Ruoli e autorizzazioni in Microsoft Sentinel
Questo articolo illustra in che modo Microsoft Sentinel assegna le autorizzazioni ai ruoli utente e identifica le azioni consentite per ogni ruolo. Microsoft Sentinel usa il controllo degli accessi in base al ruolo di Azure per fornire ruoli predefiniti che possono essere assegnati a utenti, gruppi e servizi in Azure. Questo articolo fa parte della Guida alla distribuzione per Microsoft Sentinel.
Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare ruoli al team delle operazioni di sicurezza in modo da concedere l'accesso appropriato ad Azure Sentinel. I diversi ruoli consentono di controllare con granularità fine sugli elementi che gli utenti di Microsoft Sentinel possono visualizzare e fare. I ruoli di Azure possono essere assegnati direttamente nell'area di lavoro di Microsoft Sentinel o in una sottoscrizione o in un gruppo di risorse a cui appartiene l'area di lavoro, a cui eredita Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Ruoli e autorizzazioni per l'uso in Microsoft Sentinel
Concedere l'accesso appropriato ai dati nell'area di lavoro usando i ruoli predefiniti. Potrebbe essere necessario concedere più ruoli o autorizzazioni specifiche a seconda delle attività di processo di un utente.
Ruoli specifici di Microsoft Sentinel
Tutti i ruoli predefiniti di Microsoft Sentinel concedono l'accesso in lettura ai dati nell'area di lavoro di Microsoft Sentinel.
Il Lettore di Microsoft Sentinel può esaminare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel.
Microsoft Sentinel Responder può, oltre alle autorizzazioni per il lettore di Microsoft Sentinel, gestire eventi imprevisti come assegnare, ignorare e modificare gli eventi imprevisti.
Il collaboratore di Microsoft Sentinel può, oltre alle autorizzazioni per Il risponditore di Microsoft Sentinel, installare e aggiornare soluzioni dall'hub del contenuto e creare e modificare risorse di Microsoft Sentinel come cartelle di lavoro, regole di analisi e altro ancora.
L'operatore playbook di Microsoft Sentinel può elencare, visualizzare ed eseguire manualmente playbook.
Collaboratore di Automazione di Microsoft Sentinel consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non è destinato agli account utente.
Per ottenere risultati ottimali, assegnare questi ruoli al gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. In questo modo, i ruoli si applicano a tutte le risorse che supportano Microsoft Sentinel, perché queste risorse devono essere inserite anche nello stesso gruppo di risorse.
Come altra opzione, assegnare i ruoli direttamente all'area di lavoro di Microsoft Sentinel stessa. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarli ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.
Altri ruoli e autorizzazioni
Gli utenti con requisiti di processo specifici potrebbero dover essere assegnati ad altri ruoli o autorizzazioni specifiche per eseguire le attività.
Installare e gestire contenuti predefiniti
Trovare soluzioni in pacchetto per prodotti end-to-end o contenuti autonomi dall'hub del contenuto in Microsoft Sentinel. Per installare e gestire il contenuto dall'hub del contenuto, assegnare il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
Automatizzare le risposte alle minacce con playbook
Microsoft Sentinel usa i playbook per la risposta automatica alle minacce. I playbook sono basati su App per la logica di Azure e sono una risorsa di Azure separata. Per membri specifici del team addetto alle operazioni di sicurezza, è possibile assegnare la possibilità di usare le operazioni soAR (Logic Apps for Security Orchestration, Automation e Response). È possibile usare il ruolo Operatore playbook di Microsoft Sentinel per assegnare autorizzazioni esplicite e limitate per l'esecuzione di playbook e il ruolo Collaboratore app per la logica per creare e modificare playbook.
Concedere a Microsoft Sentinel le autorizzazioni per eseguire playbook
Microsoft Sentinel usa un account di servizio speciale per eseguire manualmente i playbook trigger di evento imprevisto o per chiamarli dalle regole di automazione. L'uso di questo account al posto dell'account utente aumenta il livello di sicurezza del servizio.
Affinché una regola di automazione esegua un playbook, all'account devono essere concesse autorizzazioni esplicite al gruppo di risorse in cui risiede il playbook. A questo punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. Per concedere queste autorizzazioni a questo account del servizio, l'account deve disporre delle autorizzazioni proprietario per i gruppi di risorse contenenti i playbook.
Connessione origini dati a Microsoft Sentinel
Per consentire a un utente di aggiungere connettori dati, è necessario assegnare all'utente autorizzazioni di scrittura per l'area di lavoro di Microsoft Sentinel. Si notino le autorizzazioni aggiuntive necessarie per ogni connettore, come indicato nella pagina del connettore pertinente.
Consentire agli utenti guest di assegnare eventi imprevisti
Se un utente guest deve essere in grado di assegnare eventi imprevisti, è necessario assegnare il ruolo Lettore directory all'utente, oltre al ruolo Risponditore di Microsoft Sentinel. Il ruolo Lettore directory non è un ruolo di Azure, ma un ruolo Microsoft Entra e gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.
Creare ed eliminare cartelle di lavoro
Per creare ed eliminare una cartella di lavoro di Microsoft Sentinel, l'utente deve avere il ruolo Collaboratore di Microsoft Sentinel o un ruolo di Microsoft Sentinel minore, insieme al ruolo Collaboratore cartella di lavoro di Monitoraggio di Azure. Questo ruolo non è necessario per l'uso delle cartelle di lavoro, solo per la creazione e l'eliminazione.
Ruoli di Azure e Log Analytics che potrebbero essere assegnati
Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro di Microsoft Sentinel e ad altre risorse:
Ruoli di Azure: Proprietario, Collaboratore e Lettore. I ruoli di Azure concedono l'accesso a tutte le risorse di Azure, tra cui le aree di lavoro Log Analytics e le risorse di Microsoft Sentinel.
Ruoli di Log Analytics:Collaboratore Log Analytics e Lettore Log Analytics. I ruoli di Log Analytics concedono l'accesso alle aree di lavoro Log Analytics.
Ad esempio, un utente ha assegnato il ruolo lettore di Microsoft Sentinel, ma non il ruolo Collaboratore di Microsoft Sentinel, può comunque modificare gli elementi in Microsoft Sentinel, se tale utente è assegnato anche al ruolo Collaboratore a livello di Azure. Pertanto, se si vogliono concedere autorizzazioni a un utente solo in Microsoft Sentinel, rimuovere attentamente le autorizzazioni precedenti di questo utente, assicurandosi di non interrompere l'accesso necessario a un'altra risorsa.
Ruoli, autorizzazioni e azioni consentite di Microsoft Sentinel
Questa tabella riepiloga i ruoli di Microsoft Sentinel e le relative azioni consentite in Microsoft Sentinel.
| Ruolo | Visualizzare ed eseguire playbook | Creare e modificare playbook | Creare e modificare regole di analisi, cartelle di lavoro e altre risorse di Microsoft Sentinel | Gestire gli eventi imprevisti (ignorare, assegnare e così via) | Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel | Installare e gestire il contenuto dall'hub dei contenuti |
|---|---|---|---|---|---|---|
| Lettore di Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Risponditore di Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Collaboratore di Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operatore di playbook di Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Collaboratore per app per la logica | ✓ | ✓ | -- | -- | -- | -- |
* Gli utenti con questi ruoli possono creare ed eliminare cartelle di lavoro con il ruolo Collaboratore cartella di lavoro. Informazioni su Altri ruoli e autorizzazioni.
Esaminare le raccomandazioni sui ruoli da assegnare agli utenti nel soC.
Ruoli personalizzati e controllo degli accessi in base al ruolo avanzato di Azure
Ruoli personalizzati. Oltre a, o invece di, usando i ruoli predefiniti di Azure, è possibile creare ruoli personalizzati di Azure per Microsoft Sentinel. I ruoli personalizzati di Azure per Microsoft Sentinel vengono creati nello stesso modo dei ruoli personalizzati di Azure, in base a autorizzazioni specifiche per Microsoft Sentinel e alle risorse di Azure Log Analytics.
Controllo degli accessi in base al ruolo di Log Analytics. È possibile usare il controllo degli accessi in base al ruolo avanzato di Azure di Log Analytics tra i dati nell'area di lavoro di Microsoft Sentinel. Sono inclusi il controllo degli accessi in base al ruolo di Azure basato sul tipo di dati e il controllo degli accessi in base al ruolo di Azure nel contesto delle risorse. Per altre informazioni, vedere:
- Gestire i dati di log e le aree di lavoro nel Monitoraggio di Azure
- Controllo degli accessi in base al ruolo del contesto delle risorse per Microsoft Sentinel
- Controllo degli accessi in base al ruolo a livello di tabella
Il contesto delle risorse e il controllo degli accessi in base al ruolo a livello di tabella sono due modi per concedere l'accesso a dati specifici nell'area di lavoro di Microsoft Sentinel, senza consentire l'accesso all'intera esperienza di Microsoft Sentinel.
Raccomandazioni relative a ruoli e autorizzazioni
Dopo aver compreso il funzionamento dei ruoli e delle autorizzazioni in Microsoft Sentinel, è possibile esaminare queste procedure consigliate per l'applicazione dei ruoli agli utenti:
| Tipo di utente | Ruolo | Gruppo di risorse | Descrizione |
|---|---|---|---|
| Analisti della sicurezza | Risponditore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel. Gestire gli eventi imprevisti, ad esempio l'assegnazione o la chiusura di eventi imprevisti. |
| Operatore playbook di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook | Collegare playbook alle regole di analisi e automazione. Eseguire playbook. |
|
| Ingegneri della sicurezza | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel. Gestire gli eventi imprevisti, ad esempio l'assegnazione o la chiusura di eventi imprevisti. Creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel. Installare e aggiornare soluzioni dall'hub del contenuto. |
| Collaboratore app per la logica | Gruppo di risorse di Microsoft Sentinel o gruppo di risorse in cui sono archiviati i playbook | Collegare playbook alle regole di analisi e automazione. Eseguire e modificare i playbook. |
|
| Entità servizio | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Configurazione automatica per le attività di gestione |
Potrebbero essere necessari più ruoli a seconda dei dati inseriti o monitorati. Ad esempio, i ruoli di Microsoft Entra potrebbero essere necessari, ad esempio i ruoli global Amministrazione istrator o Security Amministrazione istrator, per configurare i connettori dati per i servizi in altri portali Microsoft.
Controllo degli accessi in base alle risorse
È possibile che alcuni utenti debbano accedere solo a dati specifici nell'area di lavoro di Microsoft Sentinel, ma che non devono avere accesso all'intero ambiente di Microsoft Sentinel. Ad esempio, è possibile fornire a un team esterno alle operazioni di sicurezza l'accesso ai dati degli eventi di Windows per i server di cui sono proprietari.
In questi casi, è consigliabile configurare il controllo degli accessi in base al ruolo in base al ruolo in base alle risorse consentite agli utenti, anziché fornire loro l'accesso all'area di lavoro di Microsoft Sentinel o a funzionalità specifiche di Microsoft Sentinel. Questo metodo è noto anche come configurazione del controllo degli accessi in base al ruolo del contesto delle risorse. Per altre informazioni, vedere Gestire l'accesso ai dati di Microsoft Sentinel per risorsa.
Passaggi successivi
In questo articolo si è appreso come usare i ruoli per gli utenti di Microsoft Sentinel e il funzionamento di ogni ruolo.