Condividi tramite


Ruoli e autorizzazioni in Microsoft Sentinel

Questo articolo illustra in che modo Microsoft Sentinel assegna le autorizzazioni ai ruoli utente e identifica le azioni consentite per ogni ruolo. Microsoft Sentinel usa il controllo degli accessi in base al ruolo di Azure per offrire ruoli predefiniti che è possibile assegnare a utenti, gruppi e servizi in Azure. Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.

Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare ruoli al team delle operazioni di sicurezza in modo da concedere l'accesso appropriato ad Azure Sentinel. I diversi ruoli consentono di controllare minuziosamente gli elementi che gli utenti di Microsoft Sentinel possono visualizzare e usare. I ruoli di Azure possono essere assegnati direttamente nell'area di lavoro di Microsoft Sentinel, o in una sottoscrizione o in un gruppo di risorse a cui appartiene l'area di lavoro, che Microsoft Sentinel eredita.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Ruoli e autorizzazioni per l'uso in Microsoft Sentinel

Concedere l'accesso appropriato ai dati nell'area di lavoro usando i ruoli predefiniti. Potrebbe essere necessario concedere più ruoli o autorizzazioni specifiche a seconda delle attività di processo di un utente.

Ruoli specifici di Microsoft Sentinel

Tutti i ruoli predefiniti di Microsoft Sentinel concedono l'accesso in lettura ai dati nell'area di lavoro di Microsoft Sentinel.

Per ottenere risultati ottimali, assegnare tali ruoli al gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. In questo modo, i ruoli sono applicati a tutte le risorse che supportano Microsoft Sentinel, perché queste risorse devono anche essere inserite nello stesso gruppo di risorse.

Un'altra opzione consiste nell'assegnare i ruoli direttamente nell'area di lavoro di Microsoft Sentinel. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarli ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.

Altri ruoli e autorizzazioni

Gli utenti con requisiti di processo specifici potrebbero dover essere assegnati ad altri ruoli o autorizzazioni specifiche per eseguire le attività.

  • Installare e gestire contenuti predefiniti

    Trovare soluzioni in pacchetto per prodotti end-to-end o contenuti autonomi dall'hub dei contenuti in Microsoft Sentinel. Per installare e gestire i contenuti dall'hub dei contenuti, assegnare il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.

  • Automatizzare le risposte alle minacce con playbook

    Microsoft Sentinel usa i playbook per la risposta automatica alle minacce. I playbook sono basati su App per la logica di Azure e sono una risorsa di Azure separata. Per membri specifici del team addetto alle operazioni di sicurezza, è possibile assegnare la possibilità di usare le operazioni Orchestrazione, automazione e risposta della sicurezza (SOAR). È possibile usare il ruolo Operatore playbook di Microsoft Sentinel per assegnare autorizzazioni esplicite e limitate per l'esecuzione di playbook e il ruolo Collaboratore app per la logica per creare e modificare playbook.

  • Concedere a Microsoft Sentinel le autorizzazioni per eseguire playbook

    Microsoft Sentinel usa un account di servizio speciale per eseguire manualmente i playbook trigger di evento imprevisto o per chiamarli dalle regole di automazione. L'uso di questo account al posto dell'account utente aumenta il livello di sicurezza del servizio.

    Affinché una regola di automazione esegua un playbook, all'account devono essere concesse autorizzazioni esplicite al gruppo di risorse in cui risiede il playbook. A questo punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. Per concedere queste autorizzazioni all'account di servizio, è necessario che l'account abbia le autorizzazioni di proprietario per i gruppi di risorse contenenti i playbook.

  • Connettere le origini dati a Microsoft Sentinel

    Per consentire a un utente di aggiungere connettori dati, è necessario assegnare all'utente autorizzazioni di scrittura per l'area di lavoro di Microsoft Sentinel. Si notino le autorizzazioni aggiuntive necessarie per ogni connettore, come indicato nella pagina del connettore pertinente.

  • Consentire agli utenti guest di assegnare incidenti

    Se un utente guest deve essere in grado di assegnare incidenti, è necessario assegnare il ruolo Lettore directory all'utente, oltre al ruolo Risponditore di Microsoft Sentinel. Il ruolo Lettore directory non è un ruolo di Azure, ma un ruolo Microsoft Entra e gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.

  • Creare ed eliminare cartelle di lavoro

    Per creare ed eliminare una cartella di lavoro di Microsoft Sentinel, l'utente deve avere il ruolo di Collaboratore di Microsoft Sentinel o un ruolo di livello inferiore di Microsoft Sentinel, oltre al ruolo di Collaboratore per le cartelle di lavoro di Monitoraggio di Azure. Questo ruolo non è necessario per l'uso delle cartelle di lavoro, ma solo per la creazione e l'eliminazione.

Ruoli di Azure e Log Analytics che potrebbero essere assegnati

Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro di Microsoft Sentinel e ad altre risorse:

Ad esempio, un utente cui è assegnato il ruolo Lettore di Microsoft Sentinel, ma non il ruolo Collaboratore di Microsoft Sentinel, può comunque modificare gli elementi in Microsoft Sentinel se gli è stato assegnato anche al ruolo Collaboratore a livello di Azure. Pertanto, se si vogliono concedere autorizzazioni a un utente solo in Microsoft Sentinel, rimuovere attentamente le autorizzazioni precedenti di questo utente, assicurandosi di non interrompere l'accesso necessario a un'altra risorsa.

Ruoli, autorizzazioni e azioni consentite di Microsoft Sentinel

Questa tabella riepiloga i ruoli di Microsoft Sentinel e le relative azioni consentite in Microsoft Sentinel.

Ruolo Visualizzare ed eseguire playbook Creare e modificare playbook Creare e modificare regole di analisi, cartelle di lavoro e altre risorse di Microsoft Sentinel Gestire gli incidenti (ignorare, assegnare e così via) Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel Installare e gestire il contenuto dall'hub dei contenuti
Lettore di Microsoft Sentinel -- -- --* -- --
Risponditore di Microsoft Sentinel -- -- --* --
Collaboratore di Microsoft Sentinel -- --
Operatore di playbook di Microsoft Sentinel -- -- -- -- --
Collaboratore per app per la logica -- -- -- --

* Gli utenti con questi ruoli possono creare ed eliminare cartelle di lavoro con il ruolo Collaboratore cartella di lavoro. Informazioni su Altri ruoli e autorizzazioni.

Esaminare le raccomandazioni sui ruoli da assegnare agli utenti in SOC.

Ruoli personalizzati e controllo degli accessi in base al ruolo avanzato di Azure

Raccomandazioni sul ruolo e sulle autorizzazioni

Dopo aver compreso il funzionamento dei ruoli e delle autorizzazioni in Microsoft Sentinel, è possibile esaminare queste procedure consigliate per l'applicazione dei ruoli agli utenti:

Tipo di utente Ruolo Gruppo di risorse Descrizione
Analisti della sicurezza Risponditore di Microsoft Sentinel Gruppo di risorse di Microsoft Sentinel Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel.

Gestire gli incidenti, ad esempio l'assegnazione o la chiusura di incidenti.
Operatore playbook di Microsoft Sentinel Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook Collegare playbook alle regole di analisi e automazione.
Esegui playbook.
Ingegneri della sicurezza Collaboratore di Microsoft Sentinel Gruppo di risorse di Microsoft Sentinel Visualizzare dati, incidenti, cartelle di lavoro e altre risorse di Microsoft Sentinel.

Gestire gli incidenti, ad esempio l'assegnazione o la chiusura di incidenti.

Creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel.

Installare e aggiornare soluzioni dall'hub dei contenuti.
Collaboratore app per la logica Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook Collegare playbook alle regole di analisi e automazione.
Eseguire e modificare i playbook.
Entità servizio Collaboratore di Microsoft Sentinel Gruppo di risorse di Microsoft Sentinel Configurazione automatica per le attività di gestione

Potrebbero essere necessari più ruoli a seconda dei dati inseriti o monitorati. Ad esempio, i ruoli di Microsoft Entra potrebbero essere necessari, ad esempio il ruolo amministratore della sicurezza, per configurare i connettori dati per i servizi in altri portali Microsoft.

Controllo di accesso in base alle risorse

È possibile che alcuni utenti debbano accedere solo a dati specifici nell'area di lavoro di Microsoft Sentinel, ma che non devono avere accesso all'intero ambiente di Microsoft Sentinel. Ad esempio, è possibile fornire a un team esterno alle operazioni di sicurezza l'accesso ai dati degli eventi di Windows per i server di cui sono proprietari.

In questi casi, è consigliabile configurare il controllo degli accessi in base al ruolo in base al ruolo (RBAC) in base alle risorse consentite agli utenti, anziché fornire loro l'accesso all'area di lavoro di Microsoft Sentinel o a funzionalità specifiche di Microsoft Sentinel. Questo metodo è noto anche come configurazione del controllo degli accessi in base al ruolo a livello di contesto delle risorse. Per altre informazioni, vedere Gestire l'accesso ai dati di Microsoft Sentinel in base alla risorsa.

Passaggi successivi

In questo articolo si è appreso come usare i ruoli per gli utenti di Microsoft Sentinel e il funzionamento di ogni ruolo.