在部署 Microsoft Sentinel 之前,請確保你的 Azure 租戶符合本文所列的要求。 本文是 Microsoft Sentinel 部署指南的一部分。
授權與訂閱要求
| 需求 | 描述 |
|---|---|
| 授權、租戶或個人帳號 | 存取 Azure 及部署資源需持有 Microsoft Entra ID 授權與租戶,或擁有有效付款方式的個人帳號。 |
| Azure 訂用帳戶 | 追蹤資源建立與帳單需 Azure 訂閱。 |
| 權限 | 為你的訂閱分配 相關權限 。 對於新訂閱,請指定 擁有者或貢獻者。 - 為維持權限最低的存取權限,在資源群組層級指派角色。 - 為了更好地控制權限與存取,請設定自訂角色。 欲了解更多資訊,請參閱 RBAC) (基於 角色的存取控制 。 - 為了讓使用者與安全使用者之間有更多分離,可以考慮資源 上下文 或 資料表層級的 RBAC。 欲了解更多支援 Microsoft Sentinel 的其他角色與權限資訊,請參閱 Microsoft Sentinel 中的權限。 |
工作空間需求
需要一個日誌分析工作空間來存放 Microsoft Sentinel 所接收並分析的資料,以進行偵測、分析及其他功能。 欲了解更多資訊,請參閱 設計日誌分析工作空間架構。
Log Analytics 工作區不得有資源鎖定,且工作區定價層級必須是隨用付費或承諾層級。 啟用 Microsoft Sentinel 時不支援 Log Analytics 的舊有定價層級和資源鎖定。 欲了解更多定價層級資訊,請參閱 Microsoft Sentinel 的簡化定價層級。
Microsoft Sentinel 啟用的 Log Analytics 工作空間不支援網路安全邊界。 若工作區啟用網路安全邊界,分析規則會自動停用。
(推薦設立專門的資源小組)
為了降低複雜度,我們建議為您的 Log Analytics 工作空間設立專門的資源群組,並啟用 Microsoft Sentinel 版本。 此資源群組應僅包含 Microsoft Sentinel 使用的資源,包括 Log Analytics 工作區、任何操作手冊、工作手冊等。
專用資源群組允許在資源群組層級分配一次權限,權限會自動套用給相依資源。 有了專門的資源小組,Microsoft Sentinel 的存取管理更有效率,且不易出現不當權限。 降低權限複雜度能確保使用者與服務主體擁有完成動作所需的權限,並更容易防止權限較低的角色存取不當資源。
實施額外的資源群組來控制分層的存取權限。 利用額外的資源群組來存放只有權限較高群組才能存取的資源。 用多層級更細緻地區分資源群組的存取權限。
後續步驟
在本文中,你回顧了在部署 Microsoft Sentinel 前,協助你規劃與準備的前置條件。