Vysvětlení oprávnění a rolí služby Microsoft Sentinel
Microsoft Sentinel využívá řízení přístupu na základě role v Azure (Azure RBAC), které poskytuje předdefinované role, které je možné přiřadit uživatelům, skupinám a službám v Azure.
Pomocí Azure RBAC můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Služby Microsoft Sentinel vidět a dělat. Role Azure se dají přiřadit přímo v pracovním prostoru Microsoft Sentinelu nebo v předplatném nebo skupině prostředků, do které pracovní prostor patří, což Microsoft Sentinel zdědí.
Role specifické pro Microsoft Sentinel
Všechny předdefinované role Microsoft Sentinelu uděluje přístup pro čtení k datům v pracovním prostoru Microsoft Sentinelu:
Čtenář Microsoft Sentinelu: může zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.
Microsoft Sentinel Responder: Kromě výše uvedeného může spravovat incidenty (přiřazení, zavření atd.)
Přispěvatel Microsoft Sentinelu: Kromě výše uvedených možností může vytvářet a upravovat sešity, analytická pravidla a další prostředky Microsoft Sentinelu.
Přispěvatel microsoft Sentinel Automation: Umožňuje Microsoft Sentinelu přidávat playbooky do pravidel automatizace. Není určená pro uživatelské účty.
Nejlepších výsledků dosáhnete, když tyto role přiřadíte skupině prostředků, která obsahuje pracovní prostor Služby Microsoft Sentinel. Tyto role se pak vztahují na všechny prostředky, které se nasazují pro podporu služby Microsoft Sentinel, pokud jsou tyto prostředky ve stejné skupině prostředků.
Další role a oprávnění
Uživatelé s určitými požadavky na úlohy možná budou muset mít přiřazené jiné role nebo konkrétní oprávnění, aby mohli provádět své úkoly.
Práce s playbooky pro automatizaci odpovědí na hrozby
Microsoft Sentinel používá playbooky k automatické reakci na hrozby. Playbooky jsou založené na Azure Logic Apps a představují samostatný prostředek Azure. Možná budete chtít přiřadit konkrétním členům provozního týmu zabezpečení možnost používat Logic Apps pro operace orchestrace zabezpečení, automatizace a reakce (SOAR). Pomocí role Přispěvatel aplikace logiky můžete přiřadit explicitní oprávnění k používání playbooků.
Udělení oprávnění microsoft Sentinelu ke spouštění playbooků
Microsoft Sentinel používá speciální účet služby ke spouštění playbooků aktivující incidenty ručně nebo k jejich volání z pravidel automatizace. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby.
Aby mohlo pravidlo automatizace spustit playbook, tento účet musí mít udělená explicitní oprávnění ke skupině prostředků, ve které se playbook nachází. Pak bude moct jakékoli pravidlo automatizace spustit jakýkoli playbook v dané skupině prostředků. Pokud chcete tomuto účtu služby udělit tato oprávnění, váš účet musí mít oprávnění vlastníka ke skupinám prostředků obsahujícím playbooky.
Připojení zdrojů dat do Služby Microsoft Sentinel
Aby uživatel přidal datové konektory, musíte přiřadit oprávnění k zápisu uživatele do pracovního prostoru Microsoft Sentinelu. Všimněte si také požadovaných dalších oprávnění pro jednotlivé konektory, jak je uvedeno na stránce příslušného konektoru.
Uživatelé typu host přiřazující incidenty
Pokud musí být uživatel typu host schopný přiřazovat incidenty, bude kromě role Microsoft Sentinel Responder potřeba přiřadit také roli čtenáře adresáře. Tato role není role Azure, ale role Microsoft Entra a že tuto roli mají ve výchozím nastavení přiřazení běžní uživatelé (mimo host).
Vytváření a odstraňování sešitů
Pokud chce uživatel vytvořit a odstranit sešit Microsoft Sentinelu, vyžaduje roli Přispěvatel Microsoft Sentinelu nebo menší roli Microsoft Sentinelu a roli Přispěvatel sešitu služby Azure Monitor. Tato role není nutná pro použití sešitů, ale pouze pro vytváření a odstraňování.
Role Azure a role Azure Monitor Log Analytics
Kromě rolí Azure RBAC vyhrazených službou Microsoft Sentinel můžou další role Azure A Log Analytics Azure RBAC udělit širší sadu oprávnění. Mezi tyto role patří přístup k pracovnímu prostoru Microsoft Sentinelu a dalším prostředkům.
Role Azure udělují přístup napříč všemi prostředky Azure. Patří mezi ně pracovní prostory Log Analytics a prostředky Microsoft Sentinelu:
Vlastník
Přispěvatel
Čtenář
Role Log Analytics udělují přístup ke všem pracovním prostorům služby Log Analytics:
Přispěvatel Log Analytics
Čtenář Log Analytics
Například uživatel, který je přiřazený k rolím Čtenář Microsoft Sentinelu a Přispěvatel Azure (nikoli Přispěvatel Microsoft Sentinelu), může upravovat data v Microsoft Sentinelu. Pokud chcete udělit oprávnění jenom službě Microsoft Sentinel, měli byste pečlivě odebrat předchozí oprávnění uživatele. Ujistěte se, že nenarušíte žádnou roli s potřebnými oprávněními pro jiný prostředek.
Role Microsoft Sentinelu a povolené akce
Následující tabulka shrnuje role a povolené akce v Microsoft Sentinelu.
| Role | Vytváření a spouštění playbooků | Vytváření a úpravy sešitů, analytických pravidel a dalších prostředků Microsoft Sentinelu | Správa incidentů, například rušení a přiřazování | Zobrazení datových incidentů, sešitů a dalších prostředků Microsoft Sentinelu |
|---|---|---|---|---|
| Čtenář služby Microsoft Sentinel | No | No | Ne | Ano |
| Respondér služby Microsoft Sentinel | No | Ne | Ano | Yes |
| Přispěvatel služby Microsoft Sentinel | No | Ano | Ano | Yes |
| Přispěvatel Microsoft Sentinelu a Přispěvatel aplikací logiky | Ano | Ano | Ano | Yes |
Vlastní role a pokročilé řízení přístupu k Azure na základě role
Pokud předdefinované role Azure nesplňují konkrétní požadavky vaší organizace, můžete si vytvořit vlastní role. Stejně jako předdefinované role můžete vlastní role přiřadit uživatelům, skupinám a instančním objektům pro obory skupiny pro správu, předplatného a skupiny prostředků.