Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara Microsoft Sentinel menetapkan izin untuk peran pengguna dan mengidentifikasi tindakan yang diperbolehkan untuk setiap peran. Microsoft Sentinel menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menyediakan peran bawaan yang dapat ditetapkan kepada pengguna, grup, dan layanan di Azure. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.
Gunakan Azure RBAC untuk membuat dan menetapkan peran dalam tim operasi keamanan Anda untuk memberikan akses yang sesuai ke Microsoft Azure Sentinel. Masing-masing peran memberi Anda kontrol khusus atas apa yang dapat dilihat dan dilakukan pengguna Microsoft Sentinel. Peran Azure dapat ditetapkan di ruang kerja Microsoft Azure Sentinel secara langsung, atau dalam langganan atau grup sumber daya tempat ruang kerja berada, yang diwarisi Microsoft Azure Sentinel.
Penting
Microsoft Sentinel umumnya tersedia di portal Microsoft Defender, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.
Mulai Juli 2026, semua pelanggan yang menggunakan Microsoft Sentinel di portal Microsoft Azure akan dialihkan ke portal Defender dan hanya akan menggunakan Microsoft Sentinel di portal Defender. Mulai Juli 2025, banyak pelanggan baru secara otomatis onboarding dan dialihkan ke portal Defender.
Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Saatnya Pindah: Menghentikan portal Microsoft Azure Sentinel untuk keamanan yang lebih besar.
Peran dan izin untuk bekerja di Microsoft Sentinel
Berikan akses yang sesuai ke data di ruang kerja Anda dengan menggunakan peran bawaan. Anda mungkin perlu memberikan lebih banyak peran atau izin tertentu tergantung pada tugas pekerjaan pengguna.
Peran khusus Microsoft Azure Sentinel
Semua peran bawaan Microsoft Azure Sentinel memberikan akses baca ke data di ruang kerja Microsoft Azure Sentinel Anda.
Pembaca Microsoft Azure Sentinel dapat menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya.
Microsoft Sentinel Responder dapat, selain izin yang diberikan kepada Pembaca Microsoft Sentinel, mengelola insiden seperti menetapkan, mengabaikan, dan mengubah insiden.
Kontributor Microsoft Azure Sentinel dapat, selain izin untuk Microsoft Sentinel Responder, menginstal dan memperbarui solusi dari hub konten, dan membuat dan mengedit sumber daya Microsoft Azure Sentinel seperti buku kerja, aturan analitik, dan banyak lagi.
Operator Playbook Microsoft Sentinel dapat mencantumkan, melihat, dan menjalankan playbook secara manual.
Kontributor Otomatisasi Microsoft Azure Sentinel memungkinkan Microsoft Azure Sentinel untuk menambahkan playbook ke aturan otomatisasi. Hal ini tidak ditujukan untuk akun pengguna.
Untuk hasil terbaik, tetapkan peran ini ke grup sumber daya yang berisi ruang kerja Microsoft Azure Sentinel. Dengan cara ini, peran akan berlaku untuk semua sumber daya yang mendukung Microsoft Sentinel, karena sumber daya tersebut juga harus ditempatkan dalam grup sumber daya yang sama.
Sebagai opsi lain, tetapkan peran langsung ke ruang kerja Microsoft Sentinel itu sendiri. Jika Anda melakukannya, Anda harus menetapkan peran yang sama ke sumber daya solusi SecurityInsights di ruang kerja tersebut. Anda mungkin juga perlu menetapkannya pada sumber daya lain, dan secara terus-menerus mengelola penetapan peran ke sumber daya.
Peran dan izin pengguna
Pengguna dengan persyaratan pekerjaan tertentu mungkin perlu diberi peran lain atau izin tertentu untuk menyelesaikan tugas mereka.
Menyambungkan sumber data ke Microsoft Azure Sentinel
Agar pengguna dapat menambahkan konektor data, Anda harus menetapkan izin Tulis kepada pengguna di ruang kerja Microsoft Sentinel. Perhatikan izin tambahan yang diperlukan untuk setiap konektor, seperti yang tercantum di halaman konektor yang relevan.
Menginstal dan mengelola konten di luar kotak
Temukan solusi paket untuk produk end-to-end atau konten mandiri dari hub konten di Microsoft Azure Sentinel. Untuk menginstal dan mengelola konten dari hub konten, tetapkan peran Kontributor Microsoft Sentinel di tingkat grup sumber daya.
Otomatiskan respons terhadap ancaman dengan buku panduan
Microsoft Sentinel menggunakan playbook untuk respons ancaman otomatis. Playbook dibangun di Azure Logic Apps, dan merupakan sumber daya Azure terpisah. Anda mungkin ingin memberikan kemampuan kepada anggota tertentu dari tim operasi keamanan Anda untuk menggunakan Logic Apps dalam operasi Orkestrasi, Automasi, dan Respons Keamanan (SOAR). Anda dapat menggunakan peran Operator Playbook Microsoft Sentinel untuk menetapkan izin eksplisit, terbatas untuk menjalankan playbook, dan peran Kontributor Aplikasi Logika untuk membuat dan mengedit playbook.
Memberikan izin Microsoft Sentinel untuk menjalankan playbook
Microsoft Sentinel menggunakan akun layanan khusus untuk menjalankan playbook pemicu insiden secara manual atau memanggilnya dari aturan otomatisasi. Penggunaan akun ini (dibandingkan dengan akun pengguna Anda) meningkatkan tingkat keamanan layanan.
Agar aturan otomasi dapat menjalankan playbook, akun ini harus diberikan izin eksplisit ke grup sumber daya di mana playbook tersebut berada. Pada saat itu, setiap aturan otomasi akan dapat menjalankan playbook apa pun dalam grup sumber daya tersebut. Untuk memberikan izin ini pada akun layanan ini, akun Anda harus memiliki izin Pemilik pada grup sumber daya yang berisi playbook.
Mengizinkan pengguna tamu untuk menetapkan insiden
Jika pengguna tamu harus dapat menetapkan insiden, Anda perlu menetapkan peran Pembaca Direktori kepada pengguna, selain peran Microsoft Sentinel Responder . Peran Pembaca Direktori bukan peran Azure tetapi peran Microsoft Entra, dan pengguna reguler (nonguest) memiliki peran ini yang ditetapkan secara default.
Membuat dan menghapus buku kerja
Untuk membuat dan menghapus buku kerja Microsoft Azure Sentinel, pengguna memerlukan peran Kontributor Microsoft Sentinel atau peran Microsoft Sentinel yang lebih kecil, bersama dengan peran Kontributor Buku Kerja Azure Monitor. Peran ini tidak diperlukan untuk menggunakan buku kerja, hanya untuk membuat dan menghapus.
Peran Azure dan Analitik Log yang mungkin Anda lihat diterapkan
Saat menetapkan peran Azure khusus Microsoft Sentinel, Anda mungkin menemukan peran Azure dan Log Analytics lainnya yang mungkin ditetapkan kepada pengguna untuk tujuan lain. Peran ini memberikan serangkaian izin yang lebih luas yang mencakup akses ke ruang kerja Microsoft Azure Sentinel Anda dan sumber daya lainnya:
Peran Azure:Pemilik, Kontributor, dan Pembaca. Peran Azure memberikan akses ke semua sumber daya Azure Anda, termasuk ruang kerja Log Analytics dan sumber daya Microsoft Azure Sentinel.
Peran Analitik Log:Kontributor Analitik Log dan Pembaca Analitik Log. Peran Analitik Log memberikan akses ke ruang kerja Analitik Log Anda.
Misalnya, pengguna yang diberi peran Pembaca Microsoft Sentinel , tetapi bukan peran Kontributor Microsoft Azure Sentinel , masih dapat mengedit item di Microsoft Azure Sentinel, jika pengguna tersebut juga diberi peran Kontributor tingkat Azure. Oleh karena itu, jika Anda ingin memberikan izin kepada pengguna hanya di Microsoft Azure Sentinel, hapus izin pengguna ini sebelumnya dengan hati-hati, pastikan Anda tidak merusak akses yang diperlukan ke sumber daya lain.
Peran, izin, dan tindakan yang diizinkan Microsoft Sentinel
Tabel berikut ini merangkum peran Microsoft Sentinel dan tindakan yang diizinkan di Microsoft Sentinel.
| Peran | Melihat dan menjalankan playbook | Membuat dan mengedit playbook | Membuat dan mengedit aturan analitik, buku kerja, dan sumber daya Microsoft Sentinel lainnya | Mengelola insiden (menutup, menetapkan, dll.) | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya | Menginstal dan mengelola konten dari hub konten |
|---|---|---|---|---|---|---|
| Pembaca Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Penanggap Microsoft Azure Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Kontributor Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Operator Buku Panduan | ✓ | -- | -- | -- | -- | -- |
| Kontributor Aplikasi Logika | ✓ | ✓ | -- | -- | -- | -- |
* Pengguna dengan peran ini dapat membuat dan menghapus buku kerja dengan peran Kontributor Buku Kerja . Pelajari tentang Peran dan izin lainnya.
Tinjau rekomendasi peran untuk peran yang akan ditetapkan kepada pengguna yang sesuai di SOC Anda.
Peran kustom dan Azure RBAC tingkat lanjut
Peran kustom. Selain, atau alih-alih, menggunakan peran bawaan Azure, Anda dapat membuat peran kustom Azure untuk Microsoft Azure Sentinel. Anda membuat peran kustom Azure untuk Microsoft Azure Sentinel dengan cara yang sama seperti peran kustom Azure, berdasarkan izin tertentu ke Microsoft Sentinel dan ke sumber daya Azure Log Analytics.
Log Analitik RBAC. Anda dapat menggunakan RBAC Azure dengan Analitik Log tingkat lanjut di seluruh data di ruang kerja Microsoft Sentinel Anda. Ini termasuk Azure RBAC berbasis jenis data dan Azure RBAC dengan konteks sumber daya. Untuk mempelajari selengkapnya:
- Mengelola data log dan ruang kerja di Azure Monitor
- RBAC konteks sumber daya untuk Microsoft Sentinel
- RBAC tingkat tabel
RBAC dengan konteks sumber daya dan tingkat tabel adalah dua metode untuk menyediakan akses ke data tertentu di ruang kerja Microsoft Sentinel Anda tanpa mengizinkan akses ke seluruh pengalaman Microsoft Sentinel.
Rekomendasi peran dan izin
Setelah memahami cara kerja peran dan izin di Microsoft Sentinel, Anda mungkin ingin menggunakan panduan praktik terbaik berikut untuk menerapkan peran kepada pengguna Anda:
| Tipe pengguna | Peran | Grup sumber daya | Deskripsi |
|---|---|---|---|
| Analis keamanan | Microsoft Sentinel Responder | Grup sumber daya Microsoft Sentinel | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya. Mengelola insiden, seperti menugaskan atau mengakhiri insiden. |
| Microsoft Sentinel Playbook Operator | Grup sumber daya Microsoft Sentinel, atau grup sumber daya tempat playbook Anda disimpan | Lampirkan playbook ke analitik dan aturan otomatisasi. Jalankan buku pedoman. |
|
| Insinyur keamanan | Kontributor Microsoft Sentinel | Grup sumber daya Microsoft Sentinel | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya. Mengelola insiden, seperti menugaskan atau mengakhiri insiden. Membuat dan mengedit buku kerja, aturan analitik, serta sumber daya Microsoft Azure Sentinel lainnya. Instal dan perbarui solusi dari hub konten. |
| Penyumbang Logic Apps | Grup sumber daya Microsoft Sentinel, atau grup sumber daya tempat playbook Anda disimpan | Lampirkan playbook ke analitik dan aturan otomatisasi. Jalankan dan ubah playbook. |
|
| Perwakilan Layanan | Kontributor Microsoft Sentinel | Grup sumber daya Microsoft Sentinel | Konfigurasi otomatis untuk tugas pengelolaan |
Peran lainnya mungkin diperlukan tergantung pada data yang Anda serap atau pantau. Misalnya, peran Microsoft Entra mungkin diperlukan, seperti peran Administrator Keamanan, untuk mengelola beberapa ruang kerja, atau untuk menyiapkan konektor data untuk layanan di portal Microsoft lainnya.
Kontrol akses berbasis sumber daya
Anda mungkin memiliki beberapa pengguna yang hanya perlu mengakses data tertentu di ruang kerja Microsoft Azure Sentinel Anda, tetapi seharusnya tidak memiliki akses ke seluruh lingkungan Microsoft Azure Sentinel. Misalnya, Anda mungkin ingin menyediakan tim di luar operasi keamanan dengan akses ke data peristiwa Windows untuk server yang mereka miliki.
Dalam kasus seperti itu, kami sarankan Anda mengonfigurasi kontrol akses berbasis peran (RBAC) Berdasarkan sumber daya yang diizinkan untuk pengguna Anda, alih-alih memberi mereka akses ke ruang kerja Microsoft Azure Sentinel atau fitur Microsoft Azure Sentinel tertentu. Metode ini juga dikenal sebagai pengaturan konteks sumber daya RBAC. Untuk informasi selengkapnya, lihat Mengelola akses ke data Microsoft Azure Sentinel berdasarkan sumber daya.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara bekerja dengan peran untuk pengguna Microsoft Sentinel dan apa yang dapat pengguna lakukan di setiap peran.