Förutsättningar för att distribuera Microsoft Sentinel

  • Artikel

Innan du distribuerar Microsoft Sentinel kontrollerar du att din Azure-klientorganisation uppfyller kraven som anges i den här artikeln. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.

Förutsättningar

  • En Microsoft Entra-ID-licens och klientorganisation, eller ett enskilt konto med en giltig betalningsmetod, krävs för att få åtkomst till Azure och distribuera resurser.

  • En Azure-prenumeration för att spåra skapande och fakturering av resurser.

  • Tilldela relevant behörighet till din prenumeration. För nya prenumerationer anger du en ägare/deltagare.

    • Om du vill behålla den minst privilegierade åtkomsten tilldelar du roller på resursgruppsnivå.
    • Om du vill ha mer kontroll över behörigheter och åtkomst konfigurerar du anpassade roller. Mer information finns i Rollbaserad åtkomstkontroll (RBAC).
    • För extra separation mellan användare och säkerhetsanvändare bör du överväga RBAC på resurskontext eller tabellnivå.

    Mer information om andra roller och behörigheter som stöds för Microsoft Sentinel finns i Behörigheter i Microsoft Sentinel.

  • En Log Analytics-arbetsyta krävs för att hysa de data som Microsoft Sentinel matar in och analyserar för identifieringar, analyser och andra funktioner. Mer information finns i Metodtips för Microsoft Sentinel-arbetsytearkitektur.

  • Log Analytics-arbetsytan får inte ha ett resurslås tillämpat och prisnivån för arbetsytan måste vara Betala per användning eller en åtagandenivå. Äldre prisnivåer och resurslås i Log Analytics stöds inte när du aktiverar Microsoft Sentinel. Mer information om prisnivåer finns i Förenklade prisnivåer för Microsoft Sentinel.

  • För att minska komplexiteten rekommenderar vi en dedikerad resursgrupp för din Microsoft Sentinel-arbetsyta. Den här resursgruppen bör endast innehålla de resurser som Microsoft Sentinel använder, inklusive Log Analytics-arbetsytan, spelböcker, arbetsböcker och så vidare.

    En dedikerad resursgrupp tillåter att behörigheter tilldelas en gång, på resursgruppsnivå, med behörigheter som tillämpas automatiskt på beroende resurser. Med en dedikerad resursgrupp är åtkomsthantering av Microsoft Sentinel effektiv och mindre känslig för felaktiga behörigheter. Att minska behörighetskomplexiteten säkerställer att användare och tjänstens huvudnamn har de behörigheter som krävs för att slutföra åtgärder och gör det enklare att hindra mindre privilegierade roller från att komma åt olämpliga resurser.

    Implementera extra resursgrupper för att styra åtkomsten efter nivåer. Använd de extra resursgrupperna för att endast hysa resurser som är tillgängliga för grupper med högre behörigheter. Använd flera nivåer för att separera åtkomsten mellan resursgrupper ännu mer detaljerat.

Nästa steg

I den här artikeln har du gått igenom de förutsättningar som hjälper dig att planera och förbereda innan du distribuerar Microsoft Sentinel.

Granska metodtips för arbetsytearkitektur