Compartir a través de


Roles y permisos en Microsoft Sentinel

En este artículo se explica cómo Microsoft Sentinel asigna permisos a los usuarios y cómo identifica las acciones permitidas para cada rol. Microsoft Sentinel usa control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.

Utilice RBAC de Azure para crear y asignar roles dentro del equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control exhaustivo sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel, o bien en una suscripción o un grupo de recursos al que pertenece el área de trabajo, y que Microsoft Sentinel hereda.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Roles y permisos para trabajar en Microsoft Sentinel

Conceda el acceso adecuado a los datos del área de trabajo mediante roles integrados. Es posible que tenga que conceder más roles o permisos específicos en función de las tareas de trabajo de un usuario.

Roles específicos de Microsoft Sentinel

Todos los roles integrados de Microsoft Sentinel conceden acceso de lectura a los datos del área de trabajo de Microsoft Sentinel.

Para obtener los mejores resultados, asigne estos roles en el grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. De esta manera, los roles se aplican a todos los recursos que admiten Microsoft Sentinel, ya que esos recursos también deben colocarse en ese mismo grupo de recursos.

Otra opción consiste en asignar los roles directamente en la propia área de trabajo de Microsoft Sentinel. Si lo hace, debe asignar los mismos roles en el recurso de la solución de SecurityInsights en esa área de trabajo. También es posible que tenga que asignarlos a otros recursos y administrar continuamente las asignaciones de roles a los recursos.

Otros roles y permisos

Es posible que sea necesario asignar otros roles o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas.

  • Instalar y administrar contenido de fábrica

    Busque soluciones empaquetadas para productos de un extremo a otro o contenido independiente del centro de contenido en Microsoft Sentinel. Para instalar y administrar contenido desde el centro de contenido, asigne el rol Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.

  • Automatizar respuestas a amenazas con cuadernos de estrategias

    Microsoft Sentinel usa cuadernos de estrategias para una respuesta automatizada ante amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son recursos independientes de Azure. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la posibilidad de usar Logic Apps para las operaciones de orquestación de seguridad, automatización y respuesta (SOAR). Puede usar el rol Operador de cuaderno de estrategias de Microsoft Sentinel para asignar permisos explícitos y limitados para ejecutar cuadernos de estrategias y el rol Colaborador de aplicaciones lógicas para crear y editar cuadernos de estrategias.

  • Conceder permisos a Sentinel para ejecutar cuadernos de estrategias

    Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio.

    Para que una regla de automatización ejecute un cuaderno de estrategias, se deben conceder a esta cuenta permisos explícitos para acceder al grupo de recursos en el que se encuentra el cuaderno. En ese momento, cualquier regla de automatización puede ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. Para conceder estos permisos a esta cuenta de servicio, la cuenta debe tener permisos de propietario en los grupos de recursos que contienen los cuadernos de estrategias.

  • Conectar orígenes de datos a Microsoft Sentinel

    Para que un usuario pueda agregar conectores de datos, debe asignar permisos de escritura a ese usuario en el área de trabajo de Microsoft Sentinel. Tenga en cuenta los permisos adicionales necesarios para cada conector, tal como se muestra en la página del conector correspondiente.

  • Permitir que los usuarios invitados asignen incidentes

    Si es necesario que un usuario invitado pueda asignar incidentes, deberá asignarle el rol Lector de directorios, además del rol Respondedor de Microsoft Sentinel. El rol Lector de directorios no es un rol de Azure, sino un rol de Microsoft Entra y los usuarios normales (no invitados) tienen asignado este rol de forma predeterminada.

  • Crear y eliminar libros

    Para crear y eliminar un libro de Microsoft Sentinel, el usuario requiere el rol Colaborador de Microsoft Sentinel o un rol menor de Microsoft Sentinel, junto con el rol Colaborador de libros de Azure Monitor. Este rol no es necesario para usar los libros, solo para crearlos y eliminarlos.

Roles de Azure y Log Analytics que puede ver asignados

Al asignar roles de Azure específicos de Microsoft Sentinel, puede encontrar otros roles de Azure y Log Analytics que se pueden haber asignado a los usuarios para otros fines. Estos roles conceden un conjunto más amplio de permisos que incluye el acceso al área de trabajo de Microsoft Sentinel y a otros recursos:

Por ejemplo, un usuario al que se haya asignado el rol de Lector de Microsoft Sentinel, pero no el rol de Colaborador de Microsoft Sentinel, todavía podrá editar elementos en Microsoft Sentinel si se le asigna el rol de Colaborador en el nivel de Azure. Por tanto, si desea conceder permisos para un usuario solo en Microsoft Sentinel, elimine con cuidado los permisos anteriores de este usuario, y asegúrese de que no interrumpe ningún acceso necesario a otro recurso.

Roles de Microsoft Sentinel, permisos y acciones permitidas

En esta tabla se resumen los roles de Microsoft Sentinel y sus acciones permitidas en Microsoft Sentinel.

Role Visualización y ejecución de cuadernos de estrategias Creación y edición de cuadernos de estrategias Creación y edición de reglas de análisis, libros y otros recursos de Microsoft Sentinel Administración de incidentes (descarte, asignación, etc.) Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel Instalación y administración de contenido desde el centro de contenido
Lector de Microsoft Sentinel -- -- --* -- --
Respondedor de Microsoft Sentinel -- -- --* --
Colaborador de Microsoft Sentinel -- --
Operador de cuaderno de estrategias de Microsoft Sentinel -- -- -- -- --
Colaborador de aplicación lógica -- -- -- --

* Los usuarios con estos roles pueden crear y eliminar libros con el rol Colaborador de libros. Obtenga información sobre otros roles y permisos.

Revise las recomendaciones de roles sobre qué roles asignar a qué usuarios en el centro de operaciones de seguridad.

Roles personalizados y Azure RBAC avanzado

Recomendaciones de roles y permisos

Después de comprender cómo funcionan los roles y permisos en Microsoft Sentinel, puede usar la siguiente guía de procedimientos recomendados para aplicar roles a los usuarios:

Tipo de usuario Rol Grupo de recursos Descripción
Analistas de seguridad Respondedor de Microsoft Sentinel Grupo de recursos de Microsoft Sentinel Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel.

Administración de incidentes, como los de asignación o descarte.
Operador de cuaderno de estrategias de Microsoft Sentinel Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias Adjunte cuadernos de estrategias a reglas de análisis y automatización.
Ejecutar cuadernos de estrategias.
Ingenieros de seguridad Colaborador de Microsoft Sentinel Grupo de recursos de Microsoft Sentinel Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel.

Administración de incidentes, como los de asignación o descarte.

Creación y edición de libros, reglas de análisis y otros recursos de Microsoft Sentinel.

Instale y actualice las soluciones desde el centro de contenido.
Colaborador de Logic Apps Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias Adjunte cuadernos de estrategias a reglas de análisis y automatización.
Ejecute y modifique cuadernos de estrategias.
Entidad de seguridad de servicio Colaborador de Microsoft Sentinel Grupo de recursos de Microsoft Sentinel Configuración automatizada de las tareas de administración

Es posible que se requieran más roles en función de los datos que se ingieren o supervisan. Por ejemplo, es posible que se requieran roles de Microsoft Entra, como el rol Administrador de seguridad, para configurar conectores de datos para servicios en otros portales de Microsoft.

Control de acceso basado en recursos

Es posible que algunos usuarios necesiten acceder solo a datos específicos del área de trabajo de Microsoft Sentinel, pero no deban tener acceso a todo el entorno de Microsoft Sentinel. Por ejemplo, es posible que quiera proporcionar a un equipo fuera de las operaciones de seguridad acceso a los datos de eventos de Windows para los servidores que poseen.

En tales casos, se recomienda configurar el control de acceso basado en rol (RBAC) en función de los recursos que se permiten a los usuarios, en lugar de proporcionarles acceso al área de trabajo de Microsoft Sentinel o a características específicas de Microsoft Sentinel. Este método también se conoce como configuración de RBAC de contexto de recursos. Para más información, consulte Administración del acceso a los datos de Microsoft Sentinel por recurso.

Pasos siguientes

En este artículo, ha aprendido a trabajar con roles para usuarios de Microsoft Sentinel y lo que cada rol permite realizar a los usuarios.