Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Microsoft Sentinel Benutzerrollen Berechtigungen sowohl für Microsoft Sentinel SIEM als auch für Microsoft Sentinel Data Lake zuweisen, wobei die zulässigen Aktionen für jede Rolle identifiziert werden.
Microsoft Sentinel verwendet Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um integrierte und benutzerdefinierte Rollen für Microsoft Sentinel SIEM und Microsoft Entra ID rollenbasierte Zugriffssteuerung bereitzustellen ( Microsoft Entra ID RBAC) , um integrierte und benutzerdefinierte Rollen für Microsoft Sentinel Data Lake bereitzustellen.
Sie können Benutzern, Gruppen und Diensten Rollen in Azure oder Microsoft Entra ID zuweisen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Hinweis
Wenn Sie das Microsoft Defender XDR-Vorschauprogramm ausführen, können Sie jetzt das neue urbac-Modell (Unified Role-Based Access Control) Microsoft Defender erleben. Weitere Informationen finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Integrierte Azure Rollen für Microsoft Sentinel
Die folgenden integrierten Azure Rollen werden für Microsoft Sentinel SIEM verwendet und gewähren Lesezugriff auf die Arbeitsbereichsdaten, einschließlich der Unterstützung für den Microsoft Sentinel Data Lake. Weisen Sie diese Rollen auf Ressourcengruppenebene zu, um optimale Ergebnisse zu erzielen.
| Rolle | SIEM-Unterstützung | Data Lake-Unterstützung |
|---|---|---|
| Microsoft Sentinel Reader | Anzeigen von Daten, Vorfällen, Arbeitsmappen, Empfehlungen und anderen Ressourcen | Greifen Sie auf erweiterte Analysen zu, und führen Sie interaktive Abfragen nur für Arbeitsbereiche aus. |
| Microsoft Sentinel Responder | Alle Leseberechtigungen sowie Verwalten von Incidents | Nicht zutreffend |
| Microsoft Sentinel Mitwirkender | Alle Responder-Berechtigungen sowie Installations-/Aktualisierungslösungen, Erstellen/Bearbeiten von Ressourcen | Greifen Sie auf erweiterte Analysen zu, und führen Sie interaktive Abfragen nur für Arbeitsbereiche aus. |
| Microsoft Sentinel Playbook-Operator | Auflisten, Anzeigen und manuelles Ausführen von Playbooks | Nicht zutreffend |
| Microsoft Sentinel Automation-Mitwirkender | Ermöglicht Microsoft Sentinel das Hinzufügen von Playbooks zu Automatisierungsregeln. Wird nicht für Benutzerkonten verwendet. | Nicht zutreffend |
Die folgende Tabelle enthält beispiele für Aufgaben, die jede Rolle in Microsoft Sentinel ausführen kann:
| Rolle | Ausführen von Playbooks | Erstellen/Bearbeiten von Playbooks | Erstellen/Bearbeiten von Analyseregeln, Arbeitsmappen usw. | Verwalten von Vorfällen | Anzeigen von Daten, Incidents, Arbeitsmappen, Empfehlungen | Verwalten eines Inhaltshubs |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel Mitwirkender | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook-Operator | ✓ | -- | -- | -- | -- | -- |
| Logik-App-Mitwirkender | ✓ | ✓ | -- | -- | -- | -- |
*Mit der Rolle "Arbeitsmappenmitwirkender" .
Es wird empfohlen, der Ressourcengruppe, die den Microsoft Sentinel Arbeitsbereich enthält, Rollen zuzuweisen. Dadurch wird sichergestellt, dass alle zugehörigen Ressourcen, z. B. Logic Apps und Playbooks, von den gleichen Rollenzuweisungen abgedeckt werden.
Als weitere Option weisen Sie die Rollen direkt dem Microsoft Sentinel Arbeitsbereich selbst zu. Wenn Sie dies tun, müssen Sie der SecurityInsights-Lösungsressource in diesem Arbeitsbereich dieselben Rollen zuweisen. Möglicherweise müssen Sie sie auch anderen Ressourcen zuweisen und die Rollenzuweisungen für die Ressourcen kontinuierlich verwalten.
Zusätzliche Rollen für bestimmte Aufgaben
Benutzern mit bestimmten Auftragsanforderungen müssen möglicherweise andere Rollen oder bestimmte Berechtigungen zugewiesen werden, um ihre Aufgaben ausführen zu können. Zum Beispiel:
| Aufgabe | Erforderliche Rollen/Berechtigungen |
|---|---|
| Verbinden von Datenquellen | Schreibberechtigung für den Arbeitsbereich. Überprüfen Sie die Connectordokumentation auf zusätzliche Berechtigungen, die pro Connector erforderlich sind. |
| Verwalten von Inhalten im Inhaltshub | Microsoft Sentinel Mitwirkender auf Ressourcengruppenebene |
| Automatisieren von Antworten mit Playbooks |
Microsoft Sentinel Playbookoperator, um Playbooks auszuführen, und Logik-App-Mitwirkender zum Erstellen/Bearbeiten von Playbooks. Microsoft Sentinel verwendet Playbooks für die automatisierte Reaktion auf Bedrohungen. Playbooks basieren auf Azure Logic Apps und sind eine separate Azure Ressource. Für bestimmte Mitglieder Ihres Sicherheitsbetriebsteams sollten Sie die Möglichkeit zur Verwendung von Logic Apps für SoAR-Vorgänge (Security Orchestration, Automation, and Response) zuweisen. |
| Zulassen, dass Microsoft Sentinel Playbooks über Automatisierung ausführen können | Das Dienstkonto benötigt explizite Berechtigungen für die Playbookressourcengruppe. Ihr Konto benötigt Besitzerberechtigungen , um diese zuzuweisen. Microsoft Sentinel verwendet ein spezielles Dienstkonto, um Incidenttrigger-Playbooks manuell auszuführen oder über Automatisierungsregeln aufzurufen. Die Verwendung dieses Kontos (im Gegensatz zu Ihrem Benutzerkonto) erhöht die Sicherheitsstufe des Diensts. Damit eine Automatisierungsregel ein Playbook ausführen kann, müssen diesem Konto explizite Berechtigungen für die Ressourcengruppe gewährt werden, in der sich das Playbook befindet. An diesem Punkt kann jede Automatisierungsregel jedes Playbook in dieser Ressourcengruppe ausführen. |
| Gastbenutzer weisen Incidents zu |
Verzeichnisleseberechtigter AND Microsoft Sentinel Responder Die Rolle "Verzeichnisleseberechtigter" ist keine Azure Rolle, sondern eine Microsoft Entra ID Rolle, und regulären (nicht autorisierten) Benutzern ist diese Rolle standardmäßig zugewiesen. |
| Erstellen/Löschen von Arbeitsmappen | Microsoft Sentinel Mitwirkender oder eine geringere Microsoft Sentinel Rolle UND Arbeitsmappenmitwirkender |
Andere Azure- und Log Analytics-Rollen
Wenn Sie Microsoft Sentinel spezifische Azure Rollen zuweisen, stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzern für andere Zwecke zugewiesen werden können. Diese Rollen gewähren einen größeren Satz von Berechtigungen, die Den Zugriff auf Ihren Microsoft Sentinel Arbeitsbereich und andere Ressourcen umfassen:
- Azure Rollen:Besitzer, Mitwirkender, Leser – gewähren Sie umfassenden Zugriff auf Azure Ressourcen.
- Log Analytics-Rollen:Log Analytics-Mitwirkender, Log Analytics-Leser : Gewähren Sie Zugriff auf Log Analytics-Arbeitsbereiche.
Wichtig
Rollenzuweisungen sind kumulativ. Ein Benutzer mit Microsoft Sentinel Rolle "Leser" und "Mitwirkender" verfügt möglicherweise über mehr Berechtigungen als beabsichtigt.
Empfohlene Rollenzuweisungen für Microsoft Sentinel Benutzer
| Benutzertyp | Rolle | Ressourcengruppe | Beschreibung |
|---|---|---|---|
| Sicherheitsanalysten | Microsoft Sentinel Responder | Microsoft Sentinel Ressourcengruppe | Anzeigen/Verwalten von Incidents, Daten, Arbeitsmappen |
| Microsoft Sentinel Playbook-Operator | ressourcengruppe "Microsoft Sentinel/playbook" | Anfügen/Ausführen von Playbooks | |
| Sicherheitstechniker | Microsoft Sentinel Mitwirkender | Microsoft Sentinel Ressourcengruppe | Verwalten von Incidents, Inhalten und Ressourcen |
| Logik-App-Mitwirkender | ressourcengruppe "Microsoft Sentinel/playbook" | Ausführen/Ändern von Playbooks | |
| Dienstprinzipal | Microsoft Sentinel Mitwirkender | Microsoft Sentinel Ressourcengruppe | Automatisierte Verwaltungsaufgaben |
Rollen und Berechtigungen für den Microsoft Sentinel Data Lake
Um den Microsoft Sentinel Data Lake verwenden zu können, muss Ihr Arbeitsbereich in das Defender-Portal und den Microsoft Sentinel Data Lake integriert sein.
Microsoft Sentinel Data Lake-Leseberechtigungen
Microsoft Entra ID Rollen bieten umfassenden Zugriff auf alle Inhalte im Data Lake. Verwenden Sie die folgenden Rollen, um Lesezugriff auf alle Arbeitsbereiche innerhalb des Microsoft Sentinel Data Lake bereitzustellen, z. B. zum Ausführen von Abfragen.
| Berechtigungstyp | Unterstützte Rollen |
|---|---|
| Lesezugriff für alle Arbeitsbereiche | Verwenden Sie eine der folgenden Microsoft Entra ID Rollen: - Globaler Reader - Sicherheitsleseberechtigter - Sicherheitsoperator - Sicherheitsadministrator - globaler Admin |
Alternativ können Sie die Möglichkeit zum Lesen von Tabellen aus einem bestimmten Arbeitsbereich zuweisen. Verwenden Sie in solchen Fällen eine der folgenden Optionen:
| Aufgaben | Berechtigungen |
|---|---|
| Leseberechtigungen für die Systemtabellen | Verwenden Sie eine benutzerdefinierte Microsoft Defender XDR einheitliche RBAC-Rolle mit Berechtigungen für Sicherheitsdatengrundlagen (Lesen) für die Microsoft Sentinel Datensammlung. |
| Leseberechtigungen für alle anderen Arbeitsbereiche, die für Microsoft Sentinel im Data Lake aktiviert sind | Verwenden Sie eine der folgenden integrierten Rollen in Azure RBAC für Berechtigungen für diesen Arbeitsbereich: - Log Analytics-Leser - Log Analytics-Mitwirkender - Microsoft Sentinel Mitwirkender - Microsoft Sentinel Reader - Leser - Beitrag - Besitzer |
Microsoft Sentinel Von Data Lake-Schreibberechtigungen
Microsoft Entra ID Rollen bieten umfassenden Zugriff auf alle Arbeitsbereiche im Data Lake. Verwenden Sie die folgenden Rollen, um Schreibzugriff auf die Microsoft Sentinel Data Lake-Tabellen bereitzustellen:
| Berechtigungstyp | Unterstützte Rollen |
|---|---|
| Schreiben in Tabellen auf der Analyseebene mithilfe von KQL-Aufträgen oder Notebooks | Verwenden Sie eine der folgenden Microsoft Entra ID Rollen: - Sicherheitsoperator - Sicherheitsadministrator - globaler Admin |
| Schreiben in Tabellen im Microsoft Sentinel Data Lake | Verwenden Sie eine der folgenden Microsoft Entra ID Rollen: - Sicherheitsoperator - Sicherheitsadministrator - globaler Admin |
Alternativ können Sie die Möglichkeit zum Schreiben von Ausgaben in einen bestimmten Arbeitsbereich zuweisen. Dies kann die Möglichkeit umfassen, Connectors für diesen Arbeitsbereich zu konfigurieren, Aufbewahrungseinstellungen für Tabellen im Arbeitsbereich zu ändern oder benutzerdefinierte Tabellen in diesem Arbeitsbereich zu erstellen, zu aktualisieren und zu löschen. Verwenden Sie in solchen Fällen eine der folgenden Optionen:
| Aufgaben | Berechtigungen |
|---|---|
| Aktualisieren von Systemtabellen im Data Lake | Verwenden Sie eine benutzerdefinierte Microsoft Defender XDR einheitliche RBAC-Rolle mit Datenberechtigungen (Verwalten) für die Microsoft Sentinel Datensammlung. |
| Für alle anderen Microsoft Sentinel Arbeitsbereiche im Data Lake | Verwenden Sie eine integrierte oder benutzerdefinierte Rolle, die die folgenden Azure RBAC-Berechtigungen von Microsoft Operational Insights für diesen Arbeitsbereich enthält: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Beispielsweise integrierte Rollen, die diese Berechtigungen log Analytics-Mitwirkender, Besitzer und Mitwirkender enthalten. |
Verwalten von Aufträgen im Microsoft Sentinel Data Lake
Um geplante Aufträge zu erstellen oder Aufträge im Microsoft Sentinel Data Lake zu verwalten, müssen Sie über eine der folgenden Microsoft Entra ID Rollen verfügen:
Benutzerdefinierte Rollen und erweiterte RBAC
Um den Zugriff auf bestimmte Daten, aber nicht auf den gesamten Arbeitsbereich, einzuschränken, verwenden Sie RBAC im Ressourcenkontext oder RBAC auf Tabellenebene. Dies ist nützlich für Teams, die nur Zugriff auf bestimmte Datentypen oder Tabellen benötigen.
Verwenden Sie andernfalls eine der folgenden Optionen für erweiterte RBAC:
- Verwenden Sie für Microsoft Sentinel SIEM-Zugriff Azure benutzerdefinierte Rollen.
- Verwenden Sie für den Microsoft Sentinel Data Lake Defender XDR einheitliche benutzerdefinierte RBAC-Rollen.
Verwandte Inhalte
Weitere Informationen finden Sie unter Verwalten von Protokolldaten und Arbeitsbereichen in Azure Monitor.