Role a oprávnění v Microsoft Sentinelu
Tento článek vysvětluje, jak Microsoft Sentinel přiřazuje oprávnění k rolím uživatelů a identifikuje povolené akce pro každou roli. Microsoft Sentinel používá řízení přístupu na základě role v Azure (Azure RBAC) k poskytování předdefinovaných rolí , které je možné přiřadit uživatelům, skupinám a službám v Azure. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
Pomocí Azure RBAC můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role Azure je možné přiřadit přímo v pracovním prostoru Microsoft Sentinelu nebo v předplatném nebo skupině prostředků, do které pracovní prostor patří, což Microsoft Sentinel dědí.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Role a oprávnění pro práci v Microsoft Sentinelu
Udělte odpovídající přístup k datům v pracovním prostoru pomocí předdefinovaných rolí. V závislosti na úlohách uživatele možná budete muset udělit více rolí nebo konkrétních oprávnění.
Role specifické pro Microsoft Sentinel
Všechny předdefinované role Microsoft Sentinelu uděluje přístup pro čtení k datům v pracovním prostoru Služby Microsoft Sentinel.
Čtenář služby Microsoft Sentinel může zobrazit data, incidenty, sešity a další prostředky služby Microsoft Sentinel.
Microsoft Sentinel Responder může kromě oprávnění pro Microsoft Sentinel Reader spravovat incidenty, jako je přiřazování, zavření a změna incidentů.
Přispěvatel Microsoft Sentinelu může kromě oprávnění pro Microsoft Sentinel Responder instalovat a aktualizovat řešení z centra obsahu a vytvářet a upravovat prostředky Microsoft Sentinelu, jako jsou sešity, analytická pravidla a další.
Operátor playbooku Microsoft Sentinel může zobrazit, zobrazit a ručně spouštět playbooky.
Přispěvatel služby Microsoft Sentinel Automation, který umožňuje Microsoft Sentinelu přidat do pravidel automatizace playbooky. Není určená pro uživatelské účty.
Nejlepších výsledků dosáhnete tak, že tyto role přiřadíte skupině prostředků, která obsahuje pracovní prostor Služby Microsoft Sentinel. Tímto způsobem se role vztahují na všechny prostředky, které podporují Microsoft Sentinel, protože tyto prostředky by měly být také umístěny ve stejné skupině prostředků.
Jako další možnost přiřaďte role přímo k samotnému pracovnímu prostoru Služby Microsoft Sentinel. Pokud to uděláte, musíte přiřadit stejné role k prostředku řešení SecurityInsights v daném pracovním prostoru. Může být také potřeba je přiřadit k jiným prostředkům a průběžně spravovat přiřazení rolí k prostředkům.
Další role a oprávnění
Uživatelé s určitými požadavky na úlohy možná budou muset mít přiřazené jiné role nebo konkrétní oprávnění, aby mohli provádět své úkoly.
Instalace a správa předsaného obsahu
Vyhledejte zabalená řešení pro kompletní produkty nebo samostatný obsah z centra obsahu v Microsoft Sentinelu. Pokud chcete nainstalovat a spravovat obsah z centra obsahu, přiřaďte roli Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků.
Automatizace odpovědí na hrozby pomocí playbooků
Microsoft Sentinel používá playbooky k automatické reakci na hrozby. Playbooky jsou založené na Azure Logic Apps a představují samostatný prostředek Azure. Pro konkrétní členy provozního týmu zabezpečení můžete chtít přiřadit možnost používat Logic Apps pro operace orchestrace zabezpečení, automatizace a reakce (SOAR). Pomocí role Operátor playbooku Microsoft Sentinel můžete přiřadit explicitní, omezená oprávnění ke spouštění playbooků a roli Přispěvatel aplikace logiky k vytváření a úpravám playbooků.
Udělení oprávnění microsoft Sentinelu ke spouštění playbooků
Microsoft Sentinel používá speciální účet služby ke spouštění playbooků aktivující incidenty ručně nebo k jejich volání z pravidel automatizace. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby.
Aby pravidlo automatizace spustilo playbook, musí být tento účet udělena explicitní oprávnění ke skupině prostředků, ve které se playbook nachází. V tomto okamžiku může jakékoli pravidlo automatizace spouštět libovolný playbook v této skupině prostředků. Pokud chcete udělit tato oprávnění k tomuto účtu služby, musí mít váš účet oprávnění vlastníka ke skupinám prostředků obsahujícím playbooky.
Připojení zdrojů dat k Microsoft Sentinelu
Aby uživatel přidal datové konektory, musíte přiřadit oprávnění k zápisu uživatele v pracovním prostoru Služby Microsoft Sentinel. Všimněte si požadovaných dodatečných oprávnění pro každý konektor, jak je uvedeno na stránce příslušného konektoru.
Povolit uživatelům typu host přiřazovat incidenty
Pokud uživatel typu host potřebuje mít možnost přiřazovat incidenty, musíte uživateli kromě role Microsoft Sentinel Responder přiřadit roli Čtenář adresáře. Role Čtenář adresáře není role Azure, ale role Microsoft Entra a běžní (neguestové) uživatelé mají ve výchozím nastavení přiřazenou tuto roli.
Vytváření a odstraňování sešitů
Aby uživatel vytvořil a odstranil sešit Microsoft Sentinelu, potřebuje roli Přispěvatel Microsoft Sentinelu nebo menší roli Microsoft Sentinelu spolu s rolí Přispěvatel sešitů Azure Monitor. Tato role není nutná pro použití sešitů, pouze pro vytváření a odstraňování.
Role Azure a Log Analytics, které se můžou zobrazit jako přiřazené
Když přiřadíte role Azure specifické pro Microsoft Sentinel, můžete se setkat s dalšími rolemi Azure a Log Analytics, které se můžou přiřadit uživatelům pro jiné účely. Tyto role udělují širší sadu oprávnění, která zahrnují přístup k pracovnímu prostoru Služby Microsoft Sentinel a dalším prostředkům:
Role Azure: Vlastník, Přispěvatel a Čtenář. Role Azure udělují přístup ke všem prostředkům Azure včetně pracovních prostorů služby Log Analytics a prostředků služby Microsoft Sentinel.
Role Log Analytics: Přispěvatel Log Analytics a Čtenář Log Analytics. Role Log Analytics udělují přístup k pracovním prostorům služby Log Analytics.
Uživatel, který má například přiřazenou roli Čtenář Microsoft Sentinelu, ale ne roli Přispěvatel Microsoft Sentinelu, může položky v Microsoft Sentinelu upravovat, pokud má tento uživatel přiřazenou také roli Přispěvatel na úrovni Azure. Proto pokud chcete udělit oprávnění jenom uživateli v Microsoft Sentinelu, pečlivě odeberte předchozí oprávnění tohoto uživatele a ujistěte se, že neporušujete žádný potřebný přístup k jinému prostředku.
Role, oprávnění a povolené akce služby Microsoft Sentinel
Tato tabulka shrnuje role Microsoft Sentinelu a jejich povolené akce v Microsoft Sentinelu.
| Role | Zobrazení a spouštění playbooků | Vytváření a úpravy playbooků | Vytváření a úpravy analytických pravidel, sešitů a dalších prostředků Microsoft Sentinelu | Správa incidentů (zavření, přiřazení atd.) | Zobrazení dat, incidentů, sešitů a dalších prostředků Microsoft Sentinelu | Instalace a správa obsahu z centra obsahu |
|---|---|---|---|---|---|---|
| Čtenář služby Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondér služby Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Přispěvatel služby Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operátor playbooku Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Přispěvatel aplikace logiky | ✓ | ✓ | -- | -- | -- | -- |
* Uživatelé s těmito rolemi mohou vytvářet a odstraňovat sešity s rolí Přispěvatel sešitů. Seznamte se s dalšími rolemi a oprávněními.
Projděte si doporučení rolí, pro které role se mají přiřadit uživatelům ve vašem SOC.
Vlastní role a pokročilé řízení přístupu k Azure na základě role
Vlastní role. Kromě předdefinovaných rolí Azure nebo místo toho můžete vytvářet vlastní role Azure pro Microsoft Sentinel. Vlastní role Azure pro Microsoft Sentinel vytvoříte stejným způsobem jako vlastní role Azure na základě konkrétních oprávnění pro Microsoft Sentinel a prostředků Azure Log Analytics.
Řízení přístupu na základě role v Log Analytics Azure RBAC služby Log Analytics můžete použít napříč daty v pracovním prostoru Služby Microsoft Sentinel. To zahrnuje azure RBAC založený na datovém typu i azure RBAC v kontextu prostředků. Další informace najdete v tématech:
- Správa dat protokolů a pracovních prostorů ve službě Azure Monitor
- Řízení přístupu na základě role na základě prostředků pro Microsoft Sentinel
- Řízení přístupu na úrovni tabulky
Řízení přístupu na úrovni prostředků a tabulek jsou dvěma způsoby, jak udělit přístup ke konkrétním datům v pracovním prostoru Služby Microsoft Sentinel, aniž byste umožnili přístup k celému prostředí Microsoft Sentinelu.
Doporučení pro role a oprávnění
Po pochopení fungování rolí a oprávnění v Microsoft Sentinelu si můžete projít tyto osvědčené postupy pro použití rolí u uživatelů:
| Typ uživatele | Role | Skupina prostředků | Popis |
|---|---|---|---|
| Analytici zabezpečení | Microsoft Sentinel Responder | Skupina prostředků Microsoft Sentinelu | Umožňuje zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu. Spravujte incidenty, jako je přiřazování nebo rušení incidentů. |
| Operátor playbooku Microsoft Sentinel | Skupina prostředků Microsoft Sentinelu nebo skupina prostředků, ve které jsou uložené playbooky | Připojte playbooky k analytickým a automatizačním pravidlům. Spusťte playbooky. |
|
| Technici zabezpečení | Přispěvatel Microsoft Sentinelu | Skupina prostředků Microsoft Sentinelu | Umožňuje zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu. Spravujte incidenty, jako je přiřazování nebo rušení incidentů. Vytvářejte a upravujte sešity, analytická pravidla a další prostředky Microsoft Sentinelu. Instalace a aktualizace řešení z centra obsahu |
| Přispěvatel Logic Apps | Skupina prostředků Microsoft Sentinelu nebo skupina prostředků, ve které jsou uložené playbooky | Připojte playbooky k analytickým a automatizačním pravidlům. Spusťte a upravte playbooky. |
|
| Instanční objekt | Přispěvatel Microsoft Sentinelu | Skupina prostředků Microsoft Sentinelu | Automatizovaná konfigurace pro úlohy správy |
V závislosti na datech, která ingestujete nebo monitorujete, může být vyžadováno více rolí. K nastavení datových konektorů pro služby na jiných portálech Microsoftu se například můžou vyžadovat role Správce zabezpečení.
Řízení přístupu na základě prostředků
Možná máte některé uživatele, kteří potřebují přístup jenom ke konkrétním datům v pracovním prostoru Microsoft Sentinelu, ale neměli by mít přístup k celému prostředí Microsoft Sentinelu. Můžete například chtít poskytnout týmu mimo operace zabezpečení přístup k datům událostí Windows pro servery, které vlastní.
V takových případech doporučujeme nakonfigurovat řízení přístupu na základě role (RBAC) na základě prostředků, které jsou vašim uživatelům povoleny, a neposkytovat jim přístup k pracovnímu prostoru Microsoft Sentinelu nebo konkrétním funkcím Microsoft Sentinelu. Tato metoda se také označuje jako nastavení řízení přístupu na základě role v kontextu prostředku. Další informace najdete v tématu Správa přístupu k datům Microsoft Sentinelu podle prostředků.
Další kroky
V tomto článku jste se naučili pracovat s rolemi pro uživatele Microsoft Sentinelu a s tím, co jednotlivé role umožňují uživatelům.