Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment Microsoft Sentinel attribue des autorisations aux rôles d’utilisateur pour Microsoft Sentinel SIEM et Microsoft Sentinel lac de données, en identifiant les actions autorisées pour chaque rôle.
Microsoft Sentinel utilise Azure contrôle d’accès en fonction du rôle (Azure RBAC) pour fournir des rôles intégrés et personnalisés pour Microsoft Sentinel SIEM et Microsoft Entra ID contrôle d’accès en fonction du rôle ( Microsoft Entra ID RBAC) pour fournir des rôles intégrés et personnalisés pour Microsoft Sentinel lac de données.
Vous pouvez attribuer des rôles à des utilisateurs, des groupes et des services dans Azure ou Microsoft Entra ID.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Remarque
Si vous exécutez le programme Microsoft Defender XDR en préversion, vous pouvez maintenant découvrir le nouveau modèle Microsoft Defender Role-Based Access Control unifié (URBAC). Pour plus d’informations, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Rôles de Azure intégrés pour Microsoft Sentinel
Les rôles de Azure intégrés suivants sont utilisés pour Microsoft Sentinel SIEM et accordent l’accès en lecture aux données de l’espace de travail, y compris la prise en charge du lac de données Microsoft Sentinel. Attribuez ces rôles au niveau du groupe de ressources pour obtenir de meilleurs résultats.
| Role | Prise en charge de SIEM | Prise en charge du lac de données |
|---|---|---|
| lecteur Microsoft Sentinel | Afficher des données, des incidents, des classeurs, des recommandations et d’autres ressources | Accédez à l’analytique avancée et exécutez des requêtes interactives sur des espaces de travail uniquement. |
| répondeur Microsoft Sentinel | Toutes les autorisations de lecteur, plus gérer les incidents | S/O |
| contributeur Microsoft Sentinel | Toutes les autorisations du répondeur, plus installer/mettre à jour des solutions, créer/modifier des ressources | Accédez à l’analytique avancée et exécutez des requêtes interactives sur des espaces de travail uniquement. |
| opérateur playbook Microsoft Sentinel | Répertorier, afficher et exécuter manuellement des playbooks | S/O |
| Contributeur Microsoft Sentinel Automation | Permet Microsoft Sentinel d’ajouter des playbooks aux règles d’automatisation. Non utilisé pour les comptes d’utilisateur. | S/O |
Par exemple, le tableau suivant présente des exemples de tâches que chaque rôle peut effectuer dans Microsoft Sentinel :
| Role | Exécuter des playbooks | Créer/modifier des playbooks | Créer/modifier des règles d’analyse, des classeurs, etc. | Gérer les incidents | Afficher les données, les incidents, les classeurs, les recommandations | Gérer le hub de contenu |
|---|---|---|---|---|---|---|
| lecteur Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| répondeur Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| contributeur Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| opérateur playbook Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Contributeur d’application logique | ✓ | ✓ | -- | -- | -- | -- |
*Avec le rôle Contributeur de classeur .
Nous vous recommandons d’attribuer des rôles au groupe de ressources qui contient l’espace de travail Microsoft Sentinel. Cela garantit que toutes les ressources associées, telles que Logic Apps et les playbooks, sont couvertes par les mêmes attributions de rôles.
En guise d’autre option, attribuez les rôles directement à l’espace de travail Microsoft Sentinel lui-même. Dans ce cas, vous devez attribuer les mêmes rôles à la ressource de solution SecurityInsights dans cet espace de travail. Vous devrez peut-être également les affecter à d’autres ressources et gérer en permanence les attributions de rôles aux ressources.
Rôles supplémentaires pour des tâches spécifiques
Les utilisateurs ayant des exigences de travail particulières peuvent avoir besoin de se voir attribuer d’autres rôles ou des autorisations spécifiques pour accomplir leurs tâches. Par exemple :
| Tâche | Rôles/autorisations requis |
|---|---|
| Connecter des sources de données | Autorisation d’écriture sur l’espace de travail. Consultez la documentation du connecteur pour connaître les autorisations supplémentaires requises par connecteur. |
| Gérer le contenu à partir du hub de contenu | Microsoft Sentinel Contributeur au niveau du groupe de ressources |
| Automatiser les réponses avec des playbooks |
Microsoft Sentinel Opérateur playbook pour exécuter des playbooks et Contributeur d’application logique pour créer/modifier des playbooks. Microsoft Sentinel utilise des playbooks pour la réponse automatisée aux menaces. Les playbooks reposent sur Azure Logic Apps et constituent une ressource Azure distincte. Pour des membres spécifiques de votre équipe des opérations de sécurité, vous souhaiterez peut-être attribuer la possibilité d’utiliser Logic Apps pour les opérations SOAR (Security Orchestration, Automation, and Response). |
| Autoriser Microsoft Sentinel à exécuter des playbooks via l’automatisation | Le compte de service a besoin d’autorisations explicites pour le groupe de ressources playbook ; votre compte a besoin d’autorisations propriétaires pour les affecter. Microsoft Sentinel utilise un compte de service spécial pour exécuter manuellement des playbooks de déclenchement d’incident ou pour les appeler à partir de règles d’automatisation. L’utilisation de ce compte (par opposition à votre compte d’utilisateur) augmente le niveau de sécurité du service. Pour qu’une règle d’automatisation exécute un playbook, ce compte doit disposer d’autorisations explicites sur le groupe de ressources où réside le playbook. À ce stade, toute règle d’automatisation peut exécuter n’importe quel playbook dans ce groupe de ressources. |
| Les utilisateurs invités attribuent des incidents |
Lecteur d’annuaire AND Microsoft Sentinel Responder Le rôle Lecteur d’annuaire n’est pas un rôle Azure, mais un rôle Microsoft Entra ID, et les utilisateurs réguliers (non invités) ont ce rôle attribué par défaut. |
| Créer/supprimer des classeurs | Microsoft Sentinel rôle Contributeur ou un rôle Microsoft Sentinel inférieur ET Contributeur de classeur |
Autres rôles Azure et Log Analytics
Lorsque vous attribuez des rôles Azure spécifiques à Microsoft Sentinel, vous pouvez rencontrer d’autres rôles Azure et Log Analytics qui peuvent être attribués à des utilisateurs à d’autres fins. Ces rôles accordent un ensemble plus large d’autorisations qui incluent l’accès à votre espace de travail Microsoft Sentinel et à d’autres ressources :
- Azure rôles :Propriétaire, Contributeur, Lecteur : accordez un accès étendu aux ressources Azure.
- Rôles Log Analytics :Contributeur Log Analytics, Lecteur Log Analytics : accordez l’accès aux espaces de travail Log Analytics.
Importante
Les attributions de rôles sont cumulatives. Un utilisateur disposant des rôles Lecteur Microsoft Sentinel et Contributeur peut avoir plus d’autorisations que prévu.
Attributions de rôles recommandées pour les utilisateurs Microsoft Sentinel
| Type d'utilisateur | Role | Groupe de ressources | Description |
|---|---|---|---|
| Analystes de sécurité | répondeur Microsoft Sentinel | groupe de ressources Microsoft Sentinel | Afficher/gérer les incidents, les données et les classeurs |
| opérateur playbook Microsoft Sentinel | groupe de ressources Microsoft Sentinel/playbook | Attacher/exécuter des playbooks | |
| Ingénieurs sécurité | contributeur Microsoft Sentinel | groupe de ressources Microsoft Sentinel | Gérer les incidents, le contenu et les ressources |
| Contributeur d’application logique | groupe de ressources Microsoft Sentinel/playbook | Exécuter/modifier des playbooks | |
| Service Principal | contributeur Microsoft Sentinel | groupe de ressources Microsoft Sentinel | Tâches de gestion automatisées |
Rôles et autorisations pour le lac de données Microsoft Sentinel
Pour utiliser le lac de données Microsoft Sentinel, votre espace de travail doit être intégré au portail Defender et au lac de données Microsoft Sentinel.
Microsoft Sentinel autorisations de lecture de lac de données
Microsoft Entra ID rôles fournissent un accès étendu à tout le contenu du lac de données. Utilisez les rôles suivants pour fournir un accès en lecture à tous les espaces de travail dans le lac de données Microsoft Sentinel, par exemple pour l’exécution de requêtes.
| Type d’autorisation | Rôles pris en charge |
|---|---|
| Accès en lecture dans tous les espaces de travail | Utilisez l’un des rôles Microsoft Entra ID suivants : - Lecteur global - Lecteur de sécurité - Opérateur de sécurité - Administrateur de la sécurité - Administrateur général |
Vous pouvez également attribuer la possibilité de lire des tables à partir d’un espace de travail spécifique. Dans ce cas, utilisez l’une des options suivantes :
| Tâches | Autorisations |
|---|---|
| Autorisations de lecture sur les tables système | Utilisez un rôle RBAC unifié Microsoft Defender XDR personnalisé avec des autorisations de base des données de sécurité (lecture) sur la collecte de données Microsoft Sentinel. |
| Autorisations de lecture sur tout autre espace de travail activé pour Microsoft Sentinel dans le lac de données | Utilisez l’un des rôles intégrés suivants dans Azure RBAC pour les autorisations sur cet espace de travail : - Lecteur Log Analytics - Contributeur Log Analytics - contributeur Microsoft Sentinel - lecteur Microsoft Sentinel - Lecteur - Contributeur - Propriétaire |
Microsoft Sentinel autorisations d’écriture de lac de données
Microsoft Entra ID rôles offrent un accès étendu à tous les espaces de travail du lac de données. Utilisez les rôles suivants pour fournir un accès en écriture aux tables de lac de données Microsoft Sentinel :
| Type d’autorisation | Rôles pris en charge |
|---|---|
| Écrire dans des tables du niveau Analytique à l’aide de travaux ou de notebooks KQL | Utilisez l’un des rôles Microsoft Entra ID suivants : - Opérateur de sécurité - Administrateur de la sécurité - Administrateur général |
| Écrire dans des tables du lac de données Microsoft Sentinel | Utilisez l’un des rôles Microsoft Entra ID suivants : - Opérateur de sécurité - Administrateur de la sécurité - Administrateur général |
Vous pouvez également attribuer la possibilité d’écrire la sortie dans un espace de travail spécifique. Cela peut inclure la possibilité de configurer des connecteurs vers cet espace de travail, de modifier les paramètres de rétention des tables de l’espace de travail ou de créer, mettre à jour et supprimer des tables personnalisées dans cet espace de travail. Dans ce cas, utilisez l’une des options suivantes :
| Tâches | Autorisations |
|---|---|
| Mettre à jour les tables système dans le lac de données | Utilisez un rôle RBAC unifié Microsoft Defender XDR personnalisé avec des autorisations de données (gérer) sur la collecte de données Microsoft Sentinel. |
| Pour tout autre espace de travail Microsoft Sentinel dans le lac de données | Utilisez n’importe quel rôle intégré ou personnalisé qui inclut les autorisations RBAC Microsoft Operational Insights Azure suivantes sur cet espace de travail : - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Par exemple, les rôles intégrés qui incluent ces autorisations Contributeur Log Analytics, Propriétaire et Contributeur. |
Gérer les travaux dans le lac de données Microsoft Sentinel
Pour créer des travaux planifiés ou gérer des travaux dans le lac de données Microsoft Sentinel, vous devez disposer de l’un des rôles Microsoft Entra ID suivants :
Rôles personnalisés et RBAC avancé
Pour restreindre l’accès à des données spécifiques, mais pas à l’ensemble de l’espace de travail, utilisez RBAC de contexte de ressource ou RBAC au niveau table. Cela est utile pour les équipes qui ont besoin d’accéder uniquement à certains types de données ou tables.
Sinon, utilisez l’une des options suivantes pour le RBAC avancé :
- Pour Microsoft Sentinel l’accès SIEM, utilisez Azure rôles personnalisés.
- Pour le lac de données Microsoft Sentinel, utilisez Defender XDR rôles personnalisés RBAC unifiés.
Contenu connexe
Pour plus d’informations, consultez Gérer les données de journal et les espaces de travail dans Azure Monitor.