. Cet article fait partie du Guide de déploiement de Microsoft Sentinel.
Prérequis
Une licence et un locataire Microsoft Entra ID ou un compte individuel avec un mode de paiement valide sont requis pour accéder à Azure et déployer des ressources.
Un abonnement Azure pour suivre la création et la facturation des ressources.
Attribuez des autorisations pertinentes à votre abonnement. Pour les nouveaux abonnements, désignez un propriétaire/contributeur.
- Pour conserver l’accès le moins privilégié, attribuez des rôles au niveau du groupe de ressources.
- Pour plus de contrôle sur les autorisations et l’accès, configurez des rôles personnalisés. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC).
- Pour séparer davantage les utilisateurs des utilisateurs de sécurité, pensez à utiliser le contrôle d’accès en fonction du rôle dans le contexte de la ressource ou au niveau de la table.
Pour plus d’informations sur les autres rôles et autorisations pris en charge pour Microsoft Sentinel, consultez Autorisations dans Microsoft Sentinel.
Un espace de travail Log Analytics est requis pour héberger les données que Microsoft Sentinel ingère et analyse pour les détections, l’analytique et d’autres fonctionnalités. Pour en savoir plus, reportez-vous à Concevoir une architecture d'espace de travail Log Analytics.
L’espace de travail Log Analytics ne doit pas avoir de verrouillage de ressources appliqué et le niveau tarifaire de l’espace de travail doit être un paiement à l’utilisation ou un niveau d’engagement. Les anciens niveaux de tarification et les verrous de ressources de Log Analytics ne sont pas pris en charge lors de l’activation de Microsoft Sentinel. Pour plus d'informations sur les niveaux de tarification, consultez Niveaux de tarification simplifiés pour Microsoft Sentinel.
Pour réduire la complexité, nous vous recommandons d’utiliser un groupe de ressources dédié pour votre espace de travail Log Analytics activé pour Microsoft Sentinel. Ce groupe de ressources ne doit contenir que les ressources utilisées par Microsoft Sentinel, notamment l’espace de travail Log Analytics, les playbooks, les classeurs, etc.
Un groupe de ressources dédié permet d’attribuer des autorisations en une seule opération, au niveau du groupe de ressources, avec application automatique des autorisations aux ressources dépendantes. Avec un groupe de ressources dédié, la gestion des accès de Microsoft Sentinel est efficace et moins sujette à des autorisations incorrectes. Réduire la complexité des autorisations garantit que les utilisateurs et les principaux de service disposent des autorisations nécessaires pour effectuer des actions et permet d’empêcher plus facilement les rôles les moins privilégiés d’accéder à des ressources inappropriées.
Implémentez des groupes de ressources supplémentaires pour contrôler l’accès par niveaux. Utilisez les groupes de ressources supplémentaires pour héberger les ressources uniquement accessibles par les groupes disposant d’autorisations supérieures. Utilisez plusieurs niveaux pour séparer l’accès entre les groupes de ressources de manière encore plus précise.
Étapes suivantes
Dans cet article, vous allez examiner les prérequis qui vous aideront à planifier et à vous préparer avant le déploiement de Microsoft Sentinel.