فهم أذونات Microsoft Azure Sentinel وأدوارها
يستخدم Microsoft Sentinel التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC) لتوفير أدوار مضمنة يمكن تعيينها للمستخدمين والمجموعات والخدمات في Azure.
استخدم Azure RBAC لإنشاء الأدوار وتعيينها داخل فريق عمليات الأمان لمنح الوصول المناسب إلى Microsoft Sentinel. تمكّنك الأدوار المختلفة من التحكم الدقيق فيما يمكن لمستخدمي Microsoft Sentinel الروية والقيام. يمكن تعيين أدوار Azure في مساحة عمل Microsoft Sentinel مباشرة، أو في اشتراك أو مجموعة موارد تنتمي إليها مساحة العمل، والتي سيرثها Microsoft Sentinel.
أدوار Microsoft Sentinel المحددة
تمنح جميع أدوار Microsoft Sentinel المضمنة حق الوصول للقراءة للبيانات الموجودة في مساحة عمل Microsoft Sentinel الخاصة بك:
Microsoft Sentinel Reader: يستطيع مراجعة البيانات والحوادث والمصنفات وموارد Microsoft Sentinel الأخرى.
Microsoft Sentinel Responder: يمكنه، بالإضافة إلى ما ذكر أعلاه، إدارة الحوادث (تعيين، تجاهل، وما إلى ذلك)
Microsoft Sentinel Contributor: يمكنه، بالإضافة إلى ما سبق، إنشاء وتحرير المصنفات وقواعد التحليلات وموارد Microsoft Sentinel الأخرى.
Microsoft Sentinel Automation Contributor: يسمح لـ Microsoft Sentinel بإضافة أدلة المبادئ إلى قواعد التشغيل التلقائي. ليس مخصصا لحسابات المستخدمين.
للحصول على أفضل النتائج، يجب تكليف مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel بهذه الأدوار. ثم تُطبق الأدوار على جميع الموارد التي تُوزّع لدعم Microsoft Sentinel، إذا كانت هذه الموارد موجودة في نفس مجموعة الموارد.
أدوار وأذونات إضافية
قد يحتاج المستخدمون الذين لديهم متطلبات وظيفية معينة إلى تعيين أدوار أخرى أو أذونات محددة لإنجاز مهامهم.
العمل مع أدلة المبادئ لأتمتة الاستجابات للتهديدات
يستخدم Microsoft Sentinel أدلة المبادئ للاستجابة التلقائية للتهديدات. تم إنشاء أدلة المبادئ على Azure Logic Apps، وهي مورد Azure منفصل. قد ترغب في تعيين إمكانية استخدام Logic Apps لعمليات تنسيق الأمان والأتمتة والاستجابة (SOAR) لأعضاء محددين في فريق عمليات الأمان. يمكنك استخدام دور Logic App Contributor لتعيين إذن صريح لاستخدام أدلة المبادئ.
منح أذونات Microsoft Sentinel لتشغيل أدلة المبادئ
يستخدم Microsoft Sentinel حساب خدمة خاص لتشغيل أدلة المبادئ مشغل الحوادث يدويا أو لاستدعائها من قواعد التشغيل التلقائي. يؤدي استخدام هذا الحساب (بدلا من حساب المستخدم الخاص بك) إلى زيادة مستوى أمان الخدمة.
لكي تقوم قاعدة التشغيل التلقائي بتشغيل دليل المبادئ، يجب منح هذا الحساب أذونات صريحة لمجموعة الموارد حيث يوجد دليل المبادئ. عند هذه النقطة، ستكون أي قاعدة أتمتة قادرة على تشغيل أي دليل مبادئ في مجموعة الموارد هذه. لمنح هذه الأذونات لحساب الخدمة هذا، يجب أن يكون لحسابك أذونات Owner على مجموعات الموارد التي تحتوي على أدلة المبادئ.
توصيل مصادر البيانات بـ Microsoft Sentinel
لكي يضيف مستخدم موصلات بيانات، يجب عليك تعيين أذونات كتابة المستخدم على مساحة عمل Microsoft Sentinel. لاحظ أيضا الأذونات الأخرى المطلوبة لكل موصل، كما هو موضح في صفحة الموصل ذات الصلة.
المستخدمون الضيوف الذين يقومون بتعيين الحوادث
إذا كان المستخدم الضيف بحاجة إلى أن يكون قادرًا على تعيين الأحداث، فبالإضافة إلى دور Microsoft Sentinel Responder، سيحتاج المستخدم أيضًا إلى تعيين دور Directory Reader إليه. هذا الدور ليس دور Azure ولكنه دور Microsoft Entra، ويتم تعيين هذا الدور للمستخدمين العاديين (غير الضيوف) بشكل افتراضي.
إنشاء المصنفات وحذفها
لإنشاء مصنف Microsoft Sentinel وحذفه، يطلب المستخدم إما دور Microsoft Sentinel Contributor أو دور Microsoft Sentinel أقل بالإضافة إلى دور Azure Monitor لـ Workbook Contributor. هذا الدور ليس ضروريا لاستخدام المصنفات، ولكن فقط لإنشاء المصنفات وحذفها.
أدوار Azure وأدوار Azure Monitor Log Analytics
بالإضافة إلى أدوار Azure RBAC المخصصة لـ Microsoft Sentinel، يمكن لأدوار Azure وLog Analytics Azure RBAC الأخرى منح مجموعة أوسع من الأذونات. تتضمن هذه الأدوار إمكانية الوصول إلى مساحة عمل Microsoft Sentinel والموارد الأخرى.
تمنحك أدوار Azure إمكانية الوصول إلى جميع موارد Azure الخاصة بك. وهي تشمل مساحات عمل Log Analytics وموارد Microsoft Sentinel:
المالك
المساهم
القارئ
تمنح أدوار Log Analytics إمكانية الوصول إلى جميع مساحات عمل Log Analytics الخاصة بك:
Log Analytics Contributor
Log Analytics Reader
على سبيل المثال، يمكن للمستخدم المكلف بأدوار «Microsoft Sentinel Reader» و«Azure Contributor» (وليس «Microsoft Sentinel Contributor») تعديل البيانات في Microsoft Sentinel. إذا كنت تريد منح الأذونات إلى Microsoft Sentinel فقط، لابد لك من إزالة أذونات المستخدم السابقة بعناية. تأكد من عدم خرق أي دور إذن مطلوب لمورد آخر.
أدوار Microsoft Sentinel والإجراءات المسموح بها
يلخص الجدول التالي الأدوار والإجراءات المسموح بها في Microsoft Sentinel.
الأدوار | إنشاء أدلة المبادئ وتشغيلها | إنشاء المصنفات وقواعد التحليلات وغيرها من موارد Microsoft Sentinel وتعديلها | إدارة الحوادث مثل الرفض والتعيين | عرض حوادث البيانات والمصنفات وموارد Microsoft Sentinel الأخرى |
---|---|---|---|---|
Microsoft Sentinel Reader | لا | لا | لا | نعم |
مستجيب Microsoft Sentinel | لا | لا | نعم | نعم |
Microsoft Sentinel Contributor | لا | نعم | نعم | نعم |
«Microsoft Sentinel Contributor» و«Logic App Contributor» | نعم | نعم | نعم | نعم |
الأدوار المخصصة والمتقدمة في Azure RBAC
إذا كانت أدوار Azure المضمنة لا تلبي احتياجات مؤسستك المحددة، يمكنك إنشاء أدوارك المخصصة. يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات ومسؤولي الخدمة الأساسيين لنطاقات مجموعة الإدارة، والاشتراك ومجموعة الموارد، تماماً مثل الأدوار المضمنة.