Memahami izin dan peran Microsoft Sentinel
Microsoft Sentinel menggunakan kontrol akses berbasis peran Azure (RBAC Azure) untuk menyediakan peran bawaan yang dapat ditetapkan ke pengguna, grup, dan layanan di Azure.
Gunakan Azure RBAC untuk membuat dan menetapkan peran dalam tim operasi keamanan Anda untuk memberikan akses yang sesuai ke Microsoft Azure Sentinel. Peran yang berbeda memberi Anda kontrol halus atas apa yang dapat dilihat dan dilakukan pengguna Microsoft Azure Sentinel. Peran Azure dapat ditetapkan di ruang kerja Microsoft Sentinel secara langsung, atau dalam langganan atau grup sumber daya tempat ruang kerja berada, yang akan diwarisi Microsoft Sentinel.
Peran khusus Microsoft Azure Sentinel
Semua peran bawaan Microsoft Sentinel memberikan akses baca ke data di ruang kerja Microsoft Sentinel Anda:
Pembaca Microsoft Sentinel: dapat melihat tampilan data, insiden, buku kerja, dan sumber daya Microsoft Sentinel lainnya.
Penanggap Microsoft Sentinel dapat mengelola insiden (menetapkan, menutup, dll.), selain yang di atas
Kontributor Microsoft Sentinel: dapat membuat dan mengedit buku kerja, aturan analitik, serta sumber daya Microsoft Sentinel lainnya, selain yang di atas.
Kontributor Otomatisasi Microsoft Sentinel: memungkinkan Microsoft Sentinel menambahkan playbook ke aturan otomatisasi. Hal ini tidak ditujukan untuk akun pengguna.
Untuk hasil terbaik, peran ini harus ditetapkan ke grup sumber daya yang berisi ruang kerja Microsoft Azure Sentinel. Peran kemudian diterapkan ke semua sumber daya yang disebarkan untuk mendukung Microsoft Azure Sentinel, jika sumber daya tersebut berada dalam grup sumber daya yang sama.
Peran dan izin tambahan
Pengguna dengan persyaratan pekerjaan tertentu mungkin perlu ditetapkan peran tambahan atau izin akses tertentu untuk menyelesaikan tugas mereka.
Bekerja dengan playbook untuk mengotomatiskan respons terhadap ancaman
Microsoft Azure Sentinel menggunakan playbook untuk respons ancaman otomatis. Playbook dibangun di Azure Logic Apps, dan merupakan sumber daya Azure terpisah. Anda mungkin ingin menetapkan kemampuan kepada anggota tertentu dari tim operasi keamanan Anda untuk menggunakan operasi Logic Apps untuk Orkestrasi Keamanan, Automation, and Respons (SOAR). Anda dapat menggunakan peran Kontributor Aplikasi Logika untuk menetapkan izin eksplisit penggunaan playbook.
Memberikan izin Sentinel untuk menjalankan playbook
Microsoft Sentinel menggunakan akun layanan khusus untuk menjalankan playbook pemicu insiden secara manual atau memanggilnya dari aturan otomatisasi. Penggunaan akun ini (dibandingkan dengan akun pengguna Anda) meningkatkan tingkat keamanan layanan.
Agar aturan otomasi dapat menjalankan playbook, akun ini harus diberikan izin eksplisit ke grup sumber daya tempat playbook berada. Pada saat itu, setiap aturan automasi akan dapat menjalankan playbook apa pun dalam grup sumber daya tersebut. Untuk memberikan izin ini ke akun layanan ini, akun Anda harus memiliki Izin pemilik pada grup sumber daya yang berisi playbook.
Menghubungkan sumber data ke Microsoft Azure Sentinel
Agar pengguna dapat menambahkan konektor data, Anda harus menetapkan izin tulis pengguna di ruang kerja Microsoft Azure Sentinel. Selain itu, perhatikan izin lain yang diperlukan untuk setiap konektor, seperti yang tercantum di halaman konektor yang relevan.
Pengguna tamu yang menetapkan insiden
Jika pengguna tamu harus dapat menetapkan insiden, maka selain peran Penanggap Microsoft Azure Sentinel, pengguna juga harus diberi peran Pembaca Direktori. Peran ini bukan peran Azure tetapi peran Microsoft Entra, dan pengguna reguler (non-tamu) memiliki peran ini yang ditetapkan secara default.
Membuat dan menghapus buku kerja
Untuk membuat dan menghapus buku kerja Microsoft Sentinel, pengguna memerlukan peran Kontributor Microsoft Sentinel atau peran Microsoft Sentinel yang lebih rendah ditambah peran Azure Monitor dari Kontributor Buku Kerja. Peran ini tidak diperlukan untuk menggunakan buku kerja, tetapi hanya untuk membuat dan menghapus.
Peran Azure dan peran Analitik Log Azure Monitor
Selain peran RBAC Azure khusus Microsoft Azure Sentinel, peran Azure RBAC Log Analytics dan Azure lainnya dapat memberikan serangkaian izin yang lebih luas. Peran ini mencakup akses ke ruang kerja Microsoft Azure Sentinel dan sumber daya lainnya.
Peran Azure memberikan akses ke semua sumber daya Azure Anda. Ini termasuk akses ke ruang kerja Log Analytics dan sumber daya Microsoft Azure Sentinel:
Pemilik
Kontributor
Pembaca
Peran Analitik Log memberikan akses ke semua ruang kerja Analitik Log Anda:
Kontributor Analitik Log
Pembaca Analitik Log
Misalnya, pengguna yang diberi peran Pembaca Microsoft Azure Sentinel dan peran Kontributor Azure (bukan Kontributor Microsoft Azure Sentinel) dapat mengedit data di Microsoft Azure Sentinel. Jika hanya ingin memberikan izin ke Microsoft Azure Sentinel, Anda harus menghapus izin pengguna sebelumnya secara seksama. Pastikan Anda tidak memutuskan peran izin yang diperlukan untuk sumber daya lain.
Peran Microsoft Azure Sentinel dan tindakan yang diizinkan
Tabel berikut meringkas peran dan tindakan yang diizinkan di Microsoft Azure Sentinel.
| Peran | Membuat dan menjalankan playbook | Membuat dan mengedit buku kerja, aturan analitik, dan sumber daya Microsoft Azure Sentinel lainnya | Mengelola insiden seperti mematikan dan menetapkan | Melihat data insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya |
|---|---|---|---|---|
| Pembaca Microsoft Azure Sentinel | Tidak | No | No | Ya |
| Penanggap Microsoft Azure Sentinel | Tidak | No | Ya | Ya |
| Kontributor Microsoft Azure Sentinel | Tidak | Ya | Ya | Ya |
| Kontributor Microsoft Azure Sentinel dan Kontributor Aplikasi Logika | Ya | Ya | Ya | Ya |
Peran kustom dan Azure RBAC tingkat lanjut
Jika peran bawaan tidak Azure memenuhi kebutuhan khusus organisasi, Anda bisa membuat peran kustom sendiri. Sama seperti peran bawaan, Anda dapat menetapkan peran kustom kepada pengguna, grup, dan perwakilan layanan untuk cakupan grup manajemen, langganan, dan grup sumber daya.