Szerepkörök és engedélyek a Microsoft Sentinelben
Ez a cikk bemutatja, hogyan rendeli hozzá a Microsoft Sentinel az engedélyeket a felhasználói szerepkörökhöz, és hogyan azonosítja az egyes szerepkörök engedélyezett műveleteit. A Microsoft Sentinel azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) biztosít beépített szerepköröket , amelyek hozzárendelhetők az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.
Az Azure RBAC használatával szerepköröket hozhat létre és rendelhet hozzá a biztonsági üzemeltetési csapaton belül, hogy megfelelő hozzáférést biztosítson a Microsoft Sentinelhez. A különböző szerepkörök részletesen szabályozhatják, hogy a Microsoft Sentinel felhasználói mit láthatnak és tehetnek. Az Azure-szerepkörök közvetlenül a Microsoft Sentinel-munkaterületen, vagy egy olyan előfizetésben vagy erőforráscsoportban rendelhetők hozzá, amelyhez a munkaterület tartozik, amelyet a Microsoft Sentinel örököl.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Szerepkörök és engedélyek a Microsoft Sentinelben való munkavégzéshez
A munkaterületen lévő adatokhoz való megfelelő hozzáférés biztosítása beépített szerepkörök használatával. Előfordulhat, hogy a felhasználó feladatfeladataitól függően további szerepköröket vagy adott engedélyeket kell megadnia.
Microsoft Sentinel-specifikus szerepkörök
Minden beépített Microsoft Sentinel-szerepkör olvasási hozzáférést biztosít a Microsoft Sentinel-munkaterületen lévő adatokhoz.
A Microsoft Sentinel Olvasó szerepkörhöz tartozó felhasználók megtekintheti az adatokat, incidenseket, munkafüzeteket és más Microsoft Sentinel-erőforrásokat.
A Microsoft Sentinel-válaszadó a Microsoft Sentinel Reader engedélyei mellett kezelheti az incidenseket, például az incidensek hozzárendelését, elvetését és módosítását.
A Microsoft Sentinel-közreműködő a Microsoft Sentinel-válaszadó engedélyei mellett telepíthet és frissíthet megoldásokat a tartalomközpontból, és létrehozhat és szerkeszthet Microsoft Sentinel-erőforrásokat, például munkafüzeteket, elemzési szabályokat stb.
A Microsoft Sentinel Forgatókönyv-kezelő képes a forgatókönyvek listázására, megtekintésére és manuális futtatására.
A Microsoft Sentinel Automatizálási közreműködő szerepkör teszi lehetővé, hogy a Microsoft Sentinel forgatókönyveket adjon hozzá az automatizálási szabályokhoz. Ez nem felhasználói fiókokhoz készült.
A legjobb eredmény érdekében rendelje hozzá ezeket a szerepköröket a Microsoft Sentinel-munkaterületet tartalmazó erőforráscsoporthoz . Így a szerepkörök a Microsoft Sentinelt támogató összes erőforrásra érvényesek, mivel ezeket az erőforrásokat is ugyanabba az erőforráscsoportba kell helyezni.
Másik lehetőségként közvetlenül a Microsoft Sentinel-munkaterülethez rendelje hozzá a szerepköröket. Ha így tesz, ugyanazokat a szerepköröket kell hozzárendelnie az adott munkaterületEn található SecurityInsights-megoldáserőforráshoz. Előfordulhat, hogy más erőforrásokhoz is hozzá kell rendelnie őket, és folyamatosan kezelnie kell a szerepkör-hozzárendeléseket az erőforrásokhoz.
Egyéb szerepkörök és engedélyek
Előfordulhat, hogy az adott feladatkövetelményekkel rendelkező felhasználóknak más szerepköröket vagy adott engedélyeket kell hozzárendelniük a feladataik elvégzéséhez.
Beépített tartalom telepítése és kezelése
A Microsoft Sentinel tartalomközpontjában csomagolt megoldásokat találhat a végpontok közötti termékekhez vagy különálló tartalmakhoz. Ha tartalmat szeretne telepíteni és kezelni a tartalomközpontból, rendelje hozzá a Microsoft Sentinel közreműködői szerepkört az erőforráscsoport szintjén.
Fenyegetésekre adott válaszok automatizálása forgatókönyvekkel
A Microsoft Sentinel forgatókönyveket használ az automatizált fenyegetéskezeléshez. A forgatókönyvek az Azure Logic Appsre épülnek, és külön Azure-erőforrást jelentenek. A biztonsági műveleti csapat adott tagjai számára érdemes lehet hozzárendelni a Logic Apps biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) műveleteinek használatát. A Microsoft Sentinel Forgatókönyv-kezelő szerepkör használatával explicit, korlátozott engedélyeket rendelhet a forgatókönyvek futtatásához, a logikai alkalmazás közreműködői szerepkörét pedig forgatókönyvek létrehozásához és szerkesztéséhez.
A Microsoft Sentinel engedélyeinek megadása forgatókönyvek futtatásához
A Microsoft Sentinel egy speciális szolgáltatásfiókot használ az incidensindító forgatókönyvek manuális futtatásához vagy automatizálási szabályokból való meghívásához. A fiók használata (szemben a felhasználói fiókkal) növeli a szolgáltatás biztonsági szintjét.
Ahhoz, hogy egy automatizálási szabály forgatókönyvet futtasson, ennek a fióknak explicit engedélyeket kell adni ahhoz az erőforráscsoporthoz, amelyben a forgatókönyv található. Ezen a ponton bármely automatizálási szabály bármilyen forgatókönyvet futtathat az adott erőforráscsoportban. A szolgáltatásfiók engedélyeinek megadásához a fióknak tulajdonosi engedélyekkel kell rendelkeznie a forgatókönyveket tartalmazó erőforráscsoportokhoz.
Adatforrások csatlakoztatása a Microsoft Sentinelhez
Ahhoz, hogy egy felhasználó adatösszekötőket vegyen fel, hozzá kell rendelnie a felhasználó írási engedélyeit a Microsoft Sentinel munkaterülethez. Figyelje meg az egyes összekötőkhöz szükséges további engedélyeket a megfelelő összekötő oldalán látható módon.
Incidensek hozzárendelésének engedélyezése a vendégfelhasználók számára
Ha egy vendégfelhasználónak incidenseket kell hozzárendelnie, a Microsoft Sentinel Válaszadó szerepkör mellett a címtár-olvasó szerepkört is hozzá kell rendelnie a felhasználóhoz. A Címtárolvasó szerepkör nem Azure-szerepkör, hanem Microsoft Entra szerepkör, és a normál (nem lekért) felhasználók alapértelmezés szerint hozzárendelik ezt a szerepkört.
Munkafüzetek létrehozása és törlése
Microsoft Sentinel-munkafüzet létrehozásához és törléséhez a felhasználónak a Microsoft Sentinel közreműködői vagy egy kisebb Microsoft Sentinel-szerepkörre van szüksége a munkafüzet közreműködői Azure Monitor szerepkörével együtt. Ez a szerepkör nem szükséges munkafüzetek használatához , csak létrehozáshoz és törléshez.
Hozzárendelt Azure- és Log Analytics-szerepkörök
Ha Microsoft Sentinel-specifikus Azure-szerepköröket rendel hozzá, előfordulhat, hogy más Azure- és Log Analytics-szerepkörökkel is találkozhat, amelyeket más célokra rendelhet hozzá a felhasználókhoz. Ezek a szerepkörök szélesebb körű engedélyeket biztosítanak, amelyek magukban foglalják a Microsoft Sentinel-munkaterülethez és más erőforrásokhoz való hozzáférést:
Azure-szerepkörök: Tulajdonos, Közreműködő és Olvasó. Az Azure-szerepkörök az összes Azure-erőforráshoz, köztük a Log Analytics-munkaterületekhez és a Microsoft Sentinel-erőforrásokhoz is hozzáférést adnak.
Log Analytics-szerepkörök: Log Analytics-közreműködő és Log Analytics-olvasó. A Log Analytics-szerepkörök adnak hozzáférést a Log Analytics-munkaterületekhez.
Egy felhasználó például hozzárendelte a Microsoft Sentinel Reader szerepkört, de a Microsoft Sentinel közreműködői szerepkörét nem, akkor is szerkesztheti a Microsoft Sentinel elemeit, ha a felhasználóhoz az Azure-szintű közreműködői szerepkör is hozzá van rendelve. Ezért ha csak a Microsoft Sentinelben szeretne engedélyeket adni egy felhasználónak, gondosan távolítsa el a felhasználó korábbi engedélyeit, és ügyeljen arra, hogy ne szegje meg a másik erőforráshoz való szükséges hozzáférést.
Microsoft Sentinel-szerepkörök, engedélyek és engedélyezett műveletek
Ez a táblázat a Microsoft Sentinel szerepköreit és engedélyezett műveleteit foglalja össze a Microsoft Sentinelben.
Szerepkör | Forgatókönyvek megtekintése és futtatása | Forgatókönyvek létrehozása és szerkesztése | Elemzési szabályok, munkafüzetek és egyéb Microsoft Sentinel-erőforrások létrehozása és szerkesztése | Incidensek kezelése (elutasítás, hozzárendelés stb.) | Adatok, incidensek, munkafüzetek és egyéb Microsoft Sentinel-erőforrások megtekintése | Tartalom telepítése és kezelése a tartalomközpontból |
---|---|---|---|---|---|---|
Microsoft Sentinel Olvasó | -- | -- | --* | -- | ✓ | -- |
Microsoft Sentinel Válaszadó | -- | -- | --* | ✓ | ✓ | -- |
Microsoft Sentinel Közreműködő | -- | -- | ✓ | ✓ | ✓ | ✓ |
Microsoft Sentinel Forgatókönyv-kezelő | ✓ | -- | -- | -- | -- | -- |
Logikai alkalmazás közreműködője | ✓ | ✓ | -- | -- | -- | -- |
* Az ilyen szerepkörökkel rendelkező felhasználók munkafüzeteket hozhatnak létre és törölhetnek a munkafüzet-közreműködő szerepkörrel. További információ az egyéb szerepkörökről és engedélyekről.
Tekintse át azokat a szerepkör-javaslatokat , amelyekhez a SOC-ban mely felhasználókhoz rendelhet szerepköröket.
Egyéni szerepkörök és speciális Azure RBAC
Egyéni szerepkörök. Az Azure beépített szerepköreinek használata mellett vagy helyett azure-beli egyéni szerepköröket is létrehozhat a Microsoft Sentinelhez. A Microsoft Sentinelhez ugyanúgy hozhat létre egyéni Azure-szerepköröket, mint az Azure-beli egyéni szerepkörök, a Microsoft Sentinelhez és az Azure Log Analytics-erőforrásokhoz adott engedélyek alapján.
Log Analytics RBAC. A Log Analytics speciális Azure RBAC-t a Microsoft Sentinel-munkaterület adatai között használhatja. Ez magában foglalja az adattípus-alapú Azure RBAC-t és az erőforrás-környezetbeli Azure RBAC-t is. További tudnivalók:
- Naplóadatok és munkaterületek kezelése az Azure Monitorban
- Erőforrás-környezet RBAC a Microsoft Sentinelhez
- Táblaszintű RBAC
Az erőforrás-környezet és a táblaszintű RBAC kétféleképpen biztosít hozzáférést bizonyos adatokhoz a Microsoft Sentinel-munkaterületen anélkül, hogy a Teljes Microsoft Sentinel-élményhez hozzáférést biztosítanának.
Szerepkör- és engedélyjavaslatok
Miután megismerte a szerepkörök és engedélyek működését a Microsoft Sentinelben, áttekintheti az alábbi ajánlott eljárásokat a szerepkörök felhasználókra való alkalmazásához:
Felhasználó típusa | Szerepkör | Erőforráscsoport | Leírás |
---|---|---|---|
Biztonsági elemzők | Microsoft Sentinel-válaszadó | A Microsoft Sentinel erőforráscsoportja | Adatok, incidensek, munkafüzetek és egyéb Microsoft Sentinel-erőforrások megtekintése. Incidensek kezelése, például incidensek hozzárendelése vagy elvetése. |
Microsoft Sentinel Forgatókönyv-kezelő | A Microsoft Sentinel erőforráscsoportja, vagy az az erőforráscsoport, amelyben a forgatókönyvek vannak tárolva | Forgatókönyvek csatolása elemzési és automatizálási szabályokhoz. Forgatókönyvek futtatása. |
|
Biztonsági mérnökök | Microsoft Sentinel-közreműködő | A Microsoft Sentinel erőforráscsoportja | Adatok, incidensek, munkafüzetek és egyéb Microsoft Sentinel-erőforrások megtekintése. Incidensek kezelése, például incidensek hozzárendelése vagy elvetése. Munkafüzetek, elemzési szabályok és egyéb Microsoft Sentinel-erőforrások létrehozása és szerkesztése. Megoldásokat telepíthet és frissíthet a tartalomközpontból. |
Logic Apps-közreműködő | A Microsoft Sentinel erőforráscsoportja, vagy az az erőforráscsoport, amelyben a forgatókönyvek vannak tárolva | Forgatókönyvek csatolása elemzési és automatizálási szabályokhoz. Forgatókönyvek futtatása és módosítása. |
|
Szolgáltatásnév | Microsoft Sentinel-közreműködő | A Microsoft Sentinel erőforráscsoportja | Automatizált konfiguráció felügyeleti feladatokhoz |
A betöltött vagy figyelt adatoktól függően további szerepkörökre lehet szükség. Előfordulhat például, hogy a Microsoft Entra-szerepkörökre , például a biztonsági rendszergazdai szerepkörre van szükség más Microsoft-portálok szolgáltatásaihoz tartozó adatösszekötők beállításához.
Erőforrás-alapú hozzáférés-vezérlés
Előfordulhat, hogy vannak olyan felhasználói, akiknek csak bizonyos adatokhoz kell hozzáférniük a Microsoft Sentinel-munkaterületen, de nem férhetnek hozzá a teljes Microsoft Sentinel-környezethez. Előfordulhat például, hogy biztonsági műveleteken kívüli csapatot szeretne biztosítani a windowsos eseményadatokhoz a tulajdonában lévő kiszolgálókhoz.
Ilyen esetekben javasoljuk, hogy a szerepköralapú hozzáférés-vezérlést (RBAC) a felhasználók számára engedélyezett erőforrások alapján konfigurálja ahelyett, hogy hozzáférést biztosít a Microsoft Sentinel-munkaterülethez vagy bizonyos Microsoft Sentinel-funkciókhoz. Ezt a módszert erőforrás-környezet RBAC beállításának is nevezik. További információ: A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként.
Következő lépések
Ebből a cikkből megtudhatja, hogyan dolgozhat a Microsoft Sentinel-felhasználók szerepköreivel, és hogy az egyes szerepkörök hogyan teszik lehetővé a felhasználók számára.