Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel forklares det, hvordan Microsoft Sentinel tildeler tilladelser til brugerroller for både Microsoft Sentinel SIEM og Microsoft Sentinel datasø, så de tilladte handlinger for hver rolle identificeres.
Microsoft Sentinel bruger Azure rollebaseret adgangskontrol (Azure RBAC) til at levere indbyggede og brugerdefinerede roller til Microsoft Sentinel SIEM og Microsoft Entra ID rollebaseret adgangskontrol ( Microsoft Entra ID RBAC) til at levere indbyggede og brugerdefinerede roller til Microsoft Sentinel datasø.
Du kan tildele roller til brugere, grupper og tjenester i enten Azure eller Microsoft Entra ID.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Bemærk!
Hvis du kører Microsoft Defender XDR-prøveversionsprogrammet, kan du nu opleve den nye URBAC-model (Microsoft Defender Unified Role-Based Access Control). Du kan få flere oplysninger under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).
Vigtigt!
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Indbyggede Azure roller til Microsoft Sentinel
Følgende indbyggede Azure roller bruges til Microsoft Sentinel SIEM og giver læseadgang til arbejdsområdedataene, herunder understøttelse af den Microsoft Sentinel datasø. Tildel disse roller på ressourcegruppeniveau for at få de bedste resultater.
| Rolle | SIEM-support | Understøttelse af datasøer |
|---|---|---|
| Microsoft Sentinel Læser | Få vist data, hændelser, projektmapper, anbefalinger og andre ressourcer | Få adgang til avancerede analyser, og kør kun interaktive forespørgsler på arbejdsområder. |
| Microsoft Sentinel responder | Alle læsertilladelser samt administrer hændelser | NIELSEN |
| Microsoft Sentinel bidragyder | Alle respondertilladelser plus installations-/opdateringsløsninger, opret/rediger ressourcer | Få adgang til avancerede analyser, og kør kun interaktive forespørgsler på arbejdsområder. |
| Microsoft Sentinel playbook-operatør | Opret en liste over, få vist og kør playbooks manuelt | NIELSEN |
| Microsoft Sentinel Automation Contributor | Gør det muligt for Microsoft Sentinel at føje playbooks til automatiseringsregler. Bruges ikke til brugerkonti. | NIELSEN |
Følgende tabel viser f.eks. eksempler på opgaver, som hver rolle kan udføre i Microsoft Sentinel:
| Rolle | Kør playbooks | Opret/rediger playbooks | Opret/rediger analyseregler, projektmapper osv. | Administrer hændelser | Få vist data, hændelser, projektmapper, anbefalinger | Administrer indholdshub |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Læser | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel bidragyder | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel playbook-operatør | ✓ | -- | -- | -- | -- | -- |
| Bidragyder til Logic App | ✓ | ✓ | -- | -- | -- | -- |
*Med rollen som bidragyder til projektmapper .
Vi anbefaler, at du tildeler roller til den ressourcegruppe, der indeholder det Microsoft Sentinel arbejdsområde. Dette sikrer, at alle relaterede ressourcer, f.eks. Logic Apps og playbooks, er omfattet af de samme rolletildelinger.
Som en anden mulighed kan du tildele rollerne direkte til selve Microsoft Sentinel arbejdsområde. Hvis du gør det, skal du tildele de samme roller til SecurityInsights-løsningsressourcen i det pågældende arbejdsområde. Du skal muligvis også tildele dem til andre ressourcer og løbende administrere rolletildelinger til ressourcerne.
Yderligere roller for bestemte opgaver
Brugere med bestemte jobkrav skal muligvis tildeles andre roller eller specifikke tilladelser for at kunne udføre deres opgaver. Det kan f.eks. være:
| Opgave | Påkrævede roller/tilladelser |
|---|---|
| Opret forbindelse til datakilder | Skrivetilladelse til arbejdsområdet. Kontrollér connectordokumenterne for at få ekstra tilladelser, der kræves pr. connector. |
| Administrer indhold fra Indholdshub | Microsoft Sentinel bidragyder på ressourcegruppeniveau |
| Automatiser svar med playbooks |
Microsoft Sentinel Playbook Operator, til at køre playbooks og Logic App Contributor til at oprette/redigere playbooks. Microsoft Sentinel bruger playbooks til automatiseret trusselssvar. Playbooks er baseret på Azure Logic Apps og er en separat Azure ressource. For bestemte medlemmer af dit team for sikkerhedshandlinger kan det være en god idé at tildele muligheden for at bruge Soar-handlinger (Logic Apps for Security Orchestration, Automation og Response). |
| Tillad, at Microsoft Sentinel kører playbooks via automatisering | Tjenestekontoen skal have eksplicitte tilladelser til ressourcegruppen i playbook. din konto skal have ejertilladelser for at tildele disse. Microsoft Sentinel bruger en særlig tjenestekonto til at køre playbooks, der udløser hændelser, manuelt eller til at kalde dem fra automatiseringsregler. Brugen af denne konto (i modsætning til din brugerkonto) øger sikkerhedsniveauet for tjenesten. Hvis en automatiseringsregel skal køre en playbook, skal denne konto tildeles eksplicitte tilladelser til den ressourcegruppe, hvor playbooken er placeret. På det tidspunkt kan enhver automatiseringsregel køre en hvilken som helst playbook i den pågældende ressourcegruppe. |
| Gæstebrugere tildeler hændelser |
Mappelæser OG Microsoft Sentinel responder Rollen Mappelæser er ikke en Azure rolle, men en Microsoft Entra ID rolle, og almindelige (ikke-erfarne) brugere har som standard tildelt denne rolle. |
| Opret/slet projektmapper | Microsoft Sentinel bidragyder eller en rolle, der er mindre Microsoft Sentinel OG bidragyder til projektmapper |
Andre Azure- og Log Analytics-roller
Når du tildeler Microsoft Sentinel specifikke Azure roller, kan du støde på andre Azure- og Log Analytics-roller, der kan være tildelt til brugere til andre formål. Disse roller giver et bredere sæt tilladelser, der omfatter adgang til dit Microsoft Sentinel arbejdsområde og andre ressourcer:
- Azure roller:Ejer, Bidragyder, Læser – tildel bred adgang på tværs af Azure ressourcer.
- Log Analytics-roller:Log Analytics Contributor, Log Analytics Reader – tildel adgang til Log Analytics-arbejdsområder.
Vigtigt!
Rolletildelinger er kumulative. En bruger med både Microsoft Sentinel rollerne Læser og Bidragyder kan have flere tilladelser end forventet.
Anbefalede rolletildelinger for Microsoft Sentinel brugere
| Brugertype | Rolle | Ressourcegruppe | Beskrivelse |
|---|---|---|---|
| Sikkerhedsanalytikere | Microsoft Sentinel responder | Microsoft Sentinel ressourcegruppe | Få vist/administrer hændelser, data, projektmapper |
| Microsoft Sentinel playbook-operatør | ressourcegruppe for Microsoft Sentinel/playbook | Vedhæft/kør playbooks | |
| Sikkerhedsteknikere | Microsoft Sentinel bidragyder | Microsoft Sentinel ressourcegruppe | Administrer hændelser, indhold, ressourcer |
| Bidragyder til Logic App | ressourcegruppe for Microsoft Sentinel/playbook | Kør/rediger playbooks | |
| Tjenesteprincipal | Microsoft Sentinel bidragyder | Microsoft Sentinel ressourcegruppe | Automatiserede administrationsopgaver |
Roller og tilladelser for den Microsoft Sentinel datasø
Hvis du vil bruge den Microsoft Sentinel datasø, skal dit arbejdsområde være onboardet til Defender-portalen og den Microsoft Sentinel datasø.
læserettigheder til Microsoft Sentinel datasø
Microsoft Entra ID roller giver bred adgang på tværs af alt indhold i datasøen. Brug følgende roller til at give læseadgang til alle arbejdsområder i Microsoft Sentinel datasø, f.eks. til kørsel af forespørgsler.
| Tilladelsestype | Understøttede roller |
|---|---|
| Læseadgang på tværs af alle arbejdsområder | Brug en af følgende Microsoft Entra ID roller: - Global læser - Sikkerhedslæser - Sikkerhedsoperator - Sikkerhedsadministrator - Global administrator |
Du kan også tildele muligheden for at læse tabeller fra et bestemt arbejdsområde. I sådanne tilfælde skal du bruge en af følgende:
| Opgaver | Tilladelser |
|---|---|
| Læsetilladelser til systemtabellerne | Brug en brugerdefineret Microsoft Defender XDR unified RBAC-rolle med grundlæggende sikkerhedsdatatilladelser (læs) for Microsoft Sentinel dataindsamling. |
| Læsetilladelser til et andet arbejdsområde, der er aktiveret for Microsoft Sentinel i datasøen | Brug en af følgende indbyggede roller i Azure RBAC for tilladelser til det pågældende arbejdsområde: - Log Analytics Reader - Log Analytics Contributor - Microsoft Sentinel bidragyder - Microsoft Sentinel Læser - Læser - Bidragyder - Ejer |
Microsoft Sentinel skriverettigheder til datasøer
Microsoft Entra ID roller giver bred adgang på tværs af alle arbejdsområder i datasøen. Brug følgende roller til at give skriveadgang til tabellerne Microsoft Sentinel data lake:
| Tilladelsestype | Understøttede roller |
|---|---|
| Skriv til tabeller på analyseniveauet ved hjælp af KQL-job eller notesbøger | Brug en af følgende Microsoft Entra ID roller: - Sikkerhedsoperator - Sikkerhedsadministrator - Global administrator |
| Skriv til tabeller i Microsoft Sentinel datasø | Brug en af følgende Microsoft Entra ID roller: - Sikkerhedsoperator - Sikkerhedsadministrator - Global administrator |
Du kan også tildele muligheden for at skrive output til et bestemt arbejdsområde. Dette kan omfatte muligheden for at konfigurere forbindelser til det pågældende arbejdsområde, ændre opbevaringsindstillinger for tabeller i arbejdsområdet eller oprette, opdatere og slette brugerdefinerede tabeller i det pågældende arbejdsområde. I sådanne tilfælde skal du bruge en af følgende:
| Opgaver | Tilladelser |
|---|---|
| Opdater systemtabeller i datasøen | Brug en brugerdefineret Microsoft Defender XDR unified RBAC-rolle med datatilladelser (administrer) for Microsoft Sentinel dataindsamling. |
| Alle andre Microsoft Sentinel arbejdsområder i datasøen | Brug en hvilken som helst indbygget eller brugerdefineret rolle, der indeholder følgende Azure RBAC Microsofts tilladelser til driftsindsigt i det pågældende arbejdsområde: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Det kan f.eks. være indbyggede roller, der omfatter disse tilladelser , Log Analytics Contributor, Owner og Contributor. |
Administrer job i Microsoft Sentinel datasø
Hvis du vil oprette planlagte job eller administrere job i den Microsoft Sentinel datasø, skal du have en af følgende Microsoft Entra ID roller:
Brugerdefinerede roller og avanceret RBAC
Hvis du vil begrænse adgangen til bestemte data, men ikke hele arbejdsområdet, skal du bruge RBAC eller RBAC på tabelniveau. Dette er nyttigt for teams, der kun har brug for adgang til bestemte datatyper eller tabeller.
Ellers skal du bruge en af følgende indstillinger for avanceret RBAC:
- Brug Azure brugerdefinerede roller til Microsoft Sentinel SIEM-adgang.
- I forbindelse med den Microsoft Sentinel datasø skal du bruge Defender XDR brugerdefinerede roller for unified RBAC.
Relateret indhold
Du kan få flere oplysninger under Administrer logdata og arbejdsområder i Azure Overvågning