你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在部署Microsoft Sentinel之前,请确保Azure租户满足本文中列出的要求。 本文是Microsoft Sentinel部署指南的一部分。
许可和订阅要求
| 要求 | 说明 |
|---|---|
| 许可、租户或个人帐户 | 访问Azure和部署资源需要Microsoft Entra ID许可证和租户或具有有效付款方式的个人帐户。 |
| Azure 订阅 | 需要Azure订阅才能跟踪资源创建和计费。 |
| 权限 | 为订阅分配 相关权限 。 对于新订阅,请指定所有者/参与者。 - 若要保持最低特权访问,请在资源组级别分配角色。 - 若要更好地控制权限和访问权限,请设置自定义角色。 有关详细信息,请参阅 基于角色的访问控制 (RBAC) 。 - 若要在用户和安全用户之间进行额外的分离,请考虑 资源上下文 或 表级 RBAC。 有关Microsoft Sentinel支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限。 |
工作区要求
需要 Log Analytics 工作区来容纳Microsoft Sentinel引入和分析的检测、分析和其他功能的数据。 有关详细信息,请参阅 设计 Log Analytics 工作区体系结构。
Log Analytics 工作区不得应用资源锁,并且工作区定价层必须是即用即付或承诺层。 启用 Microsoft Sentinel 时,不支持 Log Analytics 旧版定价层和资源锁。 有关定价层的详细信息,请参阅简化Microsoft Sentinel定价层。
为Microsoft Sentinel启用的 Log Analytics 工作区不支持网络安全外围。 如果在工作区上启用了网络安全外围,则会自动禁用分析规则。
建议 (专用资源组)
为了降低复杂性,我们建议为 Log Analytics 工作区启用专用资源组,以便Microsoft Sentinel。 此资源组应仅包含Microsoft Sentinel使用的资源,包括 Log Analytics 工作区、任何 playbook、工作簿等。
专用资源组允许在资源组级别分配一次权限,权限会自动应用于依赖资源。 使用专用资源组时,Microsoft Sentinel的访问管理效率高,并且不容易出现不当权限。 降低权限复杂性可确保用户和服务主体具有完成操作所需的权限,并使较低特权角色能够更轻松地访问不适当的资源。
实现额外的资源组以按层控制访问权限。 使用额外的资源组来容纳只有具有更高权限的组才能访问的资源。 使用多个层可以更精细地分隔资源组之间的访问。
后续步骤
在本文中,你查看了在部署Microsoft Sentinel之前帮助你规划和准备的先决条件。