Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogy Microsoft Sentinel hogyan rendeli hozzá az engedélyeket Microsoft Sentinel SIEM-hez és Microsoft Sentinel Data Lake-hez, és azonosítja az egyes szerepkörök engedélyezett műveleteit.
Microsoft Sentinel Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával biztosít beépített és egyéni szerepköröket Microsoft Sentinel SIEM-hez, valamint Microsoft Entra ID szerepköralapú hozzáférés-vezérléshez ( Microsoft Entra ID RBAC) beépített és egyéni szerepkörök biztosítása Microsoft Sentinel Data Lake-hez.
A szerepkörök hozzárendelése előtt tekintse meg az Azure szerepkör hozzárendelésének lépései című tervezési útmutatót annak meghatározásához, hogy kinek van szüksége hozzáférésre, melyik szerepkört és milyen hatókört kell alkalmaznia.
Az alábbi lépésenkénti útmutató segítségével szerepköröket rendelhet felhasználókhoz, csoportokhoz és szolgáltatásokhoz a szerepkör típusa alapján:
- Azure szerepkörök: Azure szerepkörök hozzárendelése a Azure Portal
- Microsoft Entra ID szerepkörök: Microsoft Entra szerepkörök hozzárendelése
Fontos
2027. március 31. után a Microsoft Sentinel már nem támogatott a Azure Portal, és csak a Microsoft Defender portálon lesz elérhető. A Azure Portal-ben Microsoft Sentinel használó összes ügyfél át lesz irányítva a Defender portálra, és csak a Defender portálon Microsoft Sentinel fog használni.
Ha továbbra is Microsoft Sentinel használ a Azure Portal, javasoljuk, hogy kezdje el megtervezni a Defender portálra való áttérést, hogy zökkenőmentes átmenetet biztosítson, és teljes mértékben kihasználhassa a Microsoft Defender által kínált egységes biztonsági műveletek nyújtotta előnyöket.
Megjegyzés:
Ha az Microsoft Defender XDR előzetes verziójú programot futtatja, most már az új Microsoft Defender Unified Role-Based Access Control (URBAC) modellt is használhatja. További információ: Microsoft Defender XDR Egyesített szerepköralapú hozzáférés-vezérlés (RBAC).
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Beépített Azure szerepkörök a Microsoft Sentinel
A következő beépített Azure szerepkörök Microsoft Sentinel SIEM-hez használhatók, és olvasási hozzáférést biztosítanak a munkaterület adataihoz, beleértve a Microsoft Sentinel Data Lake támogatását is. A legjobb eredmény érdekében rendelje hozzá ezeket a szerepköröket az erőforráscsoport szintjén.
| Szerepkör | SIEM-támogatás | Data Lake-támogatás |
|---|---|---|
| Microsoft Sentinel Olvasó | Adatok, incidensek, munkafüzetek, javaslatok és egyéb erőforrások megtekintése | Speciális elemzések elérése és interaktív lekérdezések futtatása csak munkaterületeken. |
| Microsoft Sentinel válaszadó | Minden olvasói engedély, valamint incidensek kezelése | – |
| Microsoft Sentinel közreműködő | Minden válaszadói engedély, valamint telepítési/frissítési megoldások, erőforrások létrehozása/szerkesztése | Speciális elemzések elérése és interaktív lekérdezések futtatása csak munkaterületeken. |
| Microsoft Sentinel forgatókönyv-operátor | Forgatókönyvek listázása, megtekintése és manuális futtatása | – |
| Microsoft Sentinel Automation-közreműködő | Lehetővé teszi Microsoft Sentinel, hogy forgatókönyveket adjon hozzá az automatizálási szabályokhoz. Felhasználói fiókokhoz nem használható. | – |
Az alábbi táblázat például azokat a feladatokat mutatja be, amelyeket az egyes szerepkörök el tudnak végezni Microsoft Sentinel:
| Szerepkör | Forgatókönyvek futtatása | Forgatókönyvek létrehozása/szerkesztése | Elemzési szabályok, munkafüzetek stb. létrehozása/szerkesztése | Incidensek kezelése | Adatok, incidensek, munkafüzetek, javaslatok megtekintése | Tartalomközpont kezelése |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Olvasó | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel válaszadó | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel közreműködő | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel forgatókönyv-operátor | ✓ | -- | -- | -- | -- | -- |
| Logikai alkalmazás közreműködője | ✓ | ✓ | -- | -- | -- | -- |
* Munkafüzet-közreműködői szerepkörrel.
Javasoljuk, hogy rendeljen szerepköröket a Microsoft Sentinel munkaterületet tartalmazó erőforráscsoporthoz. Ez biztosítja, hogy az összes kapcsolódó erőforrásra, például a Logic Appsre és a forgatókönyvekre ugyanazok a szerepkör-hozzárendelések vonatkozhassanak.
Másik lehetőségként közvetlenül a Microsoft Sentinel munkaterülethez rendelje hozzá a szerepköröket. Ha ezt teszi, ugyanazokat a szerepköröket kell hozzárendelnie a MunkaterületEn található SecurityInsights-megoldás erőforrásához . Előfordulhat, hogy más erőforrásokhoz is hozzá kell rendelnie őket, és folyamatosan kezelnie kell az erőforrások szerepkör-hozzárendeléseit.
További szerepkörök adott feladatokhoz
Előfordulhat, hogy az adott feladatkövetelményekkel rendelkező felhasználóknak más szerepköröket vagy adott engedélyeket kell hozzárendelniük a feladataik elvégzéséhez. Például:
| Feladat | Szükséges szerepkörök/engedélyek |
|---|---|
| Adatforrások csatlakoztatása | Írási engedély a munkaterületen. Ellenőrizze az összekötők dokumentációiban az összekötőnként szükséges további engedélyeket. |
| Tartalom kezelése a Tartalomközpontból | Microsoft Sentinel közreműködő az erőforráscsoport szintjén |
| Válaszok automatizálása forgatókönyvekkel |
Microsoft Sentinel forgatókönyv-kezelőt a forgatókönyvek futtatásához, a logikai alkalmazás közreműködője pedig a forgatókönyvek létrehozásához/szerkesztéséhez. Microsoft Sentinel forgatókönyveket használ az automatikus fenyegetéskezeléshez. A forgatókönyvek Azure Logic Apps-alkalmazásokra épülnek, és külön Azure erőforrást jelentenek. A biztonsági üzemeltetési csapat adott tagjai számára érdemes lehet hozzárendelni a Logic Apps biztonsági vezénylési, automatizálási és válaszi (SOAR) műveleteinek használatát. |
| Forgatókönyvek futtatásának engedélyezése Microsoft Sentinel automatizálással | A szolgáltatásfióknak explicit engedélyekre van szüksége a forgatókönyv-erőforráscsoporthoz; a fióknak tulajdonosi engedélyekre van szüksége ezek hozzárendeléséhez. Microsoft Sentinel egy speciális szolgáltatásfiókot használ az incidens-trigger forgatókönyvek manuális futtatásához vagy automatizálási szabályokból történő meghívásához. A fiók használata (a felhasználói fiók helyett) növeli a szolgáltatás biztonsági szintjét. Ahhoz, hogy egy automatizálási szabály futtathasson egy forgatókönyvet, ennek a fióknak explicit engedélyeket kell adni ahhoz az erőforráscsoporthoz, ahol a forgatókönyv található. Ezen a ponton bármely automatizálási szabály bármilyen forgatókönyvet futtathat az adott erőforráscsoportban. |
| A vendégfelhasználók incidenseket rendelnek hozzá |
Címtárolvasó AND Microsoft Sentinel Responder A Címtárolvasó szerepkör nem egy Azure szerepkör, hanem egy Microsoft Entra ID szerepkör, és a normál (nem lekért) felhasználókhoz alapértelmezés szerint hozzá van rendelve ez a szerepkör. |
| Munkafüzetek létrehozása/törlése | Microsoft Sentinel Közreműködő vagy kisebb Microsoft Sentinel szerepkör ÉS munkafüzet-közreműködő |
Egyéb Azure és Log Analytics-szerepkörök
Ha Microsoft Sentinel-specifikus Azure szerepköröket rendel hozzá, előfordulhat, hogy más Azure és Log Analytics-szerepkörökkel is találkozhat, amelyeket más célokra a felhasználókhoz rendelhet. Ezek a szerepkörök szélesebb körű engedélyeket biztosítanak, amelyek magukban foglalják a Microsoft Sentinel-munkaterülethez és más erőforrásokhoz való hozzáférést:
- Azure szerepkörök:Tulajdonos, Közreműködő, Olvasó – széles körű hozzáférés biztosítása Azure erőforrásokhoz.
- Log Analytics-szerepkörök:Log Analytics-közreműködő, Log Analytics-olvasó – hozzáférés biztosítása a Log Analytics-munkaterületekhez.
Fontos
A szerepkör-hozzárendelések kumulatívak. A Microsoft Sentinel Olvasó és Közreműködő szerepkörrel rendelkező felhasználók a kívántnál több engedéllyel rendelkezhetnek.
Ajánlott szerepkör-hozzárendelések Microsoft Sentinel felhasználók számára
| Felhasználó típusa | Szerepkör | Erőforráscsoport | Leírás |
|---|---|---|---|
| Biztonsági elemzők | Microsoft Sentinel válaszadó | Microsoft Sentinel erőforráscsoport | Incidensek, adatok, munkafüzetek megtekintése/kezelése |
| Microsoft Sentinel forgatókönyv-operátor | Microsoft Sentinel/forgatókönyv erőforráscsoportja | Forgatókönyvek csatolása/futtatása | |
| Biztonsági mérnökök | Microsoft Sentinel közreműködő | Microsoft Sentinel erőforráscsoport | Incidensek, tartalmak, erőforrások kezelése |
| Logikai alkalmazás közreműködője | Microsoft Sentinel/forgatókönyv erőforráscsoportja | Forgatókönyvek futtatása/módosítása | |
| Szolgáltatásnév | Microsoft Sentinel közreműködő | Microsoft Sentinel erőforráscsoport | Automatizált felügyeleti feladatok |
Szerepkörök és engedélyek a Microsoft Sentinel Data Lake-hez
A Microsoft Sentinel Data Lake használatához a munkaterületet fel kell venni a Defender portálra és aMicrosoft Sentinel data lake-be.
A Data Lake olvasási engedélyeinek Microsoft Sentinel
Microsoft Entra ID szerepkörök széles körű hozzáférést biztosítanak a Data Lake összes tartalmához. Az alábbi szerepkörök használatával olvasási hozzáférést biztosíthat az Microsoft Sentinel Data Lake összes munkaterületéhez, például lekérdezések futtatásához.
| Engedély típusa | Támogatott szerepkörök |
|---|---|
| Olvasási hozzáférés az összes munkaterületen | Használja az alábbi Microsoft Entra ID szerepkörök egyikét: - Globális olvasó - Biztonsági olvasó - Biztonsági operátor - Biztonsági rendszergazda - globális rendszergazda |
Azt is megteheti, hogy egy adott munkaterületen belülről szeretné kiosztani a táblák olvasásának képességét. Ilyen esetekben használja az alábbiak egyikét:
| Feladatok | Engedélyek |
|---|---|
| Olvasási engedélyek a rendszertáblákon | Használjon egyéni Microsoft Defender XDR egyesített RBAC-szerepkört az Microsoft Sentinel adatgyűjtéshez szükséges alapvető biztonságiadat-engedélyekkel (olvasási). |
| Olvasási engedélyek bármely más, a Data Lake-ben Microsoft Sentinel engedélyezett munkaterületen | Használja az alábbi beépített szerepkörök egyikét az Azure RBAC-ben az adott munkaterület engedélyeinek használatához: - Log Analytics-olvasó - Log Analytics-közreműködő - Microsoft Sentinel közreműködő - Microsoft Sentinel Olvasó - Olvasó - Közreműködő - Tulajdonos |
A Data Lake írási engedélyeinek Microsoft Sentinel
Microsoft Entra ID szerepkörök széles körű hozzáférést biztosítanak a Data Lake összes munkaterületéhez. Az alábbi szerepkörök használatával biztosítson írási hozzáférést a Microsoft Sentinel Data Lake-táblákhoz:
| Engedély típusa | Támogatott szerepkörök |
|---|---|
| Írás az elemzési szinten lévő táblákba KQL-feladatok vagy jegyzetfüzetek használatával | Használja az alábbi Microsoft Entra ID szerepkörök egyikét: - Biztonsági operátor - Biztonsági rendszergazda - globális rendszergazda |
| Írás a Microsoft Sentinel Data Lake tábláiba | Használja az alábbi Microsoft Entra ID szerepkörök egyikét: - Biztonsági operátor - Biztonsági rendszergazda - globális rendszergazda |
Azt is megteheti, hogy egy adott munkaterülethez szeretné hozzárendelni a kimenet írási képességét. Ez magában foglalhatja az összekötők konfigurálását az adott munkaterületen, módosíthatja a munkaterület tábláinak adatmegőrzési beállításait, vagy egyéni táblákat hozhat létre, frissíthet és törölhet az adott munkaterületen. Ilyen esetekben használja az alábbiak egyikét:
| Feladatok | Engedélyek |
|---|---|
| Rendszertáblák frissítése a Data Lake-ben | Használjon egyéni Microsoft Defender XDR egyesített RBAC-szerepkört az Microsoft Sentinel-adatgyűjtésre vonatkozó adatokkal (kezeléssel) kapcsolatos engedélyekkel. |
| A Data Lake bármely más Microsoft Sentinel munkaterülete esetén | Használjon olyan beépített vagy egyéni szerepkört, amely a következő Azure RBAC Microsoft Operational Insights-engedélyeket tartalmazza az adott munkaterületen: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Ilyenek például a beépített szerepkörök, amelyek tartalmazzák ezeket az engedélyeket : Log Analytics-közreműködő, tulajdonos és közreműködő. |
Feladatok kezelése a Microsoft Sentinel Data Lake-ben
Ütemezett feladatok létrehozásához vagy a Microsoft Sentinel Data Lake-ben lévő feladatok kezeléséhez az alábbi Microsoft Entra ID szerepkörök egyikével kell rendelkeznie:
Egyéni szerepkörök és speciális RBAC
Adott adatokhoz való hozzáférés korlátozásához használja az erőforrás-környezet RBAC-jének vagy táblázatszintű RBAC-jének használatát, de a teljes munkaterületre nem. Ez olyan csapatok számára hasznos, amelyek csak bizonyos adattípusokhoz vagy táblákhoz férnek hozzá.
Ellenkező esetben használja az alábbi beállítások egyikét a speciális RBAC-hez:
- Microsoft Sentinel SIEM-hozzáféréshez használjon Azure egyéni szerepköröket.
- A Microsoft Sentinel Data Lake esetében használja Defender XDR egyesített egyéni RBAC-szerepköröket.
Kapcsolódó tartalom
További információ: Naplóadatok és munkaterületek kezelése a Azure Monitorban