Microsoft Sentinel をデプロイするための前提条件
Microsoft Sentinel をデプロイする前に、Azure テナントがこの記事に記載されている要件を満たしていることを確認してください。 この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。
前提条件
Azure にアクセスしてリソースをデプロイするには、Microsoft Entra ID ライセンスとテナントまたは有効な支払い方法を持つ個々のアカウントが必要です。
リソースの作成と請求を追跡するための Azure サブスクリプション。
関連アクセス許可をサブスクリプションに割り当てます。 新しいサブスクリプションの場合は、所有者/共同作成者を指定します。
- 最小限の特権アクセスを維持するには、リソース グループ レベルでロールを割り当てます。
- アクセス許可とアクセスをより詳細に制御するには、カスタム ロールを設定します。 詳細については、ロールベースのアクセス制御 (RBAC) に関するページを参照してください。
- ユーザーとセキュリティ ユーザー間を追加で分離する場合は、リソース コンテキストまたはテーブルレベルの RBAC を考慮してください。
Microsoft Azure Sentinel でサポートされている他のロールとアクセス許可の詳細については、「Microsoft Azure Sentinel のアクセス許可」を参照してください。
検出、分析、その他の機能のために Microsoft Sentinel によって取り込まれ、分析されるデータを格納するには、Log Analytics ワークスペースが必要です。 詳細については、「Microsoft Sentinel ワークスペース アーキテクチャのベスト プラクティス」を参照してください。
Log Analytics ワークスペースにリソース ロックが適用されておらず、ワークスペースの価格レベルは従量課金制またはコミットメント レベルである必要があります。 Microsoft Sentinel を有効にする場合、Log Analytics の従来の価格レベルとリソース ロックはサポートされません。 価格レベルの詳細については、Microsoft Sentinel の簡略化された価格レベルに関する記事を参照してください。
複雑さを軽減するために、Microsoft Sentinel ワークスペース専用のリソース グループをお勧めします。 このリソース グループには、Log Analytics ワークスペース、プレイブック、ブックなど、Microsoft Sentinel で使用されるリソースのみを含める必要があります。
専用リソース グループを使用すると、アクセス許可をリソース グループ レベルで 1 回割り当て、依存リソースにアクセス許可を自動的に適用できます。 専用リソース グループを使用すると、Microsoft Sentinel のアクセス管理が効率的になり、不適切なアクセス許可が発生しにくくなります。 アクセス許可の複雑さを軽減することで、ユーザーとサービス プリンシパルにはアクションを完了するために必要なアクセス許可が確保され、特権の低いロールで不適切なリソースにアクセスできないようにすることが容易になります。
追加のリソース グループを実装して、階層別にアクセスを制御します。 追加のリソース グループを使用して、アクセス許可が高いグループのみがアクセスできるリソースを格納します。 複数の階層を使用して、リソース グループ間のアクセスをさらに細かく分離します。
次のステップ
この記事では、Microsoft Sentinel をデプロイする前の計画と準備に役立つ前提条件について確認しました。