Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo Microsoft Sentinel asigna permisos a los roles de usuario para Microsoft Sentinel SIEM y Microsoft Sentinel data lake, identificando las acciones permitidas para cada rol.
Microsoft Sentinel usa Azure control de acceso basado en rol (Azure RBAC) para proporcionar roles integrados y personalizados para Microsoft Sentinel SIEM y Microsoft Entra ID control de acceso basado en rol ( Microsoft Entra ID RBAC) para proporcionar roles integrados y personalizados para Microsoft Sentinel data lake.
Puede asignar roles a usuarios, grupos y servicios en Azure o Microsoft Entra ID.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Nota:
Si ejecuta el programa de Microsoft Defender XDR versión preliminar, ahora puede experimentar el nuevo modelo Microsoft Defender Unified Role-Based Access Control (URBAC). Para obtener más información, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Roles de Azure integrados para Microsoft Sentinel
Los siguientes roles de Azure integrados se usan para Microsoft Sentinel SIEM y conceden acceso de lectura a los datos del área de trabajo, incluida la compatibilidad con el lago de datos Microsoft Sentinel. Asigne estos roles en el nivel de grupo de recursos para obtener los mejores resultados.
| Role | Compatibilidad con SIEM | Compatibilidad con Data Lake |
|---|---|---|
| Lector de Microsoft Sentinel | Visualización de datos, incidentes, libros, recomendaciones y otros recursos | Acceda a análisis avanzados y ejecute consultas interactivas solo en áreas de trabajo. |
| respondedor de Microsoft Sentinel | Todos los permisos de lector, además de administrar incidentes | N/D |
| Colaborador de Microsoft Sentinel | Todos los permisos de respondedor, además de soluciones de instalación o actualización, crear o editar recursos | Acceda a análisis avanzados y ejecute consultas interactivas solo en áreas de trabajo. |
| operador de cuaderno de estrategias de Microsoft Sentinel | Enumerar, ver y ejecutar cuadernos de estrategias manualmente | N/D |
| Colaborador de automation de Microsoft Sentinel | Permite Microsoft Sentinel agregar cuadernos de estrategias a las reglas de automatización. No se usa para las cuentas de usuario. | N/D |
Por ejemplo, en la tabla siguiente se muestran ejemplos de tareas que cada rol puede realizar en Microsoft Sentinel:
| Role | Ejecución de cuadernos de estrategias | Creación y edición de cuadernos de estrategias | Crear o editar reglas de análisis, libros, etc. | Administrar incidentes | Visualización de datos, incidentes, libros, recomendaciones | Administración del centro de contenido |
|---|---|---|---|---|---|---|
| Lector de Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| respondedor de Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Colaborador de Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| operador de cuaderno de estrategias de Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Colaborador de aplicación lógica | ✓ | ✓ | -- | -- | -- | -- |
*Con el rol Colaborador del libro .
Se recomienda asignar roles al grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. Esto garantiza que todos los recursos relacionados, como Logic Apps y los cuadernos de estrategias, estén cubiertos por las mismas asignaciones de roles.
Como otra opción, asigne los roles directamente al área de trabajo de Microsoft Sentinel. Si lo hace, debe asignar los mismos roles al recurso de solución SecurityInsights de ese área de trabajo. También es posible que tenga que asignarlos a otros recursos y administrar continuamente las asignaciones de roles a los recursos.
Roles adicionales para tareas específicas
Es posible que a los usuarios con requisitos de trabajo concretos se les asignen otros roles o permisos específicos para realizar sus tareas. Por ejemplo:
| Tarea | Roles o permisos necesarios |
|---|---|
| Conexión de orígenes de datos | Permiso de escritura en el área de trabajo. Compruebe los documentos del conector para obtener permisos adicionales necesarios por conector. |
| Administración de contenido desde el centro de contenido | colaborador de Microsoft Sentinel en el nivel de grupo de recursos |
| Automatización de respuestas con cuadernos de estrategias |
Microsoft Sentinel operador de cuaderno de estrategias, para ejecutar cuadernos de estrategias y colaborador de aplicación lógica para crear o editar cuadernos de estrategias. Microsoft Sentinel usa cuadernos de estrategias para la respuesta a amenazas automatizada. Los cuadernos de estrategias se basan en Azure Logic Apps y son un recurso Azure independiente. Para miembros específicos del equipo de operaciones de seguridad, es posible que quiera asignar la capacidad de usar logic apps para las operaciones de orquestación, automatización y respuesta de seguridad (SOAR). |
| Permitir que Microsoft Sentinel ejecute cuadernos de estrategias a través de la automatización | La cuenta de servicio necesita permisos explícitos para el grupo de recursos del cuaderno de estrategias; la cuenta necesita permisos de propietario para asignarlos. Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de la cuenta de usuario) aumenta el nivel de seguridad del servicio. Para que una regla de automatización ejecute un cuaderno de estrategias, a esta cuenta se le deben conceder permisos explícitos para el grupo de recursos donde reside el cuaderno de estrategias. En ese momento, cualquier regla de automatización puede ejecutar cualquier cuaderno de estrategias en ese grupo de recursos. |
| Los usuarios invitados asignan incidentes |
Lector de directorios AND Microsoft Sentinel Respondedor El rol Lector de directorios no es un rol Azure, sino un rol Microsoft Entra ID y los usuarios normales (nonguest) tienen este rol asignado de forma predeterminada. |
| Creación y eliminación de libros | colaborador de Microsoft Sentinel o un rol de Microsoft Sentinel menor Y colaborador del libro |
Otros roles de Azure y Log Analytics
Al asignar roles de Azure específicos de Microsoft Sentinel, es posible que encuentre otros roles de Azure y Log Analytics que se puedan asignar a los usuarios para otros fines. Estos roles conceden un conjunto más amplio de permisos que incluyen acceso al área de trabajo de Microsoft Sentinel y otros recursos:
- Azure roles:Propietario, Colaborador, Lector: conceder acceso amplio a los recursos de Azure.
- Roles de Log Analytics:Colaborador de Log Analytics, Lector de Log Analytics: conceder acceso a áreas de trabajo de Log Analytics.
Importante
Las asignaciones de roles son acumulativas. Un usuario con roles de lector y colaborador de Microsoft Sentinel puede tener más permisos de los previstos.
Asignaciones de roles recomendadas para usuarios Microsoft Sentinel
| Tipo de usuario | Role | Grupo de recursos | Description |
|---|---|---|---|
| Analistas de seguridad | respondedor de Microsoft Sentinel | Microsoft Sentinel grupo de recursos | Visualización y administración de incidentes, datos y libros |
| operador de cuaderno de estrategias de Microsoft Sentinel | grupo de recursos Microsoft Sentinel/cuaderno de estrategias | Adjuntar o ejecutar cuadernos de estrategias | |
| Ingenieros de seguridad | Colaborador de Microsoft Sentinel | Microsoft Sentinel grupo de recursos | Administración de incidentes, contenido y recursos |
| Colaborador de aplicación lógica | grupo de recursos Microsoft Sentinel/cuaderno de estrategias | Ejecución o modificación de cuadernos de estrategias | |
| Entidad de servicio | Colaborador de Microsoft Sentinel | Microsoft Sentinel grupo de recursos | Tareas de administración automatizada |
Roles y permisos para el lago de datos de Microsoft Sentinel
Para usar el lago de datos Microsoft Sentinel, el área de trabajo debe incorporarse al portal de Defender y al lago de datos de Microsoft Sentinel.
Microsoft Sentinel permisos de lectura de Data Lake
Microsoft Entra ID roles proporcionan un acceso amplio a todo el contenido del lago de datos. Use los siguientes roles para proporcionar acceso de lectura a todas las áreas de trabajo del lago de datos Microsoft Sentinel, como para ejecutar consultas.
| Tipo de permiso | Roles admitidos |
|---|---|
| Acceso de lectura en todas las áreas de trabajo | Use cualquiera de los siguientes roles de Microsoft Entra ID: - Lector global - Lector de seguridad - Operador de seguridad - Administrador de seguridad - Administrador global |
Como alternativa, es posible que desee asignar la capacidad de leer tablas desde dentro de un área de trabajo específica. En tales casos, use uno de los siguientes elementos:
| Tareas | Permissions |
|---|---|
| Permisos de lectura en las tablas del sistema | Use un rol RBAC personalizado Microsoft Defender XDR unificado con permisos básicos de datos de seguridad (lectura) sobre la recopilación de datos de Microsoft Sentinel. |
| Permisos de lectura en cualquier otro área de trabajo habilitada para Microsoft Sentinel en data lake | Use uno de los siguientes roles integrados en Azure RBAC para los permisos en ese área de trabajo: - Lector de Log Analytics - Colaborador de Log Analytics - Colaborador de Microsoft Sentinel - Lector de Microsoft Sentinel - Lector - Colaborador - Propietario |
Microsoft Sentinel permisos de escritura de Data Lake
Microsoft Entra ID roles proporciona un acceso amplio a todas las áreas de trabajo del lago de datos. Use los siguientes roles para proporcionar acceso de escritura a las tablas de data lake de Microsoft Sentinel:
| Tipo de permiso | Roles admitidos |
|---|---|
| Escritura en tablas en el nivel de análisis mediante trabajos o cuadernos de KQL | Use uno de los siguientes roles de Microsoft Entra ID: - Operador de seguridad - Administrador de seguridad - Administrador global |
| Escritura en tablas en el lago de datos Microsoft Sentinel | Use uno de los siguientes roles de Microsoft Entra ID: - Operador de seguridad - Administrador de seguridad - Administrador global |
Como alternativa, es posible que desee asignar la capacidad de escribir la salida en un área de trabajo específica. Esto puede incluir la capacidad de configurar conectores en ese área de trabajo, modificar la configuración de retención de las tablas del área de trabajo o crear, actualizar y eliminar tablas personalizadas en ese área de trabajo. En tales casos, use uno de los siguientes elementos:
| Tareas | Permissions |
|---|---|
| Actualización de tablas del sistema en el lago de datos | Use un rol RBAC personalizado Microsoft Defender XDR unificado con permisos de datos (administrar) en la recopilación de datos Microsoft Sentinel. |
| Para cualquier otro área de trabajo de Microsoft Sentinel del lago de datos | Use cualquier rol integrado o personalizado que incluya los siguientes Azure permisos de información operativa de Microsoft de RBAC en ese área de trabajo: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Por ejemplo, roles integrados que incluyen estos permisos Colaborador, Propietario y Colaborador de Log Analytics. |
Administración de trabajos en el lago de datos de Microsoft Sentinel
Para crear trabajos programados o administrar trabajos en el lago de datos de Microsoft Sentinel, debe tener uno de los siguientes roles de Microsoft Entra ID:
Roles personalizados y RBAC avanzado
Para restringir el acceso a datos específicos, pero no a todo el área de trabajo, use RBAC de contexto de recursos o RBAC de nivel de tabla. Esto es útil para los equipos que necesitan acceso solo a determinados tipos de datos o tablas.
De lo contrario, use una de las siguientes opciones para RBAC avanzado:
- Para Microsoft Sentinel acceso SIEM, use Azure roles personalizados.
- Para el lago de datos Microsoft Sentinel, use Defender XDR roles personalizados de RBAC unificados.
Contenido relacionado
Para obtener más información, consulte Administración de datos de registro y áreas de trabajo en Azure Monitor.