Поделиться через


Предварительные требования для развертывания Microsoft Sentinel

Перед развертыванием Microsoft Sentinel убедитесь, что клиент Azure соответствует требованиям, указанным в этой статье. Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Необходимые компоненты

  • Для доступа к Azure и развертывания ресурсов требуется лицензия и клиент Microsoft Entra ID или отдельная учетная запись с допустимым методом оплаты.

  • Подписка Azure для отслеживания создания ресурсов и выставления счетов.

  • Назначьте соответствующие разрешения вашей подписке. Для новых подписок указать владельца или участника.

    • Чтобы обеспечить минимальный привилегированный доступ, назначьте роли на уровне группы ресурсов.
    • Чтобы контролировать доступ и разрешения, создайте настраиваемые роли. Дополнительные сведения см. в разделе "Управление доступом на основе ролей" (RBAC).
    • Для дополнительного разделения между пользователями и пользователями безопасности рассмотрите возможность использования контекста ресурсов или RBAC на уровне таблицы.

    Дополнительные сведения о ролях и разрешениях, поддерживаемых для Microsoft Sentinel, см. в статье Разрешения в Microsoft Sentinel.

  • Рабочая область Log Analytics необходима для размещения данных, которые Microsoft Sentinel приема и анализа для обнаружения, аналитики и других функций. Дополнительные сведения см. в разделе "Проектирование архитектуры рабочей области Log Analytics".

  • Рабочая область Log Analytics не должна применять блокировку ресурсов, и ценовая категория рабочей области должна быть оплатой по мере использования или уровнем обязательств. Устаревшие ценовые категории Log Analytics и блокировки ресурсов не поддерживаются при включении Microsoft Sentinel. Дополнительные сведения о ценовых категориях см. в статье "Упрощенная ценовая категория" для Microsoft Sentinel.

  • Чтобы снизить сложность, рекомендуется использовать выделенную группу ресурсов для рабочей области Log Analytics, включенную для Microsoft Sentinel. Эта группа ресурсов должна содержать только те ресурсы, которые использует Microsoft Sentinel, включая рабочую область Log Analytics, все сборники схем, книги и т. д.

    Выделенная группа ресурсов позволяет назначать разрешения один раз на уровне группы ресурсов, при этом разрешения автоматически применяются к зависимым ресурсам. С выделенной группой ресурсов управление доступом Microsoft Sentinel эффективно и менее подвержено неправильному разрешению. Снижение сложности разрешений гарантирует, что пользователи и субъекты-службы имеют разрешения, необходимые для выполнения действий, и упрощают сохранение менее привилегированных ролей от доступа к неуместным ресурсам.

    Реализуйте дополнительные группы ресурсов для управления доступом по уровням. Используйте дополнительные группы ресурсов для размещения ресурсов, доступных только группами с более высокими разрешениями. Используйте несколько уровней для разделения доступа между группами ресурсов еще более детально.

Следующие шаги

В этой статье описаны предварительные требования, которые помогут вам спланировать и подготовиться перед развертыванием Microsoft Sentinel.