Ruoli e autorizzazioni in Microsoft Sentinel
Questo articolo illustra in che modo Microsoft Sentinel assegna le autorizzazioni ai ruoli utente e identifica le azioni consentite per ogni ruolo. Microsoft Sentinel usa il controllo degli accessi in base al ruolo di Azure per offrire ruoli predefiniti che è possibile assegnare a utenti, gruppi e servizi in Azure. Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.
Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare ruoli al team delle operazioni di sicurezza in modo da concedere l'accesso appropriato ad Azure Sentinel. I diversi ruoli consentono di controllare minuziosamente gli elementi che gli utenti di Microsoft Sentinel possono visualizzare e usare. I ruoli di Azure possono essere assegnati direttamente nell'area di lavoro di Microsoft Sentinel, o in una sottoscrizione o in un gruppo di risorse a cui appartiene l'area di lavoro, che Microsoft Sentinel eredita.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Ruoli e autorizzazioni per l'uso in Microsoft Sentinel
Concedere l'accesso appropriato ai dati nell'area di lavoro usando i ruoli predefiniti. Potrebbe essere necessario concedere più ruoli o autorizzazioni specifiche a seconda delle attività di processo di un utente.
Ruoli specifici di Microsoft Sentinel
Tutti i ruoli predefiniti di Microsoft Sentinel concedono l'accesso in lettura ai dati nell'area di lavoro di Microsoft Sentinel.
Il Lettore di Microsoft Sentinel può esaminare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel.
Oltre alle autorizzazioni per il lettore di Microsoft Sentinel, Microsoft Sentinel Responder è in grado di gestire incidenti come assegnare, ignorare e modificare gli incidenti.
Oltre alle autorizzazioni per il risponditore di Microsoft Sentinel, il Collaboratore di Microsoft Sentinel è in grado di installare e aggiornare soluzioni dall'hub dei contenuti e creare e modificare risorse di Microsoft Sentinel come cartelle di lavoro, regole di analisi e altro ancora.
L'Operatore playbook di Microsoft Sentinel è in grado di elencare, visualizzare ed eseguire manualmente playbook.
Collaboratore di Automazione di Microsoft Sentinel consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non è destinato agli account utente.
Per ottenere risultati ottimali, assegnare tali ruoli al gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. In questo modo, i ruoli sono applicati a tutte le risorse che supportano Microsoft Sentinel, perché queste risorse devono anche essere inserite nello stesso gruppo di risorse.
Un'altra opzione consiste nell'assegnare i ruoli direttamente nell'area di lavoro di Microsoft Sentinel. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarli ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.
Altri ruoli e autorizzazioni
Gli utenti con requisiti di processo specifici potrebbero dover essere assegnati ad altri ruoli o autorizzazioni specifiche per eseguire le attività.
Installare e gestire contenuti predefiniti
Trovare soluzioni in pacchetto per prodotti end-to-end o contenuti autonomi dall'hub dei contenuti in Microsoft Sentinel. Per installare e gestire i contenuti dall'hub dei contenuti, assegnare il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
Automatizzare le risposte alle minacce con playbook
Microsoft Sentinel usa i playbook per la risposta automatica alle minacce. I playbook sono basati su App per la logica di Azure e sono una risorsa di Azure separata. Per membri specifici del team addetto alle operazioni di sicurezza, è possibile assegnare la possibilità di usare le operazioni Orchestrazione, automazione e risposta della sicurezza (SOAR). È possibile usare il ruolo Operatore playbook di Microsoft Sentinel per assegnare autorizzazioni esplicite e limitate per l'esecuzione di playbook e il ruolo Collaboratore app per la logica per creare e modificare playbook.
Concedere a Microsoft Sentinel le autorizzazioni per eseguire playbook
Microsoft Sentinel usa un account di servizio speciale per eseguire manualmente i playbook trigger di evento imprevisto o per chiamarli dalle regole di automazione. L'uso di questo account al posto dell'account utente aumenta il livello di sicurezza del servizio.
Affinché una regola di automazione esegua un playbook, all'account devono essere concesse autorizzazioni esplicite al gruppo di risorse in cui risiede il playbook. A questo punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. Per concedere queste autorizzazioni all'account di servizio, è necessario che l'account abbia le autorizzazioni di proprietario per i gruppi di risorse contenenti i playbook.
Connettere le origini dati a Microsoft Sentinel
Per consentire a un utente di aggiungere connettori dati, è necessario assegnare all'utente autorizzazioni di scrittura per l'area di lavoro di Microsoft Sentinel. Si notino le autorizzazioni aggiuntive necessarie per ogni connettore, come indicato nella pagina del connettore pertinente.
Consentire agli utenti guest di assegnare incidenti
Se un utente guest deve essere in grado di assegnare incidenti, è necessario assegnare il ruolo Lettore directory all'utente, oltre al ruolo Risponditore di Microsoft Sentinel. Il ruolo Lettore directory non è un ruolo di Azure, ma un ruolo Microsoft Entra e gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.
Creare ed eliminare cartelle di lavoro
Per creare ed eliminare una cartella di lavoro di Microsoft Sentinel, l'utente deve avere il ruolo di Collaboratore di Microsoft Sentinel o un ruolo di livello inferiore di Microsoft Sentinel, oltre al ruolo di Collaboratore per le cartelle di lavoro di Monitoraggio di Azure. Questo ruolo non è necessario per l'uso delle cartelle di lavoro, ma solo per la creazione e l'eliminazione.
Ruoli di Azure e Log Analytics che potrebbero essere assegnati
Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro di Microsoft Sentinel e ad altre risorse:
Ruoli di Azure: Proprietario, Collaboratore e Lettore. I ruoli di Azure concedono l'accesso a tutte le risorse di Azure, tra cui le aree di lavoro Log Analytics e le risorse di Microsoft Sentinel.
Ruoli di Log Analytics: Collaboratore Log Analytics e Log Analytics Reader. I ruoli di Log Analytics concedono l'accesso alle aree di lavoro Log Analytics.
Ad esempio, un utente cui è assegnato il ruolo Lettore di Microsoft Sentinel, ma non il ruolo Collaboratore di Microsoft Sentinel, può comunque modificare gli elementi in Microsoft Sentinel se gli è stato assegnato anche al ruolo Collaboratore a livello di Azure. Pertanto, se si vogliono concedere autorizzazioni a un utente solo in Microsoft Sentinel, rimuovere attentamente le autorizzazioni precedenti di questo utente, assicurandosi di non interrompere l'accesso necessario a un'altra risorsa.
Ruoli, autorizzazioni e azioni consentite di Microsoft Sentinel
Questa tabella riepiloga i ruoli di Microsoft Sentinel e le relative azioni consentite in Microsoft Sentinel.
Ruolo | Visualizzare ed eseguire playbook | Creare e modificare playbook | Creare e modificare regole di analisi, cartelle di lavoro e altre risorse di Microsoft Sentinel | Gestire gli incidenti (ignorare, assegnare e così via) | Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel | Installare e gestire il contenuto dall'hub dei contenuti |
---|---|---|---|---|---|---|
Lettore di Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
Risponditore di Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
Collaboratore di Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
Operatore di playbook di Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
Collaboratore per app per la logica | ✓ | ✓ | -- | -- | -- | -- |
* Gli utenti con questi ruoli possono creare ed eliminare cartelle di lavoro con il ruolo Collaboratore cartella di lavoro. Informazioni su Altri ruoli e autorizzazioni.
Esaminare le raccomandazioni sui ruoli da assegnare agli utenti in SOC.
Ruoli personalizzati e controllo degli accessi in base al ruolo avanzato di Azure
Ruoli personalizzati. Oltre a, o invece di, usando i ruoli predefiniti di Azure, è possibile creare ruoli personalizzati di Azure per Microsoft Sentinel. Si creano ruoli personalizzati di Azure per Microsoft Sentinel nello stesso modo in cui si creano ruoli personalizzati di Azure, in base ad autorizzazioni specifiche per Microsoft Sentinel e per le risorse di Azure Log Analytics.
Controllo degli accessi in base al ruolo di Log Analytics. È possibile usare il controllo degli accessi in base al ruolo avanzato di Azure di Log Analytics tra i dati nell'area di lavoro di Microsoft Sentinel. Sono inclusi sia il Controllo degli accessi in base ruolo relativo al tipo di dati che quello in base al ruolo a livello di contesto delle risorse. Per altre informazioni, vedere:
- Gestire i dati di log e le aree di lavoro nel Monitoraggio di Azure
- Controllo degli accessi in base al ruolo a livello di contesto delle risorse per Microsoft Sentinel
- Controllo degli accessi in base al ruolo a livello di tabella
Il controllo degli accessi in base al ruolo a livello di tabella e di contesto delle risorse sono due modi per concedere l'accesso a dati specifici nell'area di lavoro di Microsoft Sentinel, senza consentire l'accesso all'intera esperienza di Microsoft Sentinel.
Raccomandazioni sul ruolo e sulle autorizzazioni
Dopo aver compreso il funzionamento dei ruoli e delle autorizzazioni in Microsoft Sentinel, è possibile esaminare queste procedure consigliate per l'applicazione dei ruoli agli utenti:
Tipo di utente | Ruolo | Gruppo di risorse | Descrizione |
---|---|---|---|
Analisti della sicurezza | Risponditore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel. Gestire gli incidenti, ad esempio l'assegnazione o la chiusura di incidenti. |
Operatore playbook di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook | Collegare playbook alle regole di analisi e automazione. Esegui playbook. |
|
Ingegneri della sicurezza | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel. Gestire gli incidenti, ad esempio l'assegnazione o la chiusura di incidenti. Creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel. Installare e aggiornare soluzioni dall'hub dei contenuti. |
Collaboratore app per la logica | Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook | Collegare playbook alle regole di analisi e automazione. Eseguire e modificare i playbook. |
|
Entità servizio | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Configurazione automatica per le attività di gestione |
Potrebbero essere necessari più ruoli a seconda dei dati inseriti o monitorati. Ad esempio, i ruoli di Microsoft Entra potrebbero essere necessari, ad esempio il ruolo amministratore della sicurezza, per configurare i connettori dati per i servizi in altri portali Microsoft.
Controllo di accesso in base alle risorse
È possibile che alcuni utenti debbano accedere solo a dati specifici nell'area di lavoro di Microsoft Sentinel, ma che non devono avere accesso all'intero ambiente di Microsoft Sentinel. Ad esempio, è possibile fornire a un team esterno alle operazioni di sicurezza l'accesso ai dati degli eventi di Windows per i server di cui sono proprietari.
In questi casi, è consigliabile configurare il controllo degli accessi in base al ruolo in base al ruolo (RBAC) in base alle risorse consentite agli utenti, anziché fornire loro l'accesso all'area di lavoro di Microsoft Sentinel o a funzionalità specifiche di Microsoft Sentinel. Questo metodo è noto anche come configurazione del controllo degli accessi in base al ruolo a livello di contesto delle risorse. Per altre informazioni, vedere Gestire l'accesso ai dati di Microsoft Sentinel in base alla risorsa.
Passaggi successivi
In questo articolo si è appreso come usare i ruoli per gli utenti di Microsoft Sentinel e il funzionamento di ogni ruolo.