Sdílet prostřednictvím


Role a oprávnění v Microsoft Sentinelu

Tento článek vysvětluje, jak Microsoft Sentinel přiřazuje oprávnění k rolím uživatelů a identifikuje povolené akce pro každou roli. Microsoft Sentinel používá řízení přístupu na základě role v Azure (Azure RBAC) k poskytování předdefinovaných rolí , které je možné přiřadit uživatelům, skupinám a službám v Azure. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.

Pomocí Azure RBAC můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role Azure je možné přiřadit přímo v pracovním prostoru Microsoft Sentinelu nebo v předplatném nebo skupině prostředků, do které pracovní prostor patří, což Microsoft Sentinel dědí.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Role a oprávnění pro práci v Microsoft Sentinelu

Udělte odpovídající přístup k datům v pracovním prostoru pomocí předdefinovaných rolí. V závislosti na úlohách uživatele možná budete muset udělit více rolí nebo konkrétních oprávnění.

Role specifické pro Microsoft Sentinel

Všechny předdefinované role Microsoft Sentinelu uděluje přístup pro čtení k datům v pracovním prostoru Služby Microsoft Sentinel.

  • Čtenář služby Microsoft Sentinel může zobrazit data, incidenty, sešity a další prostředky služby Microsoft Sentinel.

  • Microsoft Sentinel Responder může kromě oprávnění pro Microsoft Sentinel Reader spravovat incidenty, jako je přiřazování, zavření a změna incidentů.

  • Přispěvatel Microsoft Sentinelu může kromě oprávnění pro Microsoft Sentinel Responder instalovat a aktualizovat řešení z centra obsahu a vytvářet a upravovat prostředky Microsoft Sentinelu, jako jsou sešity, analytická pravidla a další.

  • Operátor playbooku Microsoft Sentinel může zobrazit, zobrazit a ručně spouštět playbooky.

  • Přispěvatel služby Microsoft Sentinel Automation, který umožňuje Microsoft Sentinelu přidat do pravidel automatizace playbooky. Není určená pro uživatelské účty.

Nejlepších výsledků dosáhnete tak, že tyto role přiřadíte skupině prostředků, která obsahuje pracovní prostor Služby Microsoft Sentinel. Tímto způsobem se role vztahují na všechny prostředky, které podporují Microsoft Sentinel, protože tyto prostředky by měly být také umístěny ve stejné skupině prostředků.

Jako další možnost přiřaďte role přímo k samotnému pracovnímu prostoru Služby Microsoft Sentinel. Pokud to uděláte, musíte přiřadit stejné role k prostředku řešení SecurityInsights v daném pracovním prostoru. Může být také potřeba je přiřadit k jiným prostředkům a průběžně spravovat přiřazení rolí k prostředkům.

Další role a oprávnění

Uživatelé s určitými požadavky na úlohy možná budou muset mít přiřazené jiné role nebo konkrétní oprávnění, aby mohli provádět své úkoly.

  • Instalace a správa předsaného obsahu

    Vyhledejte zabalená řešení pro kompletní produkty nebo samostatný obsah z centra obsahu v Microsoft Sentinelu. Pokud chcete nainstalovat a spravovat obsah z centra obsahu, přiřaďte roli Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků.

  • Automatizace odpovědí na hrozby pomocí playbooků

    Microsoft Sentinel používá playbooky k automatické reakci na hrozby. Playbooky jsou založené na Azure Logic Apps a představují samostatný prostředek Azure. Pro konkrétní členy provozního týmu zabezpečení můžete chtít přiřadit možnost používat Logic Apps pro operace orchestrace zabezpečení, automatizace a reakce (SOAR). Pomocí role Operátor playbooku Microsoft Sentinel můžete přiřadit explicitní, omezená oprávnění ke spouštění playbooků a roli Přispěvatel aplikace logiky k vytváření a úpravám playbooků.

  • Udělení oprávnění microsoft Sentinelu ke spouštění playbooků

    Microsoft Sentinel používá speciální účet služby ke spouštění playbooků aktivující incidenty ručně nebo k jejich volání z pravidel automatizace. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby.

    Aby pravidlo automatizace spustilo playbook, musí být tento účet udělena explicitní oprávnění ke skupině prostředků, ve které se playbook nachází. V tomto okamžiku může jakékoli pravidlo automatizace spouštět libovolný playbook v této skupině prostředků. Pokud chcete udělit tato oprávnění k tomuto účtu služby, musí mít váš účet oprávnění vlastníka ke skupinám prostředků obsahujícím playbooky.

  • Připojení zdrojů dat k Microsoft Sentinelu

    Aby uživatel přidal datové konektory, musíte přiřadit oprávnění k zápisu uživatele v pracovním prostoru Služby Microsoft Sentinel. Všimněte si požadovaných dodatečných oprávnění pro každý konektor, jak je uvedeno na stránce příslušného konektoru.

  • Povolit uživatelům typu host přiřazovat incidenty

    Pokud uživatel typu host potřebuje mít možnost přiřazovat incidenty, musíte uživateli kromě role Microsoft Sentinel Responder přiřadit roli Čtenář adresáře. Role Čtenář adresáře není role Azure, ale role Microsoft Entra a běžní (neguestové) uživatelé mají ve výchozím nastavení přiřazenou tuto roli.

  • Vytváření a odstraňování sešitů

    Aby uživatel vytvořil a odstranil sešit Microsoft Sentinelu, potřebuje roli Přispěvatel Microsoft Sentinelu nebo menší roli Microsoft Sentinelu spolu s rolí Přispěvatel sešitů Azure Monitor. Tato role není nutná pro použití sešitů, pouze pro vytváření a odstraňování.

Role Azure a Log Analytics, které se můžou zobrazit jako přiřazené

Když přiřadíte role Azure specifické pro Microsoft Sentinel, můžete se setkat s dalšími rolemi Azure a Log Analytics, které se můžou přiřadit uživatelům pro jiné účely. Tyto role udělují širší sadu oprávnění, která zahrnují přístup k pracovnímu prostoru Služby Microsoft Sentinel a dalším prostředkům:

  • Role Azure: Vlastník, Přispěvatel a Čtenář. Role Azure udělují přístup ke všem prostředkům Azure včetně pracovních prostorů služby Log Analytics a prostředků služby Microsoft Sentinel.

  • Role Log Analytics: Přispěvatel Log Analytics a Čtenář Log Analytics. Role Log Analytics udělují přístup k pracovním prostorům služby Log Analytics.

Uživatel, který má například přiřazenou roli Čtenář Microsoft Sentinelu, ale ne roli Přispěvatel Microsoft Sentinelu, může položky v Microsoft Sentinelu upravovat, pokud má tento uživatel přiřazenou také roli Přispěvatel na úrovni Azure. Proto pokud chcete udělit oprávnění jenom uživateli v Microsoft Sentinelu, pečlivě odeberte předchozí oprávnění tohoto uživatele a ujistěte se, že neporušujete žádný potřebný přístup k jinému prostředku.

Role, oprávnění a povolené akce služby Microsoft Sentinel

Tato tabulka shrnuje role Microsoft Sentinelu a jejich povolené akce v Microsoft Sentinelu.

Role Zobrazení a spouštění playbooků Vytváření a úpravy playbooků Vytváření a úpravy analytických pravidel, sešitů a dalších prostředků Microsoft Sentinelu Správa incidentů (zavření, přiřazení atd.) Zobrazení dat, incidentů, sešitů a dalších prostředků Microsoft Sentinelu Instalace a správa obsahu z centra obsahu
Čtenář služby Microsoft Sentinel -- -- --* -- --
Respondér služby Microsoft Sentinel -- -- --* --
Přispěvatel služby Microsoft Sentinel -- --
Operátor playbooku Microsoft Sentinel -- -- -- -- --
Přispěvatel aplikace logiky -- -- -- --

* Uživatelé s těmito rolemi mohou vytvářet a odstraňovat sešity s rolí Přispěvatel sešitů. Seznamte se s dalšími rolemi a oprávněními.

Projděte si doporučení rolí, pro které role se mají přiřadit uživatelům ve vašem SOC.

Vlastní role a pokročilé řízení přístupu k Azure na základě role

Doporučení pro role a oprávnění

Po pochopení fungování rolí a oprávnění v Microsoft Sentinelu si můžete projít tyto osvědčené postupy pro použití rolí u uživatelů:

Typ uživatele Role Skupina prostředků Popis
Analytici zabezpečení Microsoft Sentinel Responder Skupina prostředků Microsoft Sentinelu Umožňuje zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.

Spravujte incidenty, jako je přiřazování nebo rušení incidentů.
Operátor playbooku Microsoft Sentinel Skupina prostředků Microsoft Sentinelu nebo skupina prostředků, ve které jsou uložené playbooky Připojte playbooky k analytickým a automatizačním pravidlům.
Spusťte playbooky.
Technici zabezpečení Přispěvatel Microsoft Sentinelu Skupina prostředků Microsoft Sentinelu Umožňuje zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.

Spravujte incidenty, jako je přiřazování nebo rušení incidentů.

Vytvářejte a upravujte sešity, analytická pravidla a další prostředky Microsoft Sentinelu.

Instalace a aktualizace řešení z centra obsahu
Přispěvatel Logic Apps Skupina prostředků Microsoft Sentinelu nebo skupina prostředků, ve které jsou uložené playbooky Připojte playbooky k analytickým a automatizačním pravidlům.
Spusťte a upravte playbooky.
Instanční objekt Přispěvatel Microsoft Sentinelu Skupina prostředků Microsoft Sentinelu Automatizovaná konfigurace pro úlohy správy

V závislosti na datech, která ingestujete nebo monitorujete, může být vyžadováno více rolí. K nastavení datových konektorů pro služby na jiných portálech Microsoftu se například můžou vyžadovat role Správce zabezpečení.

Řízení přístupu na základě prostředků

Možná máte některé uživatele, kteří potřebují přístup jenom ke konkrétním datům v pracovním prostoru Microsoft Sentinelu, ale neměli by mít přístup k celému prostředí Microsoft Sentinelu. Můžete například chtít poskytnout týmu mimo operace zabezpečení přístup k datům událostí Windows pro servery, které vlastní.

V takových případech doporučujeme nakonfigurovat řízení přístupu na základě role (RBAC) na základě prostředků, které jsou vašim uživatelům povoleny, a neposkytovat jim přístup k pracovnímu prostoru Microsoft Sentinelu nebo konkrétním funkcím Microsoft Sentinelu. Tato metoda se také označuje jako nastavení řízení přístupu na základě role v kontextu prostředku. Další informace najdete v tématu Správa přístupu k datům Microsoft Sentinelu podle prostředků.

Další kroky

V tomto článku jste se naučili pracovat s rolemi pro uživatele Microsoft Sentinelu a s tím, co jednotlivé role umožňují uživatelům.