Rôles et autorisations dans Microsoft Sentinel
Cet article explique la manière dont Microsoft Sentinel attribue des autorisations à des rôles d’utilisateur et identifie les actions autorisées pour chaque rôle. Microsoft Sentinel utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des rôles intégrés susceptibles d’être attribués à des utilisateurs, des groupes et des services dans Azure. Cet article fait partie du Guide de déploiement de Microsoft Sentinel.
Utilisez RBAC Azure pour créer et attribuer des rôles au sein de votre équipe en charge des opérations de sécurité afin d’accorder l’accès approprié à Microsoft Sentinel. Les différents rôles vous donnent un contrôle précis sur ce que les utilisateurs de Microsoft Sentinel peuvent voir et faire. Les rôles Azure peuvent être attribués directement dans l’espace de travail Microsoft Sentinel, ou dans un abonnement ou un groupe de ressources auquel appartient l’espace de travail, dont Microsoft Sentinel hérite.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Rôles et autorisations pour travailler dans Microsoft Sentinel
Accordez l’accès approprié aux données de votre espace de travail à l’aide de rôles intégrés. Vous devriez peut-être accorder davantage de rôles ou des autorisations spécifiques en fonction des tâches d’un utilisateur.
Rôles spécifiques à Microsoft Sentinel
Tous les rôles intégrés de Microsoft Sentinel accordent un accès en lecture aux données de votre espace de travail Microsoft Sentinel.
Lecteur Microsoft Sentinel : il peut visualiser les données, les incidents, les classeurs et d’autres ressources Microsoft Sentinel.
Le Répondeur Microsoft Sentinel peut, en plus des autorisations pour le lecteur Microsoft Sentinel, gérer les incidents tels que les attributions, les rejets et les incidents de modification.
Le Contributeur Microsoft Sentinel peut, en plus des permissions pour le Répondeur Microsoft Sentinel, installer et mettre à jour des solutions à partir du hub de contenu, créer et modifier des ressources Microsoft Sentinel, telles que des classeurs, des règles d’analytique et d’autres ressources.
Opérateur de playbook Microsoft Sentinel : il peut lister, afficher et exécuter manuellement des playbooks.
Contributeur Microsoft Sentinel Automation : permet à Microsoft Sentinel d’ajouter des playbooks aux règles d’automatisation. Il n’est pas destiné aux comptes d’utilisateur.
Pour de meilleurs résultats, attribuez ces rôles au groupe de ressources qui contient l’espace de travail Microsoft Sentinel. De cette façon, les rôles s’appliquent à toutes les ressources qui prennent en charge Microsoft Sentinel, car ces ressources doivent également être placées dans ce même groupe de ressources.
Une autre option consiste à attribuer les rôles directement à l’espace de travail Microsoft Sentinel lui-même. Dans ce cas, vous devez attribuer les mêmes rôles à la ressource de solution SecurityInsights dans cet espace de travail. Vous pourriez aussi devoir attribuer les rôles à d’autres ressources, et constamment gérer les attributions de rôles aux ressources.
Autres rôles et autorisations
Il peut être nécessaire d’affecter des rôles supplémentaires ou des autorisations spécifiques aux utilisateurs ayant des exigences particulières pour accomplir leurs tâches.
Installer et gérer du contenu prêt à l’emploi
Recherchez des solutions empaquetées pour des produits de bout en bout ou du contenu autonome à partir du hub de contenu dans Microsoft Sentinel. Pour installer et gérer du contenu à partir du hub de contenu, affectez le rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
Automatiser les réponses aux menaces avec les playbooks
Microsoft Sentinel utilise des playbooks pour automatiser la réponse aux menaces. Les playbooks sont basés sur Azure Logic Apps et constituent une ressource Azure distincte. Vous pouvez attribuer à des membres spécifiques de votre équipe en charge des opérations de sécurité la possibilité d’utiliser Logic Apps pour les opérations SOAR (Security Orchestration, Automation, and Response). Vous pouvez utiliser le rôle Opérateur de playbook Microsoft Sentinel pour attribuer une autorisation explicite et limitée pour exécuter des playbooks, et le rôle Contributeur d’application logique pour créer et modifier des playbooks.
Accorder à Microsoft Sentinel des autorisations pour exécuter les playbooks
Microsoft Sentinel utilise un compte de service spécial pour exécuter manuellement des playbooks de déclencheurs d’incident ou les appeler à partir de règles d’automatisation. L’utilisation de ce compte (par opposition à votre compte d’utilisateur) augmente le niveau de sécurité du service.
Pour qu’une règle d’automatisation exécute un playbook, ce compte doit disposer d’autorisations explicites sur le groupe de ressources dans lequel se trouve le playbook. À ce stade, toute règle d’automatisation est en mesure d’exécuter n’importe quel playbook dans ce groupe de ressources. Pour accorder ces autorisations à ce compte de service, votre compte doit disposer d’autorisations Propriétaire sur les groupes de ressources contenant les playbooks.
Connexion de sources de données à Microsoft Sentinel
Pour qu’un utilisateur ajoute des connecteurs de données, vous devez attribuer les autorisations d’accès en écriture à l’utilisateur sur l’espace de travail Microsoft Sentinel. Notez les autorisations supplémentaires nécessaires pour chaque connecteur, comme indiqué dans la page du connecteur approprié.
Autoriser les utilisateurs invités à attribuer des incidents
Si un utilisateur invité doit être en mesure d’attribuer des incidents, vous devez lui attribuer le rôle de Lecteur de répertoire, en plus du rôle de Répondeur Microsoft Sentinel. Le rôle de Lecteur de répertoire n’est pas un rôle Azure, mais un rôle Microsoft Entra, et qu’il est attribué par défaut aux utilisateurs ordinaires (non invités).
Créer et supprimer des classeurs
Pour créer et supprimer un classeur Microsoft Sentinel, l’utilisateur a besoin du rôle Contributeur Microsoft Sentinel ou d’un rôle Microsoft Sentinel moins important, ainsi que du rôle Contributeur de classeur Azure Monitor. Ce rôle n’est pas nécessaire pour utiliser des classeurs, seulement pour les créer et les supprimer.
Rôles Azure et Log Analytics que vous pouvez voir affectés
Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics pouvant être attribués aux utilisateurs à d’autres fins. Ces rôles accordent un ensemble plus important d’autorisations qui incluent l’accès à votre espace de travail Microsoft Sentinel et à d’autres ressources :
Rôles Azure : Propriétaire, Contributeur et Lecteur. Les rôles Azure accordent l’accès à l’ensemble de vos ressources Azure, notamment aux espaces de travail Log Analytics et aux ressources Microsoft Sentinel.
Rôles Log Analytics : Contributeur Log Analytics et Lecteur Log Analytics. Les rôles Log Analytics accordent l’accès à vos espaces de travail Log Analytics.
Par exemple, un utilisateur auquel est attribué le rôle Lecteur Microsoft Sentinel, mais pas le rôle Contributeur Microsoft Sentinel, pourra quand même modifier des éléments dans Microsoft Sentinel si le rôle Contributeur au niveau d’Azure lui est également attribué. Par conséquent, si vous voulez accorder des autorisations à un utilisateur seulement dans Microsoft Sentinel, supprimez soigneusement les autorisations antérieures de cet utilisateur, en veillant à ne pas supprimer un accès nécessaire à une autre ressource.
Rôles Microsoft Sentinel, autorisations et actions autorisées
Ce tableau récapitule les rôles Microsoft Sentinel et leurs actions autorisées dans Microsoft Sentinel.
Role | Afficher et exécuter des playbooks | Créer et modifier des playbooks | Créer et modifier des règles d’analyse, des classeurs et d’autres ressources Microsoft Sentinel | Gérer les incidents (ignorer, attribuer, etc.) | Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel | Installer et gérer du contenu à partir du hub de contenu |
---|---|---|---|---|---|---|
Lecteur Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
Répondeur Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
Contributeur Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
Opérateur de playbook Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
Contributeur d’application logique | ✓ | ✓ | -- | -- | -- | -- |
* Les utilisateurs disposant de ces rôles peuvent créer et supprimer des classeurs avec le rôle Contributeur de classeur. En savoir plus sur les autres rôles et autorisations.
Consultez les recommandations relatives aux rôles pour savoir quel rôle attribuer à quels utilisateurs de votre SOC.
Rôles personnalisés et RBAC Azure avancé
Rôles personnalisés. En plus d’utiliser des rôles intégrés Azure, ou au lieu d’en utiliser, vous pouvez créer des rôles personnalisés Azure pour Microsoft Sentinel. Pour créer des rôles personnalisés Azure pour Microsoft Sentinel, procédez de la même façon que les autres rôles personnalisés Azure, c’est-à-dire en fonction des autorisations propres à Microsoft Sentinel et des ressources Azure Log Analytics.
RBAC Log Analytics. Vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure avancé de Log Analytics sur les données de votre espace de travail Microsoft Sentinel. Cela comprend à la fois le RBAC Azure basé sur le type de données et le RBAC Azure dans le contexte de la ressource. Pour en savoir plus :
- Gérer les données du journal et les espaces de travail dans Azure Monitor
- RBAC de contexte de ressource pour Microsoft Sentinel
- Table-level RBAC
Le RBAC de contexte de ressource et le RBAC au niveau table sont deux méthodes permettant de donner accès à des données spécifiques dans votre espace de travail Microsoft Sentinel sans autoriser l’accès à toute l’expérience Microsoft Sentinel.
Recommandations relatives aux rôles et aux autorisations
Après avoir compris le fonctionnement des rôles et des autorisations dans Microsoft Sentinel, vous pouvez consulter ces meilleures pratiques pour appliquer des rôles à vos utilisateurs :
Type d’utilisateur | Rôle | Resource group | Description |
---|---|---|---|
Analystes de sécurité | Répondeur Microsoft Sentinel | Groupe de ressources de Microsoft Sentinel | Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel. Gérer les incidents, par exemple les attribuer ou les ignorer. |
Opérateur de playbook Microsoft Sentinel | Groupe de ressources de Microsoft Sentinel ou groupe de ressources dans lequel vos playbooks sont stockés | Attacher des playbooks aux règles analytiques et d’automatisation. Exécuter des playbooks. |
|
Ingénieurs de la sécurité | Contributeur Microsoft Sentinel | Groupe de ressources de Microsoft Sentinel | Visualiser des données, des incidents, des classeurs et d’autres ressources Microsoft Sentinel. Gérer les incidents, par exemple les attribuer ou les ignorer. Créer et modifier des classeurs, des règles d’analyse et d’autres ressources Microsoft Sentinel. Installez et mettez à jour des solutions à partir du hub de contenu. |
Contributeur Logic Apps | Groupe de ressources de Microsoft Sentinel ou groupe de ressources dans lequel vos playbooks sont stockés | Attacher des playbooks aux règles analytiques et d’automatisation. Exécuter et modifier des playbooks. |
|
Principal du service | Contributeur Microsoft Sentinel | Groupe de ressources de Microsoft Sentinel | Configuration automatisée des tâches de gestion |
Des rôles supplémentaires peuvent être nécessaires en fonction des données que vous ingérez ou supervisez. Par exemple, des rôles Microsoft Entra pourraient être nécessaires, tels que le rôle d’administrateur de la sécurité, afin de configurer des connecteurs de données pour des services dans d’autres portails Microsoft.
Contrôle d'accès basée sur les ressources
Il se peut que certains utilisateurs n’aient besoin d’accéder qu’à des données spécifiques dans votre espace de travail Microsoft Sentinel, mais ne doivent pas avoir accès à tout l’environnement Microsoft Sentinel. Par exemple, vous pouvez autoriser une équipe extérieure aux opérations de sécurité à accéder aux données d’événements Windows pour les serveurs dont elle est propriétaire.
Dans ce cas, nous vous recommandons de configurer votre contrôle d’accès en fonction du rôle (RBAC) en fonction des ressources auxquelles vos utilisateurs sont autorisés à accéder, au lieu de leur donner accès à l’espace de travail Microsoft Sentinel ou à des fonctionnalités spécifiques de Microsoft Sentinel. Cette méthode est également appelée configuration de RBAC dans le contexte de la ressource. Pour plus d’informations, consultez Gérer l’accès aux données de Microsoft Sentinel par ressource.
Étapes suivantes
Dans cet article, vous avez appris à utiliser des rôles pour les utilisateurs de Microsoft Sentinel et découvert ce que chaque rôle permet aux utilisateurs de faire.