Role a oprávnění ve službě Microsoft Sentinel
Tento článek vysvětluje, jak Microsoft Sentinel přiřazuje oprávnění uživatelským rolím a identifikuje povolené akce pro jednotlivé role. Microsoft Sentinel používá řízení přístupu na základě role v Azure (Azure RBAC) k poskytování předdefinovaných rolí , které je možné přiřadit uživatelům, skupinám a službám v Azure.
Pomocí Azure RBAC můžete vytvářet a přiřazovat role v rámci vašeho provozního týmu zabezpečení za účelem udělení odpovídajícího přístupu ke službě Microsoft Sentinel. Různé role vám poskytují podrobnou kontrolu nad tím, co můžou uživatelé služby Microsoft Sentinel zobrazit a dělat. Role Azure je možné přiřazovat přímo v pracovním prostoru Služby Microsoft Sentinel (viz poznámka níže) nebo v předplatném nebo skupině prostředků, do kterých pracovní prostor patří a které Microsoft Sentinel dědí.
Role a oprávnění pro práci ve službě Microsoft Sentinel
Role specifické pro Microsoft Sentinel
Všechny předdefinované role služby Microsoft Sentinel udělovat přístup pro čtení k datům v pracovním prostoru služby Microsoft Sentinel.
Čtenář microsoft sentinelu může zobrazit data, incidenty, sešity a další prostředky služby Microsoft Sentinel.
Služba Microsoft Sentinel Responder může kromě výše uvedených možností spravovat incidenty (přiřazení, zavření atd.).
Přispěvatel služby Microsoft Sentinel může kromě výše uvedených možností vytvářet a upravovat sešity, analytická pravidla a další prostředky služby Microsoft Sentinel.
Operátor playbooku služby Microsoft Sentinel může vypsat, zobrazit a ručně spouštět playbooky.
Přispěvatel automatizace služby Microsoft Sentinel umožňuje službě Microsoft Sentinel přidávat playbooky do pravidel automatizace. Není určen pro uživatelské účty.
Poznámka
Nejlepších výsledků dosáhnete, když tyto role přiřadíte ke skupině prostředků , která obsahuje pracovní prostor Služby Microsoft Sentinel. Tímto způsobem se role použijí na všechny prostředky, které podporují Službu Microsoft Sentinel, protože tyto prostředky by měly být také umístěny ve stejné skupině prostředků.
Jako další možnost přiřaďte role přímo k samotnému pracovnímu prostoru služby Microsoft Sentinel. Pokud to uděláte, musíte také přiřadit stejné role prostředku řešení SecurityInsights v daném pracovním prostoru. Možná je budete muset přiřadit i k jiným prostředkům a budete muset neustále spravovat přiřazení rolí k prostředkům.
Další role a oprávnění
Uživatelům s konkrétními požadavky na úlohy může být potřeba přiřadit jiné role nebo konkrétní oprávnění, aby mohli plnit své úkoly.
Práce s playbooky pro automatizaci reakcí na hrozby
Microsoft Sentinel používá playbooky pro automatizovanou reakci na hrozby. Playbooky jsou založené na Azure Logic Apps a jsou samostatným prostředkem Azure. Konkrétním členům vašeho provozního týmu zabezpečení můžete přiřadit možnost používat Logic Apps pro operace orchestrace zabezpečení, automatizace a odezvy (SOAR). Roli Operátor playbooku služby Microsoft Sentinel můžete použít k přiřazení explicitních a omezených oprávnění pro spouštění playbooků a roli Přispěvatel aplikace logiky k vytváření a úpravám playbooků.
Udělení oprávnění ke spouštění playbooků službě Microsoft Sentinel
Microsoft Sentinel používá speciální účet služby k ručnímu spouštění playbooků triggeru incidentů nebo k jejich volání z pravidel automatizace. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby.
Aby pravidlo automatizace spustilo playbook, musí být tomuto účtu udělena explicitní oprávnění ke skupině prostředků, ve které se playbook nachází. V tomto okamžiku může jakékoli pravidlo automatizace spustit libovolný playbook v dané skupině prostředků. Pokud chcete udělit tato oprávnění tomuto účtu služby, musí mít váš účet oprávnění vlastníka ke skupinám prostředků obsahujícím playbooky.
Připojení zdrojů dat ke službě Microsoft Sentinel
Aby uživatel přidal datové konektory, musíte mu přiřadit oprávnění k zápisu do pracovního prostoru služby Microsoft Sentinel. Všimněte si požadovaných dodatečných oprávnění pro každý konektor, jak je uvedeno na příslušné stránce konektoru.
Uživatelé typu host přiřazující incidenty
Pokud uživatel typu host potřebuje mít možnost přiřazovat incidenty, musíte mu kromě role Respondér služby Microsoft Sentinel přiřadit také čtenáře adresáře . Všimněte si, že role čtenáře adresáře není role Azure, ale role Azure Active Directory a že běžní uživatelé (ne host) mají tuto roli přiřazenou ve výchozím nastavení.
Vytváření a odstraňování sešitů
K vytvoření a odstranění sešitu služby Microsoft Sentinel potřebuje uživatel buď roli Přispěvatel microsoft Sentinelu, nebo menší roli Microsoft Sentinelu a také roli Přispěvatel sešitu v Azure Monitoru. Tato role není nutná k používání sešitů, ale jenom k vytváření a odstraňování.
Role Azure a Log Analytics, které se můžou zobrazit přiřazené
Při přiřazování rolí Azure specifických pro Microsoft Sentinel můžete narazit na jiné role Azure a Log Analytics, které mohou být uživatelům přiřazeny pro jiné účely. Všimněte si, že tyto role udělují širší sadu oprávnění, která zahrnují přístup k pracovnímu prostoru služby Microsoft Sentinel a dalším prostředkům:
Role Azure:Vlastník, Přispěvatel a Čtenář. Role Azure udělují přístup ke všem prostředkům Azure, včetně pracovních prostorů služby Log Analytics a prostředků Služby Microsoft Sentinel.
Role Log Analytics:Přispěvatel Log Analytics a Čtenář Log Analytics. Role Log Analytics udělují přístup k pracovním prostorům služby Log Analytics.
Například uživatel s přiřazenou rolí čtenáře Microsoft Sentinelu , ale ne s rolí Přispěvatel služby Microsoft Sentinel , může položky ve službě Microsoft Sentinel upravovat, pokud má tento uživatel přiřazenou také roli Přispěvatel na úrovni Azure. Pokud tedy chcete uživateli udělit oprávnění pouze ve službě Microsoft Sentinel, pečlivě odeberte předchozí oprávnění tohoto uživatele a ujistěte se, že neporušíte potřebný přístup k jinému prostředku.
Role, oprávnění a povolené akce služby Microsoft Sentinel
Tato tabulka shrnuje role Služby Microsoft Sentinel a jejich povolené akce ve službě Microsoft Sentinel.
| Role | Zobrazení a spouštění playbooků | Vytváření a úpravy playbooků | Vytváření a úpravy analytických pravidel, sešitů a dalších prostředků služby Microsoft Sentinel | Správa incidentů (zavření, přiřazení atd.) | Zobrazení dat, incidentů, sešitů a dalších prostředků služby Microsoft Sentinel |
|---|---|---|---|---|---|
| Čtečka služby Microsoft Sentinel | -- | -- | --* | -- | ✓ |
| Respondér služby Microsoft Sentinel | -- | -- | --* | ✓ | ✓ |
| Přispěvatel služby Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ |
| Operátor playbooku služby Microsoft Sentinel | ✓ | -- | -- | -- | -- |
| Přispěvatel aplikace logiky | ✓ | ✓ | -- | -- | -- |
* Uživatelé s těmito rolemi můžou vytvářet a odstraňovat sešity s rolí Přispěvatel sešitů . Přečtěte si o dalších rolích a oprávněních.
Projděte si doporučení rolí , pro které role se mají přiřadit kterým uživatelům v soc.
Vlastní role a pokročilé řízení přístupu k Azure na základě role
Vlastní role. Kromě použití předdefinovaných rolí Azure nebo místo toho můžete vytvořit vlastní role Azure pro Microsoft Sentinel. Vlastní role Azure pro Microsoft Sentinel vytváříte stejným způsobem jako vlastní role Azure na základě konkrétních oprávnění k Microsoft Sentinelu a prostředkům Azure Log Analytics.
Řízení přístupu na základě role v Log Analytics. Pro data v pracovním prostoru služby Microsoft Sentinel můžete použít rozšířený azure RBAC služby Log Analytics. To zahrnuje Azure RBAC na základě datového typu i Azure RBAC v kontextu prostředků. Další informace najdete v tématech:
- Správa dat protokolu a pracovních prostorů ve službě Azure Monitor
- Řízení přístupu na základě role v kontextu prostředku pro Microsoft Sentinel
- Řízení přístupu na základě role (RBAC) na úrovni tabulky
Řízení přístupu na úrovni prostředků a řízení přístupu na úrovni tabulky jsou dva způsoby, jak udělit přístup ke konkrétním datům v pracovním prostoru služby Microsoft Sentinel, aniž byste povolili přístup k celému prostředí služby Microsoft Sentinel.
Doporučení k rolím a oprávněním
Jakmile pochopíte, jak role a oprávnění fungují ve službě Microsoft Sentinel, můžete si projít tyto osvědčené postupy pro použití rolí u uživatelů:
| Typ uživatele | Role | Skupina prostředků | Description |
|---|---|---|---|
| Analytici zabezpečení | Respondér služby Microsoft Sentinel | Skupina prostředků služby Microsoft Sentinel | Zobrazení dat, incidentů, sešitů a dalších prostředků služby Microsoft Sentinel Správa incidentů, jako je přiřazování nebo rušení incidentů |
| Operátor playbooku služby Microsoft Sentinel | Skupina prostředků služby Microsoft Sentinel nebo skupina prostředků, ve které jsou uložené playbooky | Připojte playbooky k analytickým a automatizačním pravidlům. Spouštění playbooků. |
|
| Technici zabezpečení | Přispěvatel služby Microsoft Sentinel | Skupina prostředků služby Microsoft Sentinel | Zobrazení dat, incidentů, sešitů a dalších prostředků služby Microsoft Sentinel Správa incidentů, jako je přiřazování nebo rušení incidentů Vytvářejte a upravujte sešity, analytická pravidla a další prostředky služby Microsoft Sentinel. |
| Přispěvatel Logic Apps | Skupina prostředků služby Microsoft Sentinel nebo skupina prostředků, ve které jsou uložené playbooky | Připojte playbooky k analytickým a automatizačním pravidlům. Spouštění a úpravy playbooků |
|
| Instanční objekt | Přispěvatel služby Microsoft Sentinel | Skupina prostředků služby Microsoft Sentinel | Automatizovaná konfigurace pro úlohy správy |
Tip
V závislosti na ingestovaných nebo monitorovaných datech se může vyžadovat více rolí. Například Azure AD role, například role globálního správce nebo správce zabezpečení, mohou být vyžadovány k nastavení datových konektorů pro služby na jiných portálech Microsoft Portal.
Další kroky
V tomto článku jste zjistili, jak pracovat s rolemi pro uživatele služby Microsoft Sentinel a co jednotlivé role umožňují uživatelům dělat.
Příspěvky na blogu o zabezpečení a dodržování předpisů v Azure najdete na blogu služby Microsoft Sentinel.