الأدوار والأذونات في Microsoft Sentinel
توضح هذه المقالة كيفية تعيين Microsoft Sentinel الأذونات لأدوار المستخدم وتحديد الإجراءات المسموح بها لكل دور. يستخدم Microsoft Sentinel التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC) لتوفير أدوار مضمنة يمكن تعيينها للمستخدمين والمجموعات والخدمات في Azure. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
استخدم Azure RBAC لإنشاء الأدوار وتعيينها داخل فريق عمليات الأمان لمنح الوصول المناسب إلى Microsoft Sentinel. تمنحك الأدوار المختلفة تحكما دقيقا فيما يمكن لمستخدمي Microsoft Sentinel رؤيته وفعله. يمكن تعيين أدوار Azure في مساحة عمل Microsoft Sentinel مباشرة، أو في اشتراك أو مجموعة موارد تنتمي إليها مساحة العمل، والتي يرثها Microsoft Sentinel.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
الأدوار والأذونات للعمل في Microsoft Sentinel
امنح الوصول المناسب إلى البيانات في مساحة العمل الخاصة بك باستخدام الأدوار المضمنة. قد تحتاج إلى منح المزيد من الأدوار أو أذونات محددة اعتمادا على المهام الوظيفية للمستخدم.
أدوار Microsoft Sentinel المحددة
تمنح جميع الأدوار المضمنة في Microsoft Sentinel حق الوصول للقراءة فقط إلى البيانات الموجودة في مساحة عمل Microsoft Sentinel.
يمكن لـ Microsoft Sentinel Reader عرض البيانات والأحداث والمصنفات وموارد Microsoft Sentinel الأخرى.
يمكن لمستجيب Microsoft Sentinel، بالإضافة إلى أذونات Microsoft Sentinel Reader، إدارة حوادث مثل تعيين الحوادث ورفضها وتغييرها.
يمكن لمساهم Microsoft Sentinel، بالإضافة إلى أذونات Microsoft Sentinel Responder، تثبيت وتحديث الحلول من مركز المحتوى، وإنشاء موارد Microsoft Sentinel وتحريرها مثل المصنفات وقواعد التحليلات والمزيد.
يمكن ل Microsoft Sentinel Playbook Operator سرد أدلة المبادئ وعرضها وتشغيلها يدويا.
يسمح Microsoft Sentinel Automation Contributor لـ Microsoft Sentinel بإضافة أدلة المبادئ إلى قواعد التشغيل التلقائي. ليس مخصصا لحسابات المستخدمين.
للحصول على أفضل النتائج، قم بتعيين مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel بهذه الأدوار. بهذه الطريقة، ستُطبق الأدوار على جميع الموارد التي تدعم Microsoft Azure Sentinel، حيث يجب كذلك وضع هذه الموارد في نفس مجموعة الموارد.
خيار آخر، قم بتعيين الأدوار مباشرة على Microsoft Azure Sentinel مساحة العمل نفسها. إذا قمت بذلك، يجب تعيين نفس الأدوار لمورد حل SecurityInsights في مساحة العمل هذه. قد تحتاج أيضا إلى تعيينها إلى موارد أخرى، وإدارة تعيينات الأدوار للموارد باستمرار.
الأدوار الأخرى والأذونات
قد يحتاج المستخدمون الذين لديهم متطلبات وظيفية معينة إلى تعيين أدوار أخرى أو أذونات محددة لإنجاز مهامهم.
تثبيت المحتوى الجاهز وإدارته
ابحث عن حلول مجمعة للمنتجات الشاملة أو المحتوى المستقل من مركز المحتوى في Microsoft Sentinel. لتثبيت المحتوى وإدارته من مركز المحتوى، قم بتعيين دور Microsoft Sentinel Contributor على مستوى مجموعة الموارد.
أتمتة الاستجابات للتهديدات باستخدام أدلة المبادئ
يستخدم Microsoft Sentinel أدلة المبادئ للاستجابة التلقائية للتهديدات. تم إنشاء أدلة المبادئ على Azure Logic Apps، وهي مورد Azure منفصل. قد ترغب في تعيين إمكانية استخدام Logic Apps لعمليات تنسيق الأمان والتنفيذ التلقائي والاستجابة (SOAR) لأعضاء محددين في فريقك لعمليات الأمان. يمكنك استخدام دور Microsoft Sentinel Playbook Operator لتعيين إذن صريح ومحدود لتشغيل أدلة المبادئ، ودور Logic App Contributor لإنشاء أدلة المبادئ وتحريرها.
منح أذونات Microsoft Sentinel لتشغيل أدلة المبادئ
يستخدم Microsoft Sentinel حساب خدمة خاص لتشغيل أدلة المبادئ مشغل الحوادث يدويا أو لاستدعائها من قواعد التشغيل التلقائي. يؤدي استخدام هذا الحساب (بدلا من حساب المستخدم الخاص بك) إلى زيادة مستوى أمان الخدمة.
لتتمكن قاعدة التشغيل التلقائي من تشغيل دليل تشغيل، يجب منح هذا الحساب أذونات صريحة لمجموعة الموارد التي يوجد بها دليل التشغيل. عند هذه النقطة، ستتمكن أي قاعدة أتمتة من تشغيل أي دليل تشغيل في مجموعة الموارد هذه. لمنح هذه الأذونات لحساب الخدمة هذا، يجب أن يكون لحسابك أذونات المالك على مجموعات الموارد التي تحتوي على أدلة التشغيل.
توصيل مصادر البيانات ب Microsoft Sentinel
لكي يقوم المستخدم بإضافة موصلات البيانات، يجب تعيين أذونات الكتابة للمستخدم على مساحة عمل Microsoft Sentinel. لاحظ الأذونات الإضافية المطلوبة لكل موصل، كما هو موضح في صفحة الموصل ذات الصلة.
السماح للمستخدمين الضيوف بتعيين الحوادث
إذا كان المستخدم الضيف بحاجة إلى أن يكون قادرا على تعيين الحوادث، تحتاج إلى تعيين دور قارئ الدليل للمستخدم، بالإضافة إلى دور مستجيب Microsoft Sentinel. دور قارئ الدليل ليس دور Azure ولكن دور Microsoft Entra، ويتم تعيين هذا الدور للمستخدمين العاديين (غير المميزين) بشكل افتراضي.
إنشاء المصنفات وحذفها
لإنشاء مصنف Microsoft Sentinel وحذفه، يحتاج المستخدم إما إلى دور Microsoft Sentinel Contributor أو دور Microsoft Sentinel أقل، جنبا إلى جنب مع دور مساهم المصنف Azure Monitor. هذا الدور ليس ضروريًا لاستخدام المصنفات، ولكن يقتصر على إنشاء المصنفات وحذفها.
أدوار Azure وLog Analytics التي قد تجدها معينة
عند تعيين أدوار Azure الخاصة ب Microsoft Sentinel، قد تصادف أدوار Azure وLog Analytics الأخرى التي قد يتم تعيينها للمستخدمين لأغراض أخرى. تمنح هذه الأدوار مجموعة أوسع من الأذونات التي تتضمن الوصول إلى مساحة عمل Microsoft Sentinel والموارد الأخرى:
أدوار Azure: المالك والمساهم والقارئ. تمنح أدوار Azure حق الوصول عبر جميع موارد Azure الخاصة بك، بما في ذلك مساحات عمل Log Analytics وموارد Microsoft Sentinel.
أدوار Log Analytics: مساهم تحليلات السجل وقارئ تحليلات السجل. تمنح أدوار Log Analytics حق الوصول إلى مساحات عمل Log Analytics.
على سبيل المثال، سيظل المستخدم الذي عُين له دور Microsoft Sentinel Reader، وليس دور Microsoft Sentinel Contributor، قادراً على تحرير العناصر في Microsoft Sentinel وكذلك إذا عُين لهذا المستخدم دور Contributor على مستوى Azure. لذلك، إذا كنت تريد منح أذونات لمستخدم فقط في Microsoft Sentinel، فقم بإزالة الأذونات السابقة لهذا المستخدم بعناية، مع التأكد من عدم قطع أي وصول مطلوب إلى مورد آخر.
أدوار Microsoft Sentinel، والإجراءات المسموح بها
يلخص الجدول التالي أدوار Microsoft Sentinel والإجراءات المسموح بها في Microsoft Sentinel.
الدور | عرض أدلة المبادئ وتشغيلها | إنشاء أدلة المبادئ وتحريرها | إنشاء قواعد التحليلات والمصنفات وموارد Microsoft Sentinel الأخرى وتحريرها | إدارة الأحداث (تجاهل، تعيين، إلخ.) | عرض البيانات والأحداث والمصنفات وموارد Microsoft Azure Sentinel الأخرى | تثبيت المحتوى وإدارته من مركز المحتوى |
---|---|---|---|---|---|---|
Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
مستجيب Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
Microsoft Sentinel Contributor | -- | -- | ✓ | ✓ | ✓ | ✓ |
عامل تشغيل دليل مبادئ Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
Logic App Contributor | ✓ | ✓ | -- | -- | -- | -- |
* يمكن للمستخدمين الذين لديهم هذه الأدوار إنشاء مصنفات وحذفها باستخدام دور Workbook Contributor. تعرف على الأذونات والأدوار الأخرى.
راجع توصيات الدور للأدوار المطلوب تعيينها للمستخدمين في SOC الخاص بك.
الأدوار المخصصة والمتقدمة في Azure RBAC
الأدوار المخصصة. بالإضافة إلى استخدام أدوار Azure المضمنة أو بدلاً منها، يمكنك إنشاء أدوار Azure مخصصة لـ Microsoft Sentinel. قم بإنشاء أدوار Azure المخصصة لـ Microsoft Sentinel بنفس الطريقة التي تنشئ بها أدوارا Azure المخصصة الأخرى ، استناداً إلى أذونات محددة لـ Microsoft Sentinel وإلى موارد Azure Log Analytics ئ.
التحكم في الوصول استنادًا إلى الدور لـ Log Analytics. يمكنك استخدام Log Analytics المتقدم في Azure RBAC عبر البيانات في مساحة عمل Microsoft Sentinel. يتضمن ذلك كلاً من عنصر التحكم في الوصول استنادًا إلى الدور في Azure المستند إلى نوع البيانات وعنصر التحكم في الوصول استنادًا إلى الدور في Azure لسياق الموارد. لمعرفة المزيد:
- إدارة بيانات السجل ومساحات العمل في Azure Monitor
- عنصر التحكم في الوصول استنادًا إلى الدور لسياق الموارد لـ Microsoft Sentinel
- التحكم في الوصول استنادا إلى الدور على مستوى الجدول
سياق الموارد وRBAC على مستوى الجدول طريقتان لتوفير الوصول إلى بيانات محددة في مساحة عمل Microsoft Sentinel دون السماح بالوصول إلى تجربة Microsoft Azure بأكملها.
توصيات الدور والأذونات
بعد فهم كيفية عمل الأدوار والأذونات في Microsoft Sentinel، يمكنك مراجعة أفضل الممارسات هذه لتطبيق الأدوار على مستخدميك:
نوع المستخدم | الدور | مجموعة الموارد | الوصف |
---|---|---|---|
محللو الأمان | مستجيب Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | عرض البيانات والأحداث والمصنفات وموارد Microsoft Sentinel الأخرى. إدارة الأحداث، مثل تعيين الأحداث أو تجاهلها. |
عامل تشغيل دليل مبادئ Microsoft Sentinel | مجموعة موارد Microsoft Sentinel أو مجموعة الموارد التي يتم تخزين أدلة المبادئ الخاصة بك فيها | إرفاق أدلة المبادئ بقواعد التحليلات والأتمتة. تشغيل أدلة المبادئ. |
|
مهندسو الأمان | مساهم Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | عرض البيانات والأحداث والمصنفات وموارد Microsoft Sentinel الأخرى. إدارة الأحداث، مثل تعيين الأحداث أو تجاهلها. إنشاء المصنفات وقواعد التحليلات وغيرها من موارد Microsoft Sentinel وتعديلها. تثبيت الحلول وتحديثها من مركز المحتوى. |
Logic Apps Contributor | مجموعة موارد Microsoft Sentinel أو مجموعة الموارد التي يتم تخزين أدلة المبادئ الخاصة بك فيها | إرفاق أدلة المبادئ بقواعد التحليلات والأتمتة. تشغيل دلائل المبادئ وتعديلها. |
|
كيان الخدمة | مساهم Microsoft Sentinel | مجموعة موارد Microsoft Sentinel | التكوين التلقائي لمهام الإدارة |
قد تكون هناك حاجة إلى المزيد من الأدوار اعتمادا على البيانات التي تقوم ب استيعابها أو مراقبتها. على سبيل المثال، قد تكون أدوار Microsoft Entra مطلوبة، مثل دور مسؤول الأمان، لإعداد موصلات البيانات للخدمات في مداخل Microsoft الأخرى.
التحكم في الوصول المستند إلى الموارد
قد يكون لديك بعض المستخدمين الذين يحتاجون إلى الوصول إلى بيانات معينة فقط في مساحة عمل Microsoft Sentinel، ولكن لا يجب أن يكون لديهم حق الوصول إلى بيئة Microsoft Sentinel بأكملها. على سبيل المثال، قد ترغب في تزويد فريق خارج عمليات الأمان بإمكانية الوصول إلى بيانات حدث Windows للخوادم التي يمتلكونها.
في مثل هذه الحالات، نوصي بتكوين التحكم في الوصول المستند إلى الدور (RBAC) استناداً إلى الموارد المسموح بها لمستخدميك، بدلاً من تزويدهم بإمكانية الوصول إلى مساحة عمل Microsoft Azure Sentinel أو ميزات Microsoft Azure Sentinel المحددة. تُعرف هذه الطريقة أيضاً بإعداد RBAC لسياق الموارد . لمزيد من المعلومات، راجع إدارة الوصول إلى بيانات Microsoft Azure Sentinel حسب المورد.
الخطوات التالية
في هذا المقال، تعلمت كيفية العمل مع الأدوار لمستخدمي Microsoft Sentinel Azure وما يمنحه كل دور للمستخدمين.