部署 Microsoft Sentinel 的必要條件
部署 Microsoft Sentinel 之前,請確定您的 Azure 租使用者符合本文所列的需求。 本文是 Microsoft Sentinel 的部署指南的 一部分。
必要條件
需要 Microsoft Entra ID 授權和租 使用者,或 具有有效付款條件 的個別帳戶,才能存取 Azure 並部署資源。
擁有租使用者之後,您必須有 Azure 訂用帳戶 來追蹤資源建立和計費。
訂用帳戶之後,您將需要 相關許可權 才能開始使用您的訂用帳戶。 如果您使用新的訂用帳戶,則應該將 Microsoft Entra 租使用者的系統管理員或更新版本指定為 訂用帳戶的擁有者/參與者 。
- 若要維護可用的最低許可權存取權,請在資源群組層級指派角色。
- 若要進一步控制許可權和存取權,請設定自訂角色。 如需詳細資訊,請參閱 角色型存取控制 。
- 如需使用者與安全性使用者之間的額外區隔,您可能想要使用 資源內容 或 資料表層級 RBAC 。
如需 Microsoft Sentinel 所支援之其他角色和許可權的詳細資訊,請參閱 Microsoft Sentinel 中的許可權。
需要 Log Analytics 工作區 ,才能容納 Microsoft Sentinel 將內嵌和使用其偵測、分析和其他功能的所有資料。 如需詳細資訊,請參閱 Microsoft Sentinel 工作區架構最佳做法 。 Microsoft Sentinel 不支援已套用資源鎖定的 Log Analytics 工作區。
建議您在設定 Microsoft Sentinel 工作區時, 建立專用於 Microsoft Sentinel 的資源群組 ,以及 Microsoft Sentinel 使用的資源,包括 Log Analytics 工作區、任何劇本、活頁簿等等。
專用資源群組允許在資源群組層級指派許可權一次,且許可權會自動套用至任何相關資源。 透過資源群組管理存取有助於確保您有效率地使用 Microsoft Sentinel,而不會發出不正確的許可權。 如果沒有 Microsoft Sentinel 的資源群組,其中資源分散在多個資源群組之間,使用者或服務主體可能會發現自己因為許可權不足而無法執行必要的動作或檢視資料。
若要依層級實作對資源的更多存取控制,請使用額外的資源群組來存放應該只由這些群組存取的資源。 使用多層資源群組可讓您分隔這些層之間的存取權。
下一步
在本文中,您已檢閱可協助您在部署 Microsoft Sentinel 之前規劃及準備的必要條件。