Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come Microsoft Sentinel assegna le autorizzazioni ai ruoli utente per Microsoft Sentinel SIEM e Microsoft Sentinel data lake, identificando le azioni consentite per ogni ruolo.
Microsoft Sentinel usa Azure controllo degli accessi in base al ruolo (Azure controllo degli accessi in base al ruolo) per fornire ruoli predefiniti e personalizzati per Microsoft Sentinel SIEM e Microsoft Entra ID controllo degli accessi in base al ruolo ( Microsoft Entra ID controllo degli accessi in base al ruolo) per fornire ruoli predefiniti e personalizzati per Microsoft Sentinel data lake.
È possibile assegnare ruoli a utenti, gruppi e servizi in Azure o Microsoft Entra ID.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Nota
Se si esegue il programma di anteprima Microsoft Defender XDR, è ora possibile sperimentare il nuovo modello urbac (Unified Role-Based Controllo di accesso) Microsoft Defender. Per altre informazioni, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Ruoli di Azure predefiniti per Microsoft Sentinel
I ruoli di Azure predefiniti seguenti vengono usati per Microsoft Sentinel SIEM e concedere l'accesso in lettura ai dati dell'area di lavoro, incluso il supporto per il data lake Microsoft Sentinel. Assegnare questi ruoli a livello di gruppo di risorse per ottenere risultati ottimali.
| Ruolo | Supporto SIEM | Supporto di Data Lake |
|---|---|---|
| lettore Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro, consigli e altre risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| risponditore Microsoft Sentinel | Tutte le autorizzazioni di lettura, oltre a gestire gli eventi imprevisti | N/D |
| Collaboratore Microsoft Sentinel | Tutte le autorizzazioni del risponditore, oltre alle soluzioni di installazione/aggiornamento, creazione/modifica delle risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| Operatore playbook Microsoft Sentinel | Elencare, visualizzare ed eseguire manualmente i playbook | N/D |
| Collaboratore all'automazione Microsoft Sentinel | Consente Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non usato per gli account utente. | N/D |
La tabella seguente, ad esempio, mostra esempi di attività che ogni ruolo può eseguire in Microsoft Sentinel:
| Ruolo | Eseguire playbook | Creare/modificare playbook | Creare/modificare regole di analisi, cartelle di lavoro e così via. | Gestire gli incidenti | Visualizzare dati, eventi imprevisti, cartelle di lavoro, consigli | Gestire l'hub del contenuto |
|---|---|---|---|---|---|---|
| lettore Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| risponditore Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Collaboratore Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operatore playbook Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Collaboratore all'app per la logica | ✓ | ✓ | -- | -- | -- | -- |
*Con il ruolo Collaboratore cartella di lavoro.
È consigliabile assegnare ruoli al gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. Ciò garantisce che tutte le risorse correlate, ad esempio app per la logica e playbook, siano coperte dalle stesse assegnazioni di ruolo.
Come altra opzione, assegnare i ruoli direttamente all'area di lavoro Microsoft Sentinel stessa. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarle ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.
Ruoli aggiuntivi per attività specifiche
Per eseguire le attività, agli utenti con requisiti di processo specifici potrebbe essere necessario assegnare altri ruoli o autorizzazioni specifiche. Ad esempio:
| Attività | Ruoli/autorizzazioni necessari |
|---|---|
| Connettere origini dati | Autorizzazione di scrittura per l'area di lavoro. Controllare la documentazione del connettore per le autorizzazioni aggiuntive necessarie per ogni connettore. |
| Gestire il contenuto dall'hub contenuto | Microsoft Sentinel Collaboratore a livello di gruppo di risorse |
| Automatizzare le risposte con i playbook |
Microsoft Sentinel Playbook Operator, per eseguire playbook e Collaboratore app per la logica per creare/modificare playbook. Microsoft Sentinel usa playbook per la risposta automatizzata alle minacce. I playbook sono basati su app per la logica Azure e sono una risorsa Azure separata. Per membri specifici del team operativo di sicurezza, è possibile assegnare la possibilità di usare App per la logica per le operazioni di orchestrazione, automazione e risposta (SOAR) di sicurezza. |
| Consentire a Microsoft Sentinel di eseguire playbook tramite automazione | L'account del servizio richiede autorizzazioni esplicite per il gruppo di risorse playbook; l'account deve disporre delle autorizzazioni di proprietario per assegnarle. Microsoft Sentinel usa un account di servizio speciale per eseguire manualmente i playbook incident-trigger o per chiamarli dalle regole di automazione. L'uso di questo account (anziché dell'account utente) aumenta il livello di sicurezza del servizio. Affinché una regola di automazione eserciti un playbook, a questo account devono essere concesse autorizzazioni esplicite al gruppo di risorse in cui risiede il playbook. A quel punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. |
| Gli utenti guest assegnano eventi imprevisti |
Lettore di directory AND Microsoft Sentinel Risponditore Il ruolo Lettore di directory non è un ruolo Azure, ma un ruolo Microsoft Entra ID e questo ruolo è assegnato per impostazione predefinita agli utenti normali (nonguest). |
| Creare/eliminare cartelle di lavoro | Microsoft Sentinel Collaboratore o un ruolo di Microsoft Sentinel minore E Collaboratore cartella di lavoro |
Altri ruoli di Azure e Log Analytics
Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, potrebbero verificarsi altri ruoli di Azure e Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro Microsoft Sentinel e ad altre risorse:
- Azure ruoli:Proprietario, Collaboratore, Lettore: concedere un ampio accesso alle risorse Azure.
- Ruoli di Log Analytics:Collaboratore di Log Analytics, Lettore di Log Analytics: concedere l'accesso alle aree di lavoro di Log Analytics.
Importante
Le assegnazioni di ruolo sono cumulative. Un utente con entrambi i ruoli lettore e collaboratore Microsoft Sentinel può avere più autorizzazioni del previsto.
Assegnazioni di ruolo consigliate per gli utenti Microsoft Sentinel
| Tipo utente | Ruolo | Gruppo di risorse | Descrizione |
|---|---|---|---|
| Analisti della sicurezza | risponditore Microsoft Sentinel | Microsoft Sentinel gruppo di risorse | Visualizzare/gestire eventi imprevisti, dati, cartelle di lavoro |
| Operatore playbook Microsoft Sentinel | gruppo di risorse Microsoft Sentinel/playbook | Allegare/eseguire playbook | |
| Tecnici della sicurezza | Collaboratore Microsoft Sentinel | Microsoft Sentinel gruppo di risorse | Gestire eventi imprevisti, contenuto, risorse |
| Collaboratore all'app per la logica | gruppo di risorse Microsoft Sentinel/playbook | Eseguire/modificare playbook | |
| Entità servizio | Collaboratore Microsoft Sentinel | Microsoft Sentinel gruppo di risorse | Attività di gestione automatizzate |
Ruoli e autorizzazioni per il data lake Microsoft Sentinel
Per usare il data lake Microsoft Sentinel, è necessario eseguire l'onboarding dell'area di lavoro nel portale di Defender e nel data lake Microsoft Sentinel.
Microsoft Sentinel autorizzazioni di lettura data lake
Microsoft Entra ID ruoli offrono un ampio accesso a tutto il contenuto del data lake. Usare i ruoli seguenti per fornire l'accesso in lettura a tutte le aree di lavoro all'interno del data lake Microsoft Sentinel, ad esempio per l'esecuzione di query.
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Accesso in lettura in tutte le aree di lavoro | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Lettore globale - Lettore di sicurezza - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
In alternativa, è possibile assegnare la possibilità di leggere le tabelle dall'interno di un'area di lavoro specifica. In questi casi, usare una delle opzioni seguenti:
| Attività | Autorizzazioni |
|---|---|
| Autorizzazioni di lettura per le tabelle di sistema | Usare un ruolo controllo degli accessi in base al ruolo personalizzato Microsoft Defender XDR unificato con autorizzazioni di base dei dati di sicurezza (lettura) per la raccolta di dati Microsoft Sentinel. |
| Autorizzazioni di lettura per qualsiasi altra area di lavoro abilitata per Microsoft Sentinel nel data lake | Usare uno dei ruoli predefiniti seguenti in Azure controllo degli accessi in base al ruolo per le autorizzazioni per l'area di lavoro: - Lettore di Log Analytics - Collaboratore di Log Analytics - Collaboratore Microsoft Sentinel - lettore Microsoft Sentinel - Lettore - Collaboratore - Proprietario |
Microsoft Sentinel autorizzazioni di scrittura data lake
Microsoft Entra ID ruoli offre un ampio accesso a tutte le aree di lavoro nel data lake. Usare i ruoli seguenti per fornire l'accesso in scrittura alle tabelle Microsoft Sentinel data lake:
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Scrivere in tabelle nel livello di analisi usando i processi O i notebook KQL | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
| Scrivere in tabelle nel data lake Microsoft Sentinel | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
In alternativa, è possibile assegnare la possibilità di scrivere l'output in un'area di lavoro specifica. Ciò può includere la possibilità di configurare i connettori per tale area di lavoro, modificare le impostazioni di conservazione per le tabelle nell'area di lavoro o creare, aggiornare ed eliminare tabelle personalizzate in tale area di lavoro. In questi casi, usare una delle opzioni seguenti:
| Attività | Autorizzazioni |
|---|---|
| Aggiornare le tabelle di sistema nel data lake | Usare un ruolo controllo degli accessi in base al ruolo personalizzato Microsoft Defender XDR unificato con autorizzazioni di controllo degli accessi in base al ruolo (gestione) dei dati sulla raccolta di dati Microsoft Sentinel. |
| Per qualsiasi altra area di lavoro Microsoft Sentinel nel data lake | Usare qualsiasi ruolo predefinito o personalizzato che includa le seguenti autorizzazioni per le informazioni operative di Microsoft Azure controllo degli accessi in base al ruolo in tale area di lavoro: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Ad esempio, i ruoli predefiniti che includono queste autorizzazioni Collaboratore, Proprietario e Collaboratoredi Log Analytics. |
Gestire i processi nel data lake Microsoft Sentinel
Per creare processi pianificati o per gestire i processi nel data lake Microsoft Sentinel, è necessario disporre di uno dei ruoli di Microsoft Entra ID seguenti:
Ruoli personalizzati e controllo degli accessi in base al ruolo avanzato
Per limitare l'accesso a dati specifici, ma non all'intera area di lavoro, usare il controllo degli accessi in base al ruolo del contesto delle risorse o il controllo degli accessi in base al ruolo a livello di tabella. Ciò è utile per i team che devono accedere solo a determinati tipi di dati o tabelle.
In caso contrario, usare una delle opzioni seguenti per il controllo degli accessi in base al ruolo avanzato:
- Per Microsoft Sentinel accesso SIEM, usare Azure ruoli personalizzati.
- Per il data lake Microsoft Sentinel, usare Defender XDR ruoli personalizzati del controllo degli accessi in base al ruolo unificato.
Contenuto correlato
Per altre informazioni, vedere Gestire i dati di log e le aree di lavoro in monitoraggio Azure