Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak Microsoft Sentinel přiřazuje oprávnění k rolím uživatelů pro Microsoft Sentinel SIEM i Microsoft Sentinel Data Lake a identifikuje povolené akce pro každou roli.
Microsoft Sentinel používá řízení přístupu na základě rolí pro Azure (Azure RBAC) k poskytování předdefinovaných a vlastních rolí pro Microsoft Sentinel SIEM a řízení přístupu na základě rolí pro Microsoft Entra ID (Microsoft Entra ID RBAC) k poskytování předdefinovaných a vlastních rolí pro datové jezero Microsoft Sentinel. Role se dají přiřadit uživatelům, skupinám a službám v Azure nebo Microsoft Entra ID.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.
Předdefinované role Azure pro Microsoft Sentinel
Následující předdefinované role Azure se používají pro Microsoft Sentinel SIEM a udělují přístup ke čtení k datům pracovního prostoru, včetně podpory datového jezera Microsoft Sentinelu. Přiřaďte tyto role na úrovni skupiny prostředků pro dosažení nejlepších výsledků.
| Role | Podpora SIEM | Podpora data lake |
|---|---|---|
| Čtenář Microsoft Sentinelu | Zobrazit data, incidenty, sešity a další zdroje | Přístup k pokročilým analýzám a spouštění interaktivních dotazů jenom v pracovních prostorech |
| Microsoft Sentinel Responder | Všechna oprávnění čtenáře a správa incidentů | není k dispozici |
| Přispěvatel Microsoft Sentinelu | Všechna oprávnění responderu, plus oprávnění k instalaci/aktualizaci řešení, vytváření/úpravě prostředků | Přístup k pokročilým analýzám a spouštění interaktivních dotazů jenom v pracovních prostorech |
| Operátor Playbooku Microsoft Sentinel | Seznam, zobrazení a ruční spouštění playbooků | není k dispozici |
| Přispěvatel služby Microsoft Sentinel Automation | Umožňuje Službě Microsoft Sentinel přidávat playbooky do pravidel automatizace. Nepoužívá se pro uživatelské účty. | není k dispozici |
Následující tabulka například ukazuje příklady úloh, které můžou jednotlivé role provádět v Microsoft Sentinelu:
| Role | Spouštění playbooků | Vytvořit/upravit playbooky | Vytváření a úpravy analytických pravidel, sešitů atd. | Správa incidentů | Zobrazit data, incidenty, pracovní sešity | Správa centra obsahu |
|---|---|---|---|---|---|---|
| Čtenář Microsoft Sentinelu | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Přispěvatel Microsoft Sentinelu | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operátor playbooku Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Přispěvatel aplikace logiky | ✓ | ✓ | -- | -- | -- | -- |
*S rolí Přispěvatel sešitu .
Doporučujeme přiřadit role skupině prostředků, která obsahuje pracovní prostor Microsoft Sentinel. Tím zajistíte, že se na všechny související prostředky, jako jsou Logic Apps a playbooky, vztahují stejná přiřazení rolí.
Jako další možnost přiřaďte role přímo k samotnému pracovnímu prostoru Služby Microsoft Sentinel. Pokud to uděláte, musíte přiřadit stejné role prostředku řešení SecurityInsights v pracovním prostoru. Může být také potřeba je přiřadit k jiným prostředkům a průběžně spravovat přiřazení rolí k prostředkům.
Další role pro konkrétní úlohy
Uživatelé s určitými požadavky na úlohy možná budou muset mít přiřazené jiné role nebo konkrétní oprávnění, aby mohli provádět své úkoly. Například:
| Úkol | Požadované role nebo oprávnění |
|---|---|
| Připojení zdrojů dat | Oprávnění k zápisu do pracovního prostoru Projděte si dokumentaci ke konektorům a zkontrolujte další požadovaná oprávnění pro jednotlivé konektory. |
| Správa obsahu z Content Hubu | Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků |
| Automatizace odpovědí pomocí playbooků |
Operátor playbooku Microsoft Sentinel pro spouštění playbooků a Přispěvatel pro aplikace logiky pro vytváření a úpravy playbooků. Microsoft Sentinel používá playbooky k automatické reakci na hrozby. Playbooky jsou založené na Azure Logic Apps a představují samostatný prostředek Azure. Pro konkrétní členy provozního týmu zabezpečení můžete chtít přiřadit možnost používat Logic Apps pro operace orchestrace zabezpečení, automatizace a reakce (SOAR). |
| Povolit Microsoft Sentinelu spouštět playbooky prostřednictvím automatizace | Účet typu Service Account potřebuje explicitní oprávnění pro skupinu prostředků playbooku; k přiřazení těchto oprávnění potřebuje váš účet oprávnění Vlastník. Microsoft Sentinel používá speciální účet služby ke spuštění playbooků spouštějících incidenty ručně nebo k jejich volání z automatizačních pravidel. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby. Aby se pravidlo automatizace mohlo spustit, je nutné, aby účet měl výslovná oprávnění ke skupině zdrojů, kde se nachází daný playbook. V tomto okamžiku může jakékoli pravidlo automatizace spouštět libovolný playbook v této skupině prostředků. |
| Uživatelé typu host přiřazují incidenty |
Čtenář adresáře AND Microsoft Sentinel Responder Role Čtenář adresáře není role Azure, ale role Microsoft Entra ID a běžní uživatelé (nehostující) mají tuto roli přiřazenou ve výchozím nastavení. |
| Vytváření a odstraňování sešitů | Přispěvatel Microsoft Sentinelu nebo nižší role Microsoft Sentinelu a Přispěvatel sešitů |
Další role Azure a Log Analytics
Když přiřadíte role Azure specifické pro Microsoft Sentinel, můžete se setkat s dalšími rolemi Azure a Log Analytics, které se můžou přiřadit uživatelům pro jiné účely. Tyto role udělují širší sadu oprávnění, která zahrnují přístup k pracovnímu prostoru Služby Microsoft Sentinel a dalším prostředkům:
- Role Azure:Vlastník, Přispěvatel, Čtenář – Udělte široký přístup k prostředkům Azure.
- Role Log Analytics:Přispěvatel Log Analytics, Čtenář Log Analytics – udělte přístup k pracovním prostorům služby Log Analytics.
Důležité
Přiřazení rolí jsou kumulativní. Uživatel s rolí čtenáře Microsoft Sentinelu i přispěvatele může mít více oprávnění, než je zamýšleno.
Doporučená přiřazení rolí pro uživatele Služby Microsoft Sentinel
| Typ uživatele | Role | Skupina prostředků | Popis |
|---|---|---|---|
| Analytici zabezpečení | Microsoft Sentinel Responder | Skupina prostředků Microsoft Sentinelu | Zobrazení a správa incidentů, dat, sešitů |
| Operátor playbooku Microsoft Sentinel | Microsoft Sentinel / skupina prostředků playbooku | Připojení/spuštění playbooků | |
| Technici zabezpečení | Přispěvatel Microsoft Sentinelu | Skupina prostředků systému Microsoft Sentinel | Správa incidentů, obsahu, prostředků |
| Přispěvatel aplikace logiky | Microsoft Sentinel / skupina prostředků playbooku | Spuštění nebo úprava playbooků | |
| Objekt identifikace služby | Přispěvatel Microsoft Sentinelu | Skupina prostředků Microsoft Sentinel | Úlohy automatizované správy |
Role a oprávnění pro datové jezero Microsoft Sentinelu (preview)
Pokud chcete použít datové jezero Microsoft Sentinelu, musí být váš pracovní prostor nasazený na portálu Defender a na datové jezero Microsoft Sentinelu.
Oprávnění ke čtení data Lake služby Microsoft Sentinel
Role ID Microsoft Entra poskytují široký přístup napříč všemi pracovními prostory v datovém jezeře. Pomocí následujících rolí můžete poskytnout přístup pro čtení ke všem pracovním prostorům v datovém jezeře Microsoft Sentinelu, jako je spouštění dotazů.
| Typ oprávnění | Podporované role |
|---|---|
| Přístup pro čtení ve všech pracovních prostorech | Použijte některou z následujících rolí MICROSOFT Entra ID: - Globální čtenář - Čtenář zabezpečení - Operátor zabezpečení - Správce zabezpečení - Globální správce |
Případně můžete chtít přiřadit možnost čtení tabulek z konkrétního pracovního prostoru. V takových případech použijte jednu z následujících možností:
| Úkoly | Povolení |
|---|---|
| Oprávnění ke čtení výchozího pracovního prostoru | Použijte vlastní sjednocenou roli RBAC v Microsoft Defender XDR s oprávněními k datům (čtení) při shromažďování dat Microsoft Sentinel. |
| Oprávnění ke čtení v jakémkoli jiném pracovním prostoru povoleném pro Microsoft Sentinel v datovém jezeře | Pro oprávnění k tomuto pracovnímu prostoru použijte jednu z následujících předdefinovaných rolí v Azure RBAC: - Čtenář Log Analytics - Přispěvatel Log Analytics - Přispěvatel Microsoft Sentinelu - Čtenář Microsoft Sentinelu - Čtenář - Přispěvatel - Vlastník |
Oprávnění k zápisu do služby Data Lake v Microsoft Sentinelu
Role ID Microsoft Entra poskytují široký přístup napříč všemi pracovními prostory v datovém jezeře. Pomocí následujících rolí můžete poskytnout přístup k zápisu do tabulek Microsoft Sentinel Data Lake:
| Typ oprávnění | Podporované role |
|---|---|
| Zápis do tabulek v analytické vrstvě pomocí úloh KQL nebo poznámkových bloků | Použijte jednu z následujících rolí ID Microsoft Entra: - Operátor zabezpečení - Správce zabezpečení - Globální správce |
| Zápis do tabulek v datovém jezeře Microsoft Sentinelu | Použijte jednu z následujících rolí ID Microsoft Entra: - Operátor zabezpečení - Správce zabezpečení - Globální správce |
Případně můžete chtít přiřadit možnost zápisu výstupu do konkrétního pracovního prostoru, včetně vytváření, aktualizace a odstraněných tabulek v daném pracovním prostoru. V takových případech použijte jednu z následujících možností:
| Úkoly | Povolení |
|---|---|
| Oprávnění k úpravám výchozího pracovního prostoru | Použijte vlastní jednotnou roli RBAC v programu Microsoft Defender s oprávněními k datům (správě) pro shromažďování dat Microsoft Sentinelu. |
| Pro jakýkoli jiný pracovní prostor Microsoft Sentinelu v datovém jezeře | Použijte libovolnou předdefinovanou nebo vlastní roli, která zahrnuje následující oprávnění Azure RBAC Microsoft Operational Insights v tomto pracovním prostoru: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Například předdefinované role, které zahrnují tato oprávnění Přispěvatel Log Analytics, Vlastník a Přispěvatel. |
Správa úloh v datovém jezeře Microsoft Sentinelu
Pokud chcete vytvořit naplánované úlohy nebo spravovat úlohy v datovém jezeře Microsoft Sentinelu, musíte mít jednu z následujících rolí ID Microsoft Entra:
Vlastní role a pokročilé RBAC (řízení přístupu na základě role)
Pokud chcete omezit přístup k určitým datům, ale ne k celému pracovnímu prostoru, použijte řízení přístupu na základě rolí v kontextu prostředků (RBAC) nebo řízení přístupu na úrovni tabulky (RBAC). To je užitečné pro týmy, které potřebují přístup jenom k určitým datovým typům nebo tabulkám.
V opačném případě použijte jednu z následujících možností pro pokročilé RBAC:
- Pro přístup k SIEM pro Microsoft Sentinel použijte vlastní role Azure.
- Pro datové jezero Microsoft Sentinel použijte jednotné vlastní role RBAC v programu Defender XDR.
Související obsah
Další informace najdete v tématu Správa dat protokolu a pracovních prostorů ve službě Azure Monitor.