部署 Microsoft Sentinel 的必要條件
部署 Microsoft Sentinel 之前,請確定您的 Azure 租用戶符合本文中所列的需求。 本文是 Microsoft Sentinel 部署指南的一部分。
必要條件
需有 Microsoft Entra ID 授權和租用戶,或是具有有效付款條件的個別帳戶,才能存取 Azure 並部署資源。
Azure 訂用帳戶以便追蹤資源建立和計費。
指派相關權限給訂用帳戶。 針對新的訂用帳戶,指定擁有者/參與者。
- 若要維護最低權限存取權,請在資源群組層級指派角色。
- 若要進一步控制權限和存取權,請設定自訂角色。 如需詳細資訊,請參閱角色型存取控制 (RBAC)。
- 如需使用者和安全性使用者之間的額外區隔,請考慮資源內容或資料表層級 RBAC。
如需 Microsoft Sentinel 支援之其他角色和權限的詳細資訊,請參閱 Microsoft Sentinel 中的權限 (部分機器翻譯)。
需要 Log Analytics 工作區,才能存放 Microsoft Sentinel 擷取及分析偵測、分析和其他功能的資料。 如需詳細資訊,請參閱設計 Log Analytics 工作區架構。
Log Analytics 工作區不得套用資源鎖定,且工作區定價層必須是隨用隨付或承諾用量層。 啟用 Microsoft Sentinel 時,不支援 Log Analytics 舊版定價層和資源鎖定。 如需定價層的詳細資訊,請參閱 Microsoft Sentinel 的簡化定價層。
若要降低複雜度,建議為針對 Microsoft Sentinel 啟用的 Log Analytics 工作區使用專用資源群組。 此資源群組應該只包含 Microsoft Sentinel 使用的資源,包括 Log Analytics 工作區、任何劇本、活頁簿等等。
專用資源群組允許在資源群組層級指派權限一次,並將權限自動套用至相依資源。 使用專用資源群組時,Microsoft Sentinel 的存取管理有效率且較不容易獲得不當權限。 降低權限複雜度可確保使用者和服務主體具有完成動作所需的權限,並讓您更輕鬆地讓較不具特殊權限的角色無法存取不適當的資源。
實作額外的資源群組,以依階層控制存取。 使用額外的資源群組來存放只有具有較高權限的群組可存取的資源。 使用多層來更細微地分隔資源群組之間的存取權。
下一步
在本文中,您已檢閱可在部署 Microsoft Sentinel 之前協助規劃和準備的必要條件。