Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Microsoft Sentinel Berechtigungen an Benutzerrollen zuweist und die zulässigen Aktionen für jede Rolle identifiziert. Microsoft Sentinel verwendet die rollenbasierte Zugriffssteuerung (Azure RBAC), um integrierte Rollen bereitzustellen, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Verwenden Sie Azure RBAC, um Rollen innerhalb Ihres Security Operations-Teams zu erstellen und zuzuweisen und damit angemessenen Zugriff auf Microsoft Sentinel zu ermöglichen. Mithilfe der verschiedenen Rollen können Sie präzise steuern, was Benutzer von Microsoft Sentinel anzeigen und welche Aktionen sie ausführen können. Azure-Rollen können direkt im Microsoft Sentinel-Arbeitsbereich oder in einem Abonnement oder einer Ressourcengruppe zugewiesen werden, zu dem bzw. der der Arbeitsbereich gehört, der von Microsoft Sentinel geerbt wird.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Rollen und Berechtigungen für die Arbeit in Microsoft Sentinel
Gewähren Sie den entsprechenden Zugriff auf die Daten in Ihrem Arbeitsbereich mithilfe integrierter Rollen. Je nach Auftragsaufgaben eines Benutzers müssen Sie möglicherweise weitere Rollen oder bestimmte Berechtigungen erteilen.
Microsoft Sentinel-spezifische Rollen
Alle in Microsoft Sentinel integrierten Rollen gewähren Lesezugriff auf die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich.
Microsoft Sentinel Reader kann Daten, Vorfälle, Arbeitsmappen und andere Microsoft Sentinel-Ressourcen anzeigen.
Microsoft Sentinel Responder kann zusätzlich zu den Berechtigungen für Microsoft Sentinel Reader Vorfälle wie Zuweisen, Schließen und Ändern von Vorfällen verwalten.
Microsoft Sentinel-Mitwirkender kann zusätzlich zu den Berechtigungen für Microsoft Sentinel Responder Lösungen aus dem Inhaltshub installieren und aktualisieren sowie Microsoft Sentinel-Ressourcen wie Arbeitsmappen, Analyseregeln und vieles mehr erstellen und bearbeiten.
Der Microsoft Sentinel Playbook-Operator kann Playbooks auflisten, anzeigen und manuell ausführen.
Microsoft Sentinel Automation-Mitwirkender ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht.
Um optimale Ergebnisse zu erzielen, weisen Sie diese Rollen der Ressourcengruppe zu, die den Microsoft Sentinel-Arbeitsbereich enthält. Auf diese Weise gelten die Rollen für alle Ressourcen, die zur Unterstützung von Microsoft Sentinel bereitgestellt werden, da diese Ressourcen auch in derselben Ressourcengruppe platziert werden sollten.
Weisen Sie als weitere Option die Rollen direkt dem Microsoft Sentinel-Arbeitsbereich selbst zu. Wenn Sie dies tun, müssen Sie der SecurityInsights-Lösungsressource in diesem Arbeitsbereich dieselben Rollen zuweisen. Möglicherweise müssen Sie sie auch anderen Ressourcen zuweisen und Rollenzuweisungen kontinuierlich für die Ressourcen verwalten.
Andere Rollen und Berechtigungen
Benutzer*innen mit besonderen Aufträgen müssen möglicherweise weitere Rollen oder spezifische Berechtigungen zugewiesen werden, damit sie ihre Aufgaben erfüllen können.
Verbinden von Datenquellen mit Microsoft Sentinel
Damit ein Benutzer Datenkonnektoren hinzufügen kann, müssen Sie dem Benutzer Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich zuweisen. Beachten Sie die erforderlichen zusätzlichen Berechtigungen für jeden Connector, wie auf der entsprechenden Connector-Seite aufgeführt.
Installieren und Verwalten von sofort einsatzbereiten Inhalten
Im Content Hub in Microsoft Sentinel finden Sie Paketlösungen für End-to-End-Produkte oder eigenständige Inhalte. Um Inhalte aus dem Inhaltshub zu installieren und zu verwalten, weisen Sie die Rolle "Microsoft Sentinel-Mitwirkender " auf Ressourcengruppenebene zu.
Automatisieren von Reaktionen auf Bedrohungen mit Playbooks
Microsoft Sentinel verwendet Playbooks für automatische Reaktionen auf Bedrohungen. Playbooks nutzen Azure Logic Apps und sind eine separate Azure-Ressource. Sie können bestimmten Mitgliedern Ihres Security Operations-Teams die Option zuweisen, Logic Apps für SOAR-Vorgänge (Sicherheitsorchestrierung, Automatisierung und Reaktion) zu verwenden. Sie können die Rolle des Microsoft Sentinel Playbook-Operators verwenden, um explizite, eingeschränkte Berechtigungen für die Ausführung von Playbooks und die Rolle " Logic App Contributor " zum Erstellen und Bearbeiten von Playbooks zuzuweisen.
Erteilen von Microsoft Sentinel-Berechtigungen zum Ausführen von Playbooks
Microsoft Sentinel verwendet ein spezielles Dienstkonto, um Playbooks manuell auszuführen oder sie aus Automatisierungsregeln aufzurufen. Die Verwendung dieses Kontos (im Gegensatz zu Ihrem Benutzerkonto) erhöht die Sicherheitsstufe des Diensts.
Damit eine Automatisierungsregel ein Playbook ausführen kann, muss diesem Konto explizit die Berechtigung für die Ressourcengruppe erteilt werden, in der sich das Playbook befindet. An diesem Punkt kann jede Automatisierungsregel jedes beliebige Playbook in dieser Ressourcengruppe ausführen. Um diesen Berechtigungen für dieses Dienstkonto zu gewähren, muss Ihr Konto über Besitzerberechtigungen für die Ressourcengruppen verfügen, die die Playbooks enthalten.
Zulassen, dass Gastbenutzer Vorfälle zuweisen
Wenn ein Gastbenutzer Vorfälle zuweisen muss, müssen Sie dem Benutzer zusätzlich zur Rolle "Microsoft Sentinel Responder" die Rolle "Verzeichnisleser" zuweisen. Die Rolle „Verzeichnisleseberechtigter“ ist keine Azure-Rolle, sondern eine Microsoft Entra-Rolle, und Standardbenutzern (keine Gäste) ist diese Rolle standardmäßig zugewiesen.
Erstellen und Löschen von Arbeitsmappen
Um eine Microsoft Sentinel-Arbeitsmappe zu erstellen und zu löschen, benötigt der Benutzer entweder die Rolle "Microsoft Sentinel-Mitwirkender" oder eine geringere Microsoft Sentinel-Rolle zusammen mit der Rolle "Arbeitsmappenmitwirkender Azure Monitor". Diese Rolle ist nicht für die Verwendung von Arbeitsmappen erforderlich, nur zum Erstellen und Löschen.
Azure- und Log Analytics-Rollen, die Sie möglicherweise zugewiesen haben
Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzern für andere Zwecke zugewiesen wurden. Sie sollten sich bewusst sein, dass diese Rollen eine breitere Palette von Berechtigungen erteilen, die auch den Zugriff auf Ihren Microsoft Sentinel-Arbeitsbereich und andere Ressourcen umfasst:
Azure-Rollen:Besitzer, Mitwirkender, und Leser. Azure-Rollen gewähren Zugriff auf alle Ihre Azure-Ressourcen, einschließlich Log Analytics-Arbeitsbereiche und Microsoft Sentinel-Ressourcen.
Log Analytics-Rollen:Log Analytics-Mitwirkender und Log Analytics-Leser. Log Analytics-Rollen gewähren Zugriff auf Ihre Log Analytics-Arbeitsbereiche.
Beispielsweise kann ein Benutzer, dem die Rolle "Microsoft Sentinel Reader " zugewiesen wurde, aber nicht die Rolle "Microsoft Sentinel-Mitwirkender" , weiterhin Elemente in Microsoft Sentinel bearbeiten, wenn diesem Benutzer auch die Rolle " Mitwirkender auf Azure-Ebene" zugewiesen ist. Wenn Sie daher Benutzer*innen nur in Microsoft Sentinel Berechtigungen gewähren möchten, entfernen Sie die bisherigen Berechtigungen dieser Benutzer*innen. Gehen Sie dabei umsichtig vor, und stellen Sie sicher, dass Sie keinen benötigten Zugriff auf eine andere Ressource aufheben.
Microsoft Sentinel-Rollen, Berechtigungen und zulässige Aktionen
In der folgenden Tabelle sind die Microsoft Sentinel-Rollen und die jeweils zulässigen Aktionen in Microsoft Sentinel zusammengefasst.
| Rolle | Playbooks anzeigen und ausführen | Playbooks erstellen und bearbeiten | Erstellen und Bearbeiten von Analyseregeln, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen | Incidents verwalten (verwerfen, zuweisen usw.) | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen | Installieren und Verwalten von Inhalten aus dem Content Hub |
|---|---|---|---|---|---|---|
| Microsoft Sentinel-Leser | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel-Antwortdienst | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel-Mitwirkender | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel-Playbookoperator | ✓ | -- | -- | -- | -- | -- |
| Mitwirkender für Logik-Apps | ✓ | ✓ | -- | -- | -- | -- |
* Benutzer mit diesen Rollen können Arbeitsmappen mit der Rolle " Arbeitsmappenmitwirkender " erstellen und löschen. Erfahren Sie mehr über andere Rollen und Berechtigungen.
Überprüfen Sie die Rollenempfehlungen , welche Rollen den Benutzern in Ihrem SOC zugewiesen werden sollen.
Benutzerdefinierte Rollen und erweiterte Azure RBAC-Rollen
Benutzerdefinierte Rollen. Zusätzlich zu integrierten Azure-Rollen oder anstelle von diesen können Sie benutzerdefinierte Azure-Rollen für Microsoft Sentinel erstellen. Sie erstellen benutzerdefinierte Azure-Rollen für Microsoft Sentinel auf die gleiche Weise wie benutzerdefinierte Azure-Rollen basierend auf bestimmten Berechtigungen für Microsoft Sentinel und azure Log Analytics-Ressourcen.
Log Analytics RBAC. Sie können die erweiterte rollenbasierte Zugriffssteuerung in Azure von Log Analytics für die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich verwenden. Dies umfasst sowohl auf dem Datentyp basierendes Azure RBAC als auch Azure RBAC im Ressourcenkontext. Weitere Informationen:
- Verwalten von Protokolldaten und Arbeitsbereichen in Azure Monitor
- Ressourcenkontext RBAC für Microsoft Sentinel
- RBAC auf Tabellenebene
Die rollenbasierte Zugriffssteuerung (RBAC) im Ressourcenkontext und RBAC auf Tabellenebene sind zwei Methoden der Bereitstellung von Zugriff auf bestimmte Daten im Microsoft Sentinel-Arbeitsbereich, ohne Zugriff auf die gesamte Microsoft Sentinel-Erfahrung zu gewähren.
Empfehlungen zu Rollen und Berechtigungen
Nachdem Sie verstanden haben, wie Rollen und Berechtigungen in Microsoft Sentinel funktionieren, können Sie diese bewährten Praktiken zur Zuweisung von Rollen an Ihre Benutzer durchsehen:
| Benutzertyp | Rolle | Ressourcengruppe | BESCHREIBUNG |
|---|---|---|---|
| Sicherheitsanalysten | Microsoft Sentinel-Antwortdienst | Ressourcengruppe von Microsoft Sentinel | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents |
| Microsoft Sentinel-Playbookoperator | Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind | Anfügen von Playbooks an Analyse- und Automatisierungsregeln Ausführen von Playbooks |
|
| Sicherheitsingenieure | Microsoft Sentinel-Mitwirkender | Ressourcengruppe von Microsoft Sentinel | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents Erstellen und Bearbeiten von Arbeitsmappen, Analyseregeln und anderen Microsoft Sentinel-Ressourcen Installieren und Aktualisieren von Lösungen aus dem Inhaltshub. |
| Logic Apps-Mitwirkender | Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind | Anfügen von Playbooks an Analyse- und Automatisierungsregeln Ausführen und Ändern von Playbooks |
|
| Dienstprinzipal | Microsoft Sentinel-Mitwirkender | Ressourcengruppe von Microsoft Sentinel | Automatisierte Konfiguration für Verwaltungsaufgaben |
Abhängig von den erfassten oder überwachten Daten werden möglicherweise zusätzliche Rollen benötigt. Beispielsweise können Microsoft Entra-Rollen erforderlich sein, z. B. die Rolle "Sicherheitsadministrator", um mehrere Arbeitsbereiche zu verwalten oder Datenconnectors für Dienste in anderen Microsoft-Portalen einzurichten.
Ressourcenbasierte Zugriffssteuerung
Möglicherweise verfügen Sie über einige Benutzer*innen, die nur auf bestimmte Daten in Ihrem Microsoft Sentinel-Arbeitsbereich zugreifen müssen, aber keinen Zugriff auf die gesamte Microsoft Sentinel-Umgebung erhalten sollen. Beispiel: Sie möchten einem nicht für Sicherheitsvorgänge zuständigen Team Zugriff auf die Windows-Ereignisdaten für die eigenen Server gewähren.
Für Fälle dieser Art empfehlen wir Ihnen, Ihre rollenbasierte Zugriffssteuerung (RBAC) basierend auf den Ressourcen zu konfigurieren, die für Ihre Benutzer zulässig sind – anstelle des Zugriffs auf den Microsoft-Sentinel-Arbeitsbereich oder bestimmte Microsoft-Sentinel-Features. Diese Methode wird auch als die Einrichtung der rollenbasierten Zugriffssteuerung (RBAC) im Ressourcenkontext bezeichnet. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mit Rollen für Microsoft Sentinel-Benutzer arbeiten und was die einzelnen Rollen den Benutzern ermöglichen.