Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article explique comment Microsoft Sentinel attribue des autorisations aux rôles d’utilisateur pour microsoft Sentinel SIEM et Microsoft Sentinel Data Lake, identifiant les actions autorisées pour chaque rôle.
Microsoft Sentinel utilise le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour fournir des rôles intégrés et personnalisés pour Microsoft Sentinel SIEM et le contrôle d’accès en fonction du rôle Microsoft Entra (Microsoft Entra ID RBAC) pour fournir des rôles intégrés et personnalisés pour le lac de données Microsoft Sentinel.
Vous pouvez attribuer des rôles à des utilisateurs, des groupes et des services dans Azure ou Microsoft Entra ID.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Rôles Azure intégrés pour Microsoft Sentinel
Les rôles Azure intégrés suivants sont utilisés pour Microsoft Sentinel SIEM et accordent l’accès en lecture aux données de l’espace de travail, notamment la prise en charge du lac de données Microsoft Sentinel. Attribuez ces rôles au niveau du groupe de ressources pour obtenir des résultats optimaux.
| Role | Prise en charge de SIEM | Prise en charge de « Data Lake » |
|---|---|---|
| Lecteur Microsoft Sentinel | Afficher des données, des incidents, des classeurs, des recommandations et d’autres ressources | Accédez à l’analytique avancée et exécutez des requêtes interactives uniquement sur les espaces de travail. |
| Répondeur Microsoft Sentinel | Toutes les permissions de lecture, et la gestion des incidents | N/A |
| Contributeur Microsoft Sentinel | Toutes les autorisations de répondeur, ainsi que les solutions d’installation/mise à jour, créer/modifier des ressources | Accédez à l’analytique avancée et exécutez des requêtes interactives uniquement sur les espaces de travail. |
| Opérateur de playbook Microsoft Sentinel | Répertorier, afficher et exécuter manuellement des playbooks | N/A |
| Contributeur Automation Microsoft Sentinel | Permet à Microsoft Sentinel d’ajouter des playbooks aux règles d’automatisation. Non utilisé pour les comptes d’utilisateur. | N/A |
Par exemple, le tableau suivant présente des exemples de tâches que chaque rôle peut effectuer dans Microsoft Sentinel :
| Role | Exécuter des playbooks | Créer/modifier des playbooks | Créez/modifiez des règles d’analytique, des classeurs, etc. | Gérer des incidents | Afficher les données, les incidents, les classeurs, les recommandations | Gérer le hub de contenu |
|---|---|---|---|---|---|---|
| Lecteur Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Répondeur Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Contributeur Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Opérateur de playbook Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Contributeur d’application logique | ✓ | ✓ | -- | -- | -- | -- |
*Avec le rôle Contributeur de classeur.
Nous vous recommandons d’attribuer des rôles au groupe de ressources qui contient l’espace de travail Microsoft Sentinel. Cela garantit que toutes les ressources associées, telles que Logic Apps et playbooks, sont couvertes par les mêmes attributions de rôles.
Une autre option consiste à attribuer les rôles directement à l’espace de travail Microsoft Sentinel lui-même. Dans ce cas, vous devez attribuer les mêmes rôles à la ressource de solution SecurityInsights dans cet espace de travail. Vous pourriez aussi devoir attribuer les rôles à d’autres ressources, et constamment gérer les attributions de rôles aux ressources.
Rôles supplémentaires pour des tâches spécifiques
Il peut être nécessaire d’affecter des rôles supplémentaires ou des autorisations spécifiques aux utilisateurs ayant des exigences particulières pour accomplir leurs tâches. Par exemple:
| Task | Rôles/autorisations requis |
|---|---|
| Connecter des sources de données | Autorisation d’écriture sur l’espace de travail. Consultez les documents du connecteur pour obtenir des autorisations supplémentaires requises par connecteur. |
| Gérer le contenu à partir du hub de contenu | Contributeur Microsoft Sentinel au niveau du groupe de ressources |
| Automatiser les réponses avec des playbooks |
Opérateur de playbook Microsoft Sentinel, pour exécuter des playbooks et Contributeur d’application logique pour créer/modifier des playbooks. Microsoft Sentinel utilise des playbooks pour automatiser la réponse aux menaces. Les playbooks sont basés sur Azure Logic Apps et constituent une ressource Azure distincte. Vous pouvez attribuer à des membres spécifiques de votre équipe en charge des opérations de sécurité la possibilité d’utiliser Logic Apps pour les opérations SOAR (Security Orchestration, Automation, and Response). |
| Autoriser Microsoft Sentinel à exécuter des playbooks via l'automatisation | Le compte de service a besoin d’autorisations explicites pour le groupe de ressources de playbook. Votre compte a besoin d’autorisations Propriétaire pour les affecter. Microsoft Sentinel utilise un compte de service spécial pour exécuter manuellement des playbooks de déclencheurs d’incident ou les appeler à partir de règles d’automatisation. L’utilisation de ce compte (par opposition à votre compte d’utilisateur) augmente le niveau de sécurité du service. Pour qu’une règle d’automatisation exécute un playbook, ce compte doit disposer d’autorisations explicites sur le groupe de ressources dans lequel se trouve le playbook. À ce stade, toute règle d’automatisation est en mesure d’exécuter n’importe quel playbook dans ce groupe de ressources. |
| Les utilisateurs invités attribuent des incidents |
Lecteur d’annuaireAND Microsoft Sentinel Responder Le rôle Lecteur d’annuaire n’est pas un rôle Azure, mais un rôle d’ID Microsoft Entra, et les utilisateurs standard (nonguest) ont ce rôle attribué par défaut. |
| Créer/supprimer des classeurs | Contributeur Microsoft Sentinel ou un rôle Microsoft Sentinel inférieur ET Contributeur de classeur |
Autres rôles Azure et Log Analytics
Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics pouvant être attribués aux utilisateurs à d’autres fins. Ces rôles accordent un ensemble plus important d’autorisations qui incluent l’accès à votre espace de travail Microsoft Sentinel et à d’autres ressources :
- Rôles Azure :Propriétaire, Contributeur, Lecteur : accordez un accès étendu à l’ensemble des ressources Azure.
- Rôles Log Analytics :Contributeur Log Analytics, Lecteur Log Analytics : accordez l’accès aux espaces de travail Log Analytics.
Important
Les attributions de rôles sont cumulatives. Un utilisateur disposant à la fois de rôles Lecteur et Contributeur Microsoft Sentinel peut avoir plus d’autorisations que prévu.
Attributions de rôles recommandées pour les utilisateurs de Microsoft Sentinel
| Type d’utilisateur | Role | groupe de ressources | Description |
|---|---|---|---|
| Analystes de sécurité | Répondeur Microsoft Sentinel | Groupe de ressources Microsoft Sentinel | Afficher/gérer les incidents, les données, les classeurs |
| Opérateur de playbook Microsoft Sentinel | Groupe de ressources Microsoft Sentinel/playbook | Attacher/exécuter des playbooks | |
| Ingénieurs de sécurité | Contributeur Microsoft Azure Sentinel | Groupe de ressources Microsoft Sentinel | Gérer les incidents, le contenu, les ressources |
| Contributeur d’application logique | Groupe de ressources Microsoft Sentinel/playbook | Exécuter/modifier des playbooks | |
| Service Principal | Contributeur Microsoft Azure Sentinel | Groupe de ressources Microsoft Sentinel | Tâches de gestion automatisées |
Rôles et autorisations pour le lac de données Microsoft Sentinel
Pour utiliser le lac de données Microsoft Sentinel, votre espace de travail doit être intégré au portail Defender et au lac de données Microsoft Sentinel.
Autorisations de lecture du lac de données Microsoft Sentinel
Les rôles d’ID Microsoft Entra fournissent un accès étendu à tous les contenus du lac de données. Utilisez les rôles suivants pour fournir un accès en lecture à tous les espaces de travail au sein du lac de données Microsoft Sentinel, par exemple pour l’exécution de requêtes.
| Type d'autorisation | Rôles pris en charge |
|---|---|
| Accès en lecture sur tous les espaces de travail | Utilisez l’un des rôles d’ID Microsoft Entra suivants : - Lecteur global - Lecteur de sécurité - Opérateur de sécurité - Administrateur de sécurité - Administrateur général |
Vous pouvez également affecter la possibilité de lire des tables à partir d’un espace de travail spécifique. Dans ce cas, utilisez l’une des options suivantes :
| Tasks | Permissions |
|---|---|
| Autorisations de lecture sur les tables système | Utilisez un rôle RBAC unifié Microsoft Defender XDR personnalisé avec des autorisations de base relatives aux données de sécurité (lecture) sur la collecte de données Microsoft Sentinel. |
| Autorisations de lecture sur tout autre espace de travail activé pour Microsoft Sentinel dans le lac de données | Utilisez l’un des rôles intégrés suivants dans Azure RBAC pour obtenir des autorisations sur cet espace de travail : - Lecteur Log Analytics - Contributeur Log Analytics - Contributeur Microsoft Sentinel - Lecteur Microsoft Sentinel - Lecteur - Contributeur - Propriétaire |
Autorisations d’écriture du lac de données Microsoft Sentinel
Les rôles d’ID Microsoft Entra fournissent un accès étendu à tous les espaces de travail du lac de données. Utilisez les rôles suivants pour fournir un accès en écriture aux tables de lac de données Microsoft Sentinel :
| Type d'autorisation | Rôles pris en charge |
|---|---|
| Écrire dans des tables dans le niveau Analytique en utilisant des travaux ou des notebooks KQL | Utilisez l’un des rôles d’ID Microsoft Entra suivants : - Opérateur de sécurité - Administrateur de sécurité - Administrateur général |
| Écrire dans les tables du lac de données Microsoft Sentinel | Utilisez l’un des rôles d’ID Microsoft Entra suivants : - Opérateur de sécurité - Administrateur de sécurité - Administrateur général |
Vous pouvez également affecter la possibilité d’écrire la sortie dans un espace de travail spécifique. Cela peut inclure la possibilité de configurer des connecteurs à cet espace de travail, de modifier les paramètres de rétention des tables de l’espace de travail ou de créer, mettre à jour et supprimer des tables personnalisées dans cet espace de travail. Dans ce cas, utilisez l’une des options suivantes :
| Tasks | Permissions |
|---|---|
| Mettre à jour les tables système dans le lac de données | Utilisez un rôle RBAC unifié personnalisé pour Microsoft Defender XDR avec des autorisations de gestion des données concernant la collecte de données Microsoft Sentinel. |
| Pour tout autre espace de travail Microsoft Sentinel dans le lac de données | Utilisez n’importe quel rôle intégré ou personnalisé qui inclut les autorisations Azure RBAC Microsoft Operational Insights suivantes sur cet espace de travail : - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Par exemple, les rôles intégrés qui incluent ces autorisations Contributeur Log Analytics, Propriétaire et Contributeur. |
Gérer les travaux dans le lac de données Microsoft Sentinel
Pour créer des travaux planifiés ou pour gérer des travaux dans le lac de données Microsoft Sentinel, vous devez disposer de l’un des rôles d’ID Microsoft Entra suivants :
Rôles personnalisés et RBAC avancé
Pour restreindre l’accès à des données spécifiques, mais pas à l’ensemble de l’espace de travail, utilisez RBAC de contexte de ressource ou RBAC au niveau table. Cela est utile pour les équipes qui ont besoin d’accéder à certains types de données ou tables uniquement.
Sinon, utilisez l'une des options suivantes pour le RBAC avancé :
- Pour l’accès SIEM Microsoft Sentinel, utilisez des rôles personnalisés Azure.
- Pour le lac de données Microsoft Sentinel, utilisez des rôles RBAC unifiés personnalisés Defender XDR.
Contenu connexe
Pour plus d’informations, consultez Gérer les données de journal et les espaces de travail dans Azure Monitor