إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة كيفية تعيين Microsoft Sentinel للأذونات لأدوار المستخدم لكل من Microsoft Sentinel SIEM وMicrosoft Sentinel data lake، مع تحديد الإجراءات المسموح بها لكل دور.
يستخدم Microsoft Sentinel التحكم في الوصول المستند إلى دور Azure (Azure RBAC) لتوفير أدوار مضمنة ومخصصة ل Microsoft Sentinel SIEM، والتحكم في الوصول المستند إلى دور Microsoft Entra ID (Microsoft Entra ID RBAC) لتوفير أدوار مضمنة ومخصصة لمخزن بيانات Microsoft Sentinel.
يمكنك تعيين الأدوار للمستخدمين والمجموعات والخدمات في Azure أوMicrosoft Entra ID.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
Important
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
أدوار Azure المضمنة ل Microsoft Sentinel
يتم استخدام أدوار Azure المضمنة التالية ل Microsoft Sentinel SIEM ومنح حق الوصول للقراءة إلى بيانات مساحة العمل، بما في ذلك دعم مستودع بيانات Microsoft Sentinel. تعيين هذه الأدوار على مستوى مجموعة الموارد للحصول على أفضل النتائج.
| Role | دعم SIEM | دعم مستودع البيانات |
|---|---|---|
| قارئ Microsoft Sentinel | عرض البيانات، الحوادث، دفاتر العمل، التوصيات، والموارد الأخرى | الوصول إلى التحليلات المتقدمة وتشغيل الاستعلامات التفاعلية على مساحات العمل فقط. |
| مستجيب Microsoft Sentinel | كافة أذونات القارئ، بالإضافة إلى إدارة الحوادث | N/A |
| مساهم Microsoft Sentinel | جميع أذونات المستجيب، بالإضافة إلى حلول التثبيت/التحديث، إنشاء/تحرير الموارد | الوصول إلى التحليلات المتقدمة وتشغيل الاستعلامات التفاعلية على مساحات العمل فقط. |
| عامل تشغيل دليل مبادئ Microsoft Sentinel | سرد أدلة المبادئ وعرضها وتشغيلها يدويا | N/A |
| مساهم أتمتة Microsoft Sentinel | يسمح ل Microsoft Sentinel بإضافة أدلة المبادئ إلى قواعد التشغيل التلقائي. غير مستخدم لحسابات المستخدمين. | N/A |
على سبيل المثال، يعرض الجدول التالي أمثلة على المهام التي يمكن لكل دور تنفيذها في Microsoft Sentinel:
| Role | تشغيل كتيبات المبادئ | إنشاء/تحرير أدلة المبادئ | إنشاء/تحرير قواعد التحليلات والمصنفات وما إلى ذلك. | إدارة الأحداث | عرض البيانات، الحوادث، دفاتر العمل، التوصيات | إدارة مركز المحتوى |
|---|---|---|---|---|---|---|
| قارئ Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| مستجيب Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| مساهم Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| عامل تشغيل دليل مبادئ Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| مساهم تطبيق المنطق | ✓ | ✓ | -- | -- | -- | -- |
*مع دور مساهم المصنف .
نوصي بتعيين أدوار لمجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel. يضمن هذا تغطية جميع الموارد ذات الصلة، مثل Logic Apps و playbooks، بنفس تعيينات الدور.
كخيار آخر، قم بتعيين الأدوار مباشرة إلى مساحة عمل Microsoft Sentinel نفسها. إذا قمت بذلك، فيجب عليك تعيين نفس الأدوار لمورد حل SecurityInsights في مساحة العمل هذه. قد تحتاج أيضا إلى تعيينها إلى موارد أخرى، وإدارة تعيينات الأدوار للموارد باستمرار.
أدوار إضافية لمهام محددة
قد يحتاج المستخدمون الذين لديهم متطلبات وظيفية معينة إلى تعيين أدوار أخرى أو أذونات محددة لإنجاز مهامهم. على سبيل المثال:
| Task | الأدوار/الأذونات المطلوبة |
|---|---|
| توصيل مصادر البيانات | إذن الكتابة على مساحة العمل. تحقق من مستندات الموصل للحصول على أذونات إضافية مطلوبة لكل موصل. |
| إدارة المحتوى من مركز المحتوى | مساهم Microsoft Sentinel على مستوى مجموعة الموارد |
| أتمتة الاستجابات باستخدام أدلة المبادئ |
Microsoft Sentinel Playbook Operator، لتشغيل أدلة المبادئ، وLogic App Contributor لإنشاء/تحرير أدلة المبادئ. يستخدم Microsoft Sentinel أدلة المبادئ للاستجابة التلقائية للتهديدات. تم إنشاء أدلة المبادئ على Azure Logic Apps، وهي مورد Azure منفصل. قد ترغب في تعيين إمكانية استخدام Logic Apps لعمليات تنسيق الأمان والتنفيذ التلقائي والاستجابة (SOAR) لأعضاء محددين في فريقك لعمليات الأمان. |
| السماح ل Microsoft Sentinel بتشغيل أدلة المبادئ عبر الأتمتة | يحتاج حساب الخدمة إلى أذونات صريحة لمجموعة موارد دليل المبادئ؛ يحتاج حسابك إلى أذونات المالك لتعيينها. يستخدم Microsoft Sentinel حساب خدمة خاص لتشغيل أدلة المبادئ مشغل الحوادث يدويا أو لاستدعائها من قواعد التشغيل التلقائي. يؤدي استخدام هذا الحساب (بدلا من حساب المستخدم الخاص بك) إلى زيادة مستوى أمان الخدمة. لتتمكن قاعدة التشغيل التلقائي من تشغيل دليل تشغيل، يجب منح هذا الحساب أذونات صريحة لمجموعة الموارد التي يوجد بها دليل التشغيل. عند هذه النقطة، ستتمكن أي قاعدة أتمتة من تشغيل أي دليل تشغيل في مجموعة الموارد هذه. |
| يقوم المستخدمون الضيوف بتعيين الحوادث |
قارئ الدليلومستجيب Microsoft Sentinel دور قارئ الدليل ليس دور Azure ولكن دور معرف Microsoft Entra، ويتم تعيين هذا الدور بشكل افتراضي للمستخدمين العاديين (غير النشطين). |
| إنشاء/حذف المصنفات | مساهم Microsoft Sentinel أو دور Microsoft Sentinel أقل ومساهم مصنف |
أدوار Azure وLog Analytics الأخرى
عند تعيين أدوار Azure الخاصة ب Microsoft Sentinel، قد تصادف أدوار Azure وLog Analytics الأخرى التي قد يتم تعيينها للمستخدمين لأغراض أخرى. تمنح هذه الأدوار مجموعة أوسع من الأذونات التي تتضمن الوصول إلى مساحة عمل Microsoft Sentinel والموارد الأخرى:
- أدوار Azure:المالك، المساهم، القارئ – منح وصول واسع عبر موارد Azure.
- أدوار Log Analytics:مساهم تحليلات السجل، قارئ تحليلات السجل - منح حق الوصول إلى مساحات عمل Log Analytics.
Important
تعيينات الأدوار تراكمية. قد يكون لدى المستخدم الذي لديه كل من أدوار Microsoft Sentinel Reader و Contributor أذونات أكثر مما هو مقصود.
تعيينات الأدوار الموصى بها لمستخدمي Microsoft Sentinel
| نوع المستخدم | Role | مجموعة الموارد | Description |
|---|---|---|---|
| محللو الأمن | مستجيب Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | عرض/إدارة الحوادث والبيانات والمصنفات |
| عامل تشغيل دليل مبادئ Microsoft Sentinel | مجموعة موارد Microsoft Sentinel/playbook | إرفاق/تشغيل كتيبات المبادئ | |
| مهندسو الأمن | مساهم Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | إدارة الحوادث والمحتوى والموارد |
| مساهم تطبيق المنطق | مجموعة موارد Microsoft Sentinel/playbook | تشغيل/تعديل أدلة المبادئ | |
| مدير الخدمة | مساهم Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | مهام الإدارة التلقائية |
الأدوار والأذونات الخاصة ببحيرة بيانات Microsoft Sentinel
لاستخدام مستودع بيانات Microsoft Sentinel، يجب إلحاق مساحة العمل الخاصة بك إلى مدخل Defenderومساحة بيانات Microsoft Sentinel.
أذونات قراءة مستودع بيانات Microsoft Sentinel
توفر أدوار معرف Microsoft Entra وصولا واسعا عبر جميع المحتويات في مستودع البيانات. استخدم الأدوار التالية لتوفير الوصول للقراءة إلى جميع مساحات العمل داخل مستودع بيانات Microsoft Sentinel، مثل لتشغيل الاستعلامات.
| نوع الإذن | الأدوار المدعومة |
|---|---|
| الوصول للقراءة عبر جميع مساحات العمل | استخدم أي من أدوار معرف Microsoft Entra التالية: - قارئ عالمي - قارئ الأمان - مشغل الأمن - مسؤول الأمان - المسؤول العام |
بدلا من ذلك، قد تحتاج إلى تعيين القدرة على قراءة الجداول من داخل مساحة عمل معينة. في مثل هذه الحالات، استخدم أحد الإجراءات التالية:
| Tasks | Permissions |
|---|---|
| أذونات القراءة على جداول النظام | استخدم دور RBAC الموحد المخصص ل Microsoft Defender XDR مع أذونات أساسيات بيانات الأمان (القراءة) عبر مجموعة بيانات Microsoft Sentinel. |
| قراءة الأذونات على أي مساحة عمل أخرى ممكنة ل Microsoft Sentinel في مستودع البيانات | استخدم أحد الأدوار المضمنة التالية في Azure RBAC للحصول على أذونات على مساحة العمل هذه: - قارئ Log Analytics - مساهم Log Analytics - مساهم Microsoft Sentinel - قارئ Microsoft Sentinel - قارئ - المساهم - مالك |
أذونات كتابة مستودع بيانات Microsoft Sentinel
توفر أدوار معرف Microsoft Entra وصولا واسعا عبر جميع مساحات العمل في مستودع البيانات. استخدم الأدوار التالية لتوفير حق الوصول للكتابة إلى جداول مستودع بيانات Microsoft Sentinel:
| نوع الإذن | الأدوار المدعومة |
|---|---|
| الكتابة إلى الجداول في طبقة التحليلات باستخدام مهام KQL أو دفاتر الملاحظات | استخدم أحد أدوار معرف Microsoft Entra التالية: - مشغل الأمن - مسؤول الأمان - المسؤول العام |
| الكتابة إلى الجداول في مستودع بيانات Microsoft Sentinel | استخدم أحد أدوار معرف Microsoft Entra التالية: - مشغل الأمن - مسؤول الأمان - المسؤول العام |
بدلا من ذلك، قد ترغب في تعيين القدرة على كتابة الإخراج إلى مساحة عمل معينة. يمكن أن يشمل ذلك القدرة على تكوين الموصلات إلى مساحة العمل هذه، أو تعديل إعدادات الاستبقاء للجداول في مساحة العمل، أو إنشاء جداول مخصصة وتحديثها وحذفها في مساحة العمل هذه. في مثل هذه الحالات، استخدم أحد الإجراءات التالية:
| Tasks | Permissions |
|---|---|
| تحديث جداول النظام في بحيرة البيانات | استخدم دور RBAC الموحد المخصص ل Microsoft Defender XDR مع أذونات البيانات (الإدارة) عبر مجموعة بيانات Microsoft Sentinel. |
| لأي مساحة عمل Microsoft Sentinel أخرى في مستودع البيانات | استخدم أي دور مضمن أو مخصص يتضمن أذونات رؤى تشغيلية Azure RBAC Microsoft التالية على مساحة العمل هذه: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/مساحات العمل/جداول/كتابة - microsoft.operationalinsights/workspaces/tables/delete على سبيل المثال، الأدوار المضمنة التي تتضمن هذه الأذونات مساهم Log Analyticsوالمالكوالمساهم. |
إدارة المهام في مستودع بيانات Microsoft Sentinel
لإنشاء مهام مجدولة أو لإدارة المهام في مستودع بيانات Microsoft Sentinel، يجب أن يكون لديك أحد أدوار معرف Microsoft Entra التالية:
الأدوار المخصصة وRBAC المتقدمة
لتقييد الوصول إلى بيانات معينة، ولكن ليس مساحة العمل بأكملها، استخدم RBAC لسياق المورد أو RBAC على مستوى الجدول. هذا مفيد للفرق التي تحتاج إلى الوصول إلى أنواع بيانات أو جداول معينة فقط.
وإلا، استخدم أحد الخيارات التالية ل RBAC المتقدم:
- للوصول إلى Microsoft Sentinel SIEM، استخدم أدوار Azure المخصصة.
- بالنسبة إلى مستودع بيانات Microsoft Sentinel، استخدم أدوار RBAC الموحدة ل Defender XDR.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع إدارة بيانات السجل ومساحات العمل في Azure Monitor