Voraussetzungen zur Bereitstellung von Microsoft Sentinel

Stellen Sie vor der Bereitstellung von Microsoft Sentinel sicher, dass Ihr Azure-Mandant die in diesem Artikel aufgeführten Anforderungen erfüllt. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.

Voraussetzungen

  • Für den Zugriff auf Azure und die Bereitstellung von Ressourcen sind eine Microsoft Entra ID-Lizenz und ein -Mandant oder ein einzelnes Konto mit einer gültigen Zahlungsmethode erforderlich.

  • Ein Azure-Abonnement, um die Erstellung und Abrechnung der Ressourcen nachverfolgen zu können.

  • Weisen Sie Ihrem Abonnement die entsprechenden Berechtigungen zu. Legen Sie für neue Abonnements einen Besitzer/Mitwirkendenfest.

    • Weisen Sie Rollen auf Ressourcengruppenebene zu, um den Zugriff mit den geringsten Berechtigungen aufrechtzuerhalten.
    • Sie können benutzerdefinierte Rollen festlegen, um mehr Kontrolle über die Berechtigungen und den Zugriff zu erhalten. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC).
    • Für eine zusätzliche Trennung zwischen Benutzern und Sicherheitsbenutzern empfiehlt sich RBAC auf Ressourcenkontext- oder Tabellenebene.

    Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter Berechtigungen in Microsoft Sentinel.

  • Ein Log Analytics-Arbeitsbereich ist erforderlich, um die Daten zu speichern, um die Daten zu speichern, die Microsoft Sentinel erfasst und für Erkennungen, Analysen und andere Features analysiert. Für weitere Informationen, siehe Entwerfen Sie eine Log Analytics Arbeitsbereich-Architektur.

  • Auf den Log Analytics-Arbeitsbereich darf keine Ressourcensperre angewandt werden, und der Tarif für den Arbeitsbereich muss auf nutzungsbasierter Bezahlung basieren oder ein Prepaidtarif sein. Legacy-Tarife und -Ressourcensperren für Log Analytics werden nicht unterstützt, wenn Sie Microsoft Sentinel aktivieren. Weitere Informationen zu Tarifen finden Sie unter Vereinfachte Tarife für Microsoft Sentinel.

  • Um die Komplexität zu verringern, wird eine dedizierte Ressourcengruppe für Ihren Log Analytics-Arbeitsbereich empfohlen, für die Microsoft Sentinel aktiviert ist. Diese Ressourcengruppe sollte nur die Ressourcen enthalten, die von Microsoft Sentinel verwendet werden, einschließlich des Log Analytics-Arbeitsbereichs, aller Playbooks, Arbeitsmappen usw.

    Eine dedizierte Ressourcengruppe ermöglicht die einmalige Zuweisung von Berechtigungen auf Ressourcengruppenebene, wobei Berechtigungen automatisch auf alle abhängigen Ressourcen angewendet werden. Mit so einer Ressourcengruppe ist die Zugriffsverwaltung von Microsoft Sentinel effizient und weniger anfällig für falsche Berechtigungen. Durch die Verringerung der Komplexität von Berechtigungen wird sichergestellt, dass Benutzer und Dienstprinzipale über die erforderlichen Berechtigungen verfügen, um Aktionen auszuführen, und dass weniger privilegierte Rollen nicht auf ungeeignete Ressourcen zugreifen können.

    Implementieren Sie zusätzliche Ressourcengruppen, um den Zugriff nach Ebenen zu steuern. Dort bringen Sie Ressourcen unter, auf die nur Gruppen mit höheren Berechtigungen zugreifen können. Verwenden Sie mehrere Ebenen, um den Zugriff zwischen Ressourcengruppen noch feiner zu trennen.

Nächste Schritte

In diesem Artikel wurden die Voraussetzungen vorgestellt, die Ihnen bei der Planung und Vorbereitung vor der Bereitstellung von Microsoft Sentinel helfen.