Peran dan izin di Microsoft Sentinel
Artikel ini menjelaskan cara Microsoft Sentinel menetapkan izin untuk peran pengguna dan mengidentifikasi tindakan yang diperbolehkan untuk setiap peran. Microsoft Sentinel menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menyediakan peran bawaan yang dapat ditetapkan ke pengguna, grup, dan layanan di Azure. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.
Gunakan Azure RBAC untuk membuat dan menetapkan peran dalam tim operasi keamanan Anda untuk memberikan akses yang sesuai ke Microsoft Azure Sentinel. Masing-masing peran memberi Anda kontrol khusus atas apa yang dapat dilihat dan dilakukan pengguna Microsoft Sentinel. Peran Azure dapat ditetapkan di ruang kerja Microsoft Azure Sentinel secara langsung, atau dalam langganan atau grup sumber daya tempat ruang kerja berada, yang diwarisi Microsoft Azure Sentinel.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Peran dan izin untuk bekerja di Microsoft Sentinel
Berikan akses yang sesuai ke data di ruang kerja Anda dengan menggunakan peran bawaan. Anda mungkin perlu memberikan lebih banyak peran atau izin tertentu tergantung pada tugas pekerjaan pengguna.
Peran khusus Microsoft Azure Sentinel
Semua peran bawaan Microsoft Azure Sentinel memberikan akses baca ke data di ruang kerja Microsoft Azure Sentinel Anda.
Pembaca Microsoft Azure Sentinel bisa melihat tampilan data, insiden, workbook, dan sumber daya Microsoft Azure Sentinel lainnya.
Microsoft Sentinel Responder dapat, selain izin untuk Pembaca Microsoft Sentinel, mengelola insiden seperti menetapkan, menutup, dan mengubah insiden.
Kontributor Microsoft Azure Sentinel dapat, selain izin untuk Microsoft Sentinel Responder, menginstal dan memperbarui solusi dari hub konten, dan membuat dan mengedit sumber daya Microsoft Azure Sentinel seperti buku kerja, aturan analitik, dan banyak lagi.
Operator Playbook Microsoft Azure Sentinel dapat mencantumkan, melihat, dan menjalankan playbook secara manual.
Kontributor Azure Sentinel Automation memungkinkan Microsoft Azure Sentinel menambahkan playbook ke aturan otomatisasi. Hal ini tidak ditujukan untuk akun pengguna.
Untuk hasil terbaik, tetapkan peran pada grup sumber daya yang berisi ruang kerja Microsoft Sentinel. Dengan cara ini, peran akan berlaku untuk semua sumber daya yang mendukung Microsoft Sentinel, karena sumber daya tersebut juga harus ditempatkan dalam grup sumber daya yang sama.
Opsi lain adalah menetapkan peran langsung ke ruang kerja Microsoft Sentinel itu sendiri. Jika Anda melakukannya, Anda harus menetapkan peran yang sama ke sumber daya solusi SecurityInsights di ruang kerja tersebut. Anda mungkin juga perlu menetapkannya ke sumber daya lain, dan terus mengelola penetapan peran ke sumber daya.
Peran dan izin pengguna
Pengguna dengan persyaratan pekerjaan tertentu mungkin perlu diberi peran lain atau izin tertentu untuk menyelesaikan tugas mereka.
Menginstal dan mengelola konten di luar kotak
Temukan solusi paket untuk produk end-to-end atau konten mandiri dari hub konten di Microsoft Azure Sentinel. Untuk menginstal dan mengelola konten dari hub konten, tetapkan peran Kontributor Microsoft Sentinel di tingkat grup sumber daya.
Mengotomatiskan respons terhadap ancaman dengan playbook
Microsoft Azure Sentinel menggunakan playbook untuk respons ancaman otomatis. Playbook dibangun di Azure Logic Apps, dan merupakan sumber daya Azure terpisah. Anda mungkin ingin menetapkan kemampuan kepada anggota tertentu dari tim operasi keamanan Anda untuk menggunakan operasi Logic Apps untuk Orkestrasi Keamanan, Automation, dan Respons (SOAR). Anda dapat menggunakan peran Operator Playbook Microsoft Sentinel untuk menetapkan izin eksplisit, terbatas untuk menjalankan playbook, dan peran Kontributor Aplikasi Logika untuk membuat dan mengedit playbook.
Memberikan izin Microsoft Azure Sentinel untuk menjalankan playbook
Microsoft Sentinel menggunakan akun layanan khusus untuk menjalankan playbook pemicu insiden secara manual atau memanggilnya dari aturan otomatisasi. Penggunaan akun ini (dibandingkan dengan akun pengguna Anda) meningkatkan tingkat keamanan layanan.
Agar aturan otomasi dapat menjalankan playbook, akun ini harus diberikan izin eksplisit ke grup sumber daya tempat playbook berada. Pada saat itu, setiap aturan otomasi akan dapat menjalankan playbook apa pun dalam grup sumber daya tersebut. Untuk memberikan izin akses ke akun layanan ini, akun Anda harus memiliki izin Pemilik pada grup sumber daya yang berisi playbook.
Koneksi sumber data ke Microsoft Azure Sentinel
Agar pengguna menambahkan konektor data, Anda harus menetapkan izin Tulis pengguna di ruang kerja Microsoft Azure Sentinel. Perhatikan izin tambahan yang diperlukan untuk setiap konektor, seperti yang tercantum di halaman konektor yang relevan.
Mengizinkan pengguna tamu untuk menetapkan insiden
Jika pengguna tamu harus dapat menetapkan insiden, Anda perlu menetapkan peran Pembaca Direktori kepada pengguna, selain peran Microsoft Sentinel Responder. Peran Pembaca Direktori bukan peran Azure tetapi peran Microsoft Entra, dan pengguna reguler (nonguest) memiliki peran ini yang ditetapkan secara default.
Membuat dan menghapus buku kerja
Untuk membuat dan menghapus buku kerja Microsoft Azure Sentinel, pengguna memerlukan peran Kontributor Microsoft Sentinel atau peran Microsoft Sentinel yang lebih kecil, bersama dengan peran Kontributor Buku Kerja Azure Monitor. Peran ini tidak diperlukan untuk menggunakan buku kerja, tetapi hanya untuk membuat dan menghapus.
Peran Azure dan Analitik Log yang mungkin Anda lihat ditetapkan
Saat menetapkan peran Azure khusus Microsoft Sentinel, Anda mungkin menemukan peran Azure dan Log Analytics lainnya yang mungkin ditetapkan kepada pengguna untuk tujuan lain. Peran ini memberikan serangkaian izin yang lebih luas yang mencakup akses ke ruang kerja Microsoft Azure Sentinel Anda dan sumber daya lainnya:
Peran Azure:Pemilik, Kontributor, dan Pembaca. Peran Azure memberikan akses ke semua sumber daya Azure Anda, termasuk ruang kerja Log Analytics dan sumber daya Microsoft Azure Sentinel.
Peran Analitik Log: Kontributor Analitik Log dan Pembaca Analitik Log. Peran Analitik Log memberikan akses ke ruang kerja Analitik Log Anda.
Misalnya, pengguna yang diberi peran Pembaca Microsoft Sentinel, tetapi bukan peran Kontributor Microsoft Sentinel, masih akan dapat mengedit item di Microsoft Sentinel jika diberi peran Kontributor tingkat Azure. Oleh karena itu, jika Anda ingin memberikan izin kepada pengguna hanya di Microsoft Azure Sentinel, hapus izin pengguna ini sebelumnya dengan hati-hati, pastikan Anda tidak merusak akses yang diperlukan ke sumber daya lain.
Peran, izin, dan tindakan yang diizinkan Microsoft Sentinel
Tabel berikut ini merangkum peran Microsoft Sentinel dan tindakan yang diizinkan di Microsoft Sentinel.
| Peran | Melihat dan menjalankan playbook | Membuat dan mengedit playbook | Membuat dan mengedit aturan analitik, buku kerja, dan sumber daya Microsoft Sentinel lainnya | Mengelola insiden (menutup, menetapkan, dll.) | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya | Menginstal dan mengelola konten dari hub konten |
|---|---|---|---|---|---|---|
| Pembaca Microsoft Azure Sentinel | -- | -- | --* | -- | ✓ | -- |
| Penanggap Microsoft Azure Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Kontributor Microsoft Azure Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook Operator | ✓ | -- | -- | -- | -- | -- |
| Kontributor Aplikasi Logika | ✓ | ✓ | -- | -- | -- | -- |
* Pengguna dengan peran ini dapat membuat dan menghapus buku kerja dengan peran Kontributor Buku Kerja. Pelajari tentang Izin dan peran lainnya.
Tinjau rekomendasi peran untuk mengetahui peran mana yang ditetapkan kepada pengguna mana di SOC Anda.
Peran kustom dan Azure RBAC tingkat lanjut
Peran kustom. Selain, atau alih-alih, menggunakan peran bawaan Azure, Anda dapat membuat peran kustom Azure untuk Microsoft Azure Sentinel. Peran kustom Azure untuk Microsoft Sentinel dibuat dengan cara yang sama seperti peran kustom Azure, berdasarkan izin tertentu ke Microsoft Sentinel dan ke sumber daya Analitik Log Azure.
RBAC Analitik Log. Anda dapat menggunakan RBAC Azure dengan Analitik Log tingkat lanjut di seluruh data di ruang kerja Microsoft Sentinel Anda. Ini termasuk Azure RBAC berbasis jenis data dan Azure RBAC dengan konteks sumber daya. Untuk mempelajari selengkapnya:
- Mengelola data log dan ruang kerja di Azure Monitor
- RBAC konteks sumber daya untuk Microsoft Azure Sentinel
- RBAC tingkat tabel
RBAC dengan konteks sumber daya dan tingkat tabel adalah dua metode untuk menyediakan akses ke data tertentu di ruang kerja Microsoft Sentinel Anda tanpa mengizinkan akses ke seluruh pengalaman Microsoft Sentinel.
Rekomendasi peran dan izin
Setelah memahami cara kerja peran dan izin di Microsoft Sentinel, Anda mungkin ingin menggunakan panduan praktik terbaik berikut untuk menerapkan peran kepada pengguna Anda:
| Tipe pengguna | Peran | Grup sumber daya | Deskripsi |
|---|---|---|---|
| Analis keamanan | Penanggap Microsoft Azure Sentinel | Grup sumber daya Microsoft Azure Sentinel | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya. Mengelola insiden, seperti menetapkan atau menutup insiden. |
| Microsoft Sentinel Playbook Operator | Grup sumber daya Microsoft Azure Sentinel, atau grup sumber daya tempat playbook Anda disimpan | Lampirkan playbook ke analitik dan aturan otomatisasi. Jalankan playbook. |
|
| Teknisi keamanan | Kontributor Microsoft Azure Sentinel | Grup sumber daya Microsoft Azure Sentinel | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya. Mengelola insiden, seperti menetapkan atau menutup insiden. Membuat dan mengedit buku kerja, aturan analitik, serta sumber daya Microsoft Azure Sentinel lainnya. Instal dan perbarui solusi dari hub konten. |
| Kontributor Logic Apps | Grup sumber daya Microsoft Azure Sentinel, atau grup sumber daya tempat playbook Anda disimpan | Lampirkan playbook ke analitik dan aturan otomatisasi. Jalankan dan ubah playbook. |
|
| Perwakilan Layanan | Kontributor Microsoft Azure Sentinel | Grup sumber daya Microsoft Azure Sentinel | Konfigurasi otomatis untuk tugas pengelolaan |
Peran lainnya mungkin diperlukan tergantung pada data yang Anda serap atau pantau. Misalnya, peran Microsoft Entra mungkin diperlukan, seperti peran Administrator Global atau Administrator Keamanan, untuk menyiapkan konektor data untuk layanan di portal Microsoft lainnya.
Kontrol akses berbasis sumber daya
Anda mungkin memiliki beberapa pengguna yang hanya perlu mengakses data tertentu di ruang kerja Microsoft Azure Sentinel Anda, tetapi seharusnya tidak memiliki akses ke seluruh lingkungan Microsoft Azure Sentinel. Misalnya, Anda mungkin ingin menyediakan tim di luar operasi keamanan dengan akses ke data peristiwa Windows untuk server yang mereka miliki.
Dalam kasus seperti itu, kami sarankan Anda mengonfigurasi kontrol akses berbasis peran (RBAC) Berdasarkan sumber daya yang diizinkan untuk pengguna Anda, alih-alih memberi mereka akses ke ruang kerja Microsoft Azure Sentinel atau fitur Microsoft Azure Sentinel tertentu. Metode ini juga dikenal sebagai pengaturan RBAC konteks sumber daya. Untuk informasi selengkapnya, lihat Mengelola akses ke data Microsoft Azure Sentinel berdasarkan sumber daya.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara bekerja dengan peran untuk pengguna Microsoft Sentinel dan apa yang dapat pengguna lakukan di setiap peran.