Microsoft Sentinelをデプロイする前に、Azure テナントがこの記事に記載されている要件を満たしていることを確認してください。 この記事は、Microsoft Sentinelのデプロイ ガイドの一部です。
ライセンスとサブスクリプションの要件
| 要件 | 説明 |
|---|---|
| ライセンス、テナント、または個々のアカウント | Azureにアクセスしてリソースをデプロイするには、Microsoft Entra IDライセンスとテナント、または有効な支払い方法を持つ個々のアカウントが必要です。 |
| Azure サブスクリプション | リソースの作成と課金を追跡するには、Azure サブスクリプションが必要です。 |
| アクセス許可 | サブスクリプション に関連するアクセス許可 を割り当てます。 新しいサブスクリプションの場合は、 所有者/共同作成者を指定します。 - 最小限の特権アクセスを維持するには、リソース グループ レベルでロールを割り当てます。 - アクセス許可とアクセスを詳細に制御するために、カスタム ロールを設定します。 詳細については、「 ロールベースのアクセス制御 (RBAC)」を参照してください。 - ユーザーとセキュリティ ユーザーの間で余分な分離を行う場合は、 リソース コンテキスト または テーブル レベルの RBAC を検討してください。 Microsoft Sentinelでサポートされているその他のロールとアクセス許可の詳細については、「Microsoft Sentinelのアクセス許可」を参照してください。 |
ワークスペースの要件
Log Analytics ワークスペースは、検出、分析、その他の機能を取り込んで分析Microsoft Sentinelデータを格納するために必要です。 詳細については、「 Log Analytics ワークスペース アーキテクチャの設計」を参照してください。
Log Analytics ワークスペースにはリソース ロックが適用されておらず、ワークスペースの価格レベルは従量課金制またはコミットメントレベルである必要があります。 Microsoft Sentinelを有効にする場合、Log Analytics の従来の価格レベルとリソース ロックはサポートされません。 価格レベルの詳細については、「Microsoft Sentinelの簡易価格レベル」を参照してください。
Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースでは、ネットワーク セキュリティ境界はサポートされていません。 ワークスペースでネットワーク セキュリティ境界が有効になっている場合、分析ルールは自動的に無効になります。
専用リソース グループ (推奨)
複雑さを軽減するために、Microsoft Sentinelに対して有効になっている Log Analytics ワークスペース用の専用リソース グループをお勧めします。 このリソース グループには、Log Analytics ワークスペース、プレイブック、ブックなど、Microsoft Sentinel使用するリソースのみが含まれている必要があります。
専用リソース グループを使用すると、アクセス許可をリソース グループ レベルで 1 回割り当て、アクセス許可を依存リソースに自動的に適用できます。 専用リソース グループを使用すると、Microsoft Sentinelのアクセス管理が効率的になり、不適切なアクセス許可を受けやすくなります。 アクセス許可の複雑さを軽減することで、ユーザーとサービス プリンシパルはアクションを完了するために必要なアクセス許可を持ち、権限の低いロールが不適切なリソースにアクセスできないようにすることができます。
階層別にアクセスを制御するための追加のリソース グループを実装します。 追加のリソース グループを使用して、アクセス許可が高いグループのみがアクセスできるリソースを収容します。 複数のレベルを使用して、リソース グループ間のアクセスをさらにきめ細かく分離します。
次の手順
この記事では、Microsoft Sentinelをデプロイする前に、計画と準備に役立つ前提条件を確認しました。