Descrivere le autorizzazioni e i ruoli di Microsoft Sentinel
Per distribuire l'ambiente di prova, è necessario conoscere le autorizzazioni e i ruoli necessari per una corretta distribuzione.
Panoramica delle autorizzazioni in Microsoft Sentinel
Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che gestisce l'accesso alle risorse di Azure. Si basa su Azure Resource Manager, che consente la gestione degli accessi con granularità fine per le risorse di Azure.
Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare i ruoli per il team SecOps. Il Controllo degli accessi in base al ruolo di Azure consente di concedere l'accesso appropriato a Microsoft Sentinel. I diversi ruoli permettono di controllare con precisione a cosa possono accedere e cosa possono fare gli utenti di Microsoft Sentinel.
È possibile assegnare i ruoli del controllo degli accessi in base al ruolo di Azure nei modi seguenti:
- Direttamente nell'area di lavoro di Microsoft Sentinel
- In una sottoscrizione
- Nel gruppo di risorse a cui appartiene l'area di lavoro e che Azure Sentinel eredita
Ruoli specifici di Microsoft Sentinel
Di seguito sono elencati i ruoli predefiniti di Microsoft Sentinel dedicati:
- Lettore: questo ruolo può esaminare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel.
- Risponditore: questo ruolo dispone di tutte le autorizzazioni del ruolo Lettore. Può inoltre gestire gli eventi imprevisti assegnandoli o ignorandoli.
- Collaboratore: questo ruolo dispone di tutte le autorizzazioni dei ruoli Lettore e Risponditore. Può inoltre creare e modificare cartelle di lavoro, regole analitiche e altre risorse di Microsoft Sentinel. Per distribuire Microsoft Sentinel nel tenant, è necessario avere le autorizzazioni di Collaboratore per la sottoscrizione in cui viene distribuita l'area di lavoro di Microsoft Sentinel.
- Operatore di playbook: questo ruolo può elencare, visualizzare ed eseguire manualmente i playbook.
- Collaboratore di Automazione: questo ruolo consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non è destinato agli account utente.
Tutti i ruoli predefiniti di Microsoft Sentinel concedono l'accesso in lettura ai dati nell'area di lavoro di Microsoft Sentinel. Per ottenere risultati ottimali, questi ruoli devono essere assegnati al gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. I ruoli si applicano quindi a tutte le risorse distribuite per supportare Microsoft Sentinel, se tali risorse si trovano nello stesso gruppo di risorse.
Ruoli di Azure e di Log Analytics di Monitoraggio di Azure
Oltre ai ruoli del Controllo degli accessi in base al ruolo di Azure dedicati per Microsoft Sentinel, è possibile usare altri ruoli di controllo degli accessi in base al ruolo di Azure per Azure e Log Analytics per concedere un set di autorizzazioni più ampio. Tali ruoli includono l'accesso all'area di lavoro di Microsoft Sentinel e ad altre risorse.
I ruoli di Azure concedono l'accesso a tutte le risorse di Azure. Sono incluse le aree di lavoro Log Analytics e le risorse di Microsoft Sentinel:
- Proprietario
- Collaboratore
- Reader
- Collaboratore specifica di modello
I ruoli di Log Analytics concedono l'accesso a tutte le aree di lavoro Log Analytics:
- Collaboratore di Log Analytics
- Lettore di Log Analytics
Un utente a cui vengono assegnati i ruoli Lettore di Microsoft Sentinel e Collaboratore di Azure (non Collaboratore di Microsoft Sentinel) può ad esempio modificare i dati in Microsoft Sentinel. Per concedere solo le autorizzazioni per Microsoft Sentinel, è necessario rimuovere attentamente le autorizzazioni precedenti dell'utente. Assicurarsi di non compromettere le autorizzazioni necessarie per un'altra risorsa.
Ruoli di Microsoft Sentinel e azioni consentite
La tabella seguente riepiloga i ruoli e le azioni consentite in Microsoft Sentinel.
| Ruoli | Visualizzare ed eseguire playbook | Creare e modificare playbook | Creare e modificare regole analitiche, cartelle di lavoro e altre risorse di Microsoft Sentinel | Gestire gli eventi imprevisti, ad esempio la chiusura e l'assegnazione | Visualizzare gli eventi imprevisti dei dati, le cartelle di lavoro e altre risorse di Microsoft Sentinel | Installare e gestire il contenuto dall'hub dei contenuti |
|---|---|---|---|---|---|---|
| Lettore di Microsoft Sentinel | No | No | No | No | Sì | No |
| Risponditore di Microsoft Sentinel | No | No | No | Sì | Sì | No |
| Collaboratore di Microsoft Sentinel | No | No | Sì | Sì | Sì | No |
| Operatore di playbook di Microsoft Sentinel | Sì | No | No | No | No | No |
| Collaboratore per app per la logica | Sì | Sì | No | No | No | No |
| Collaboratore specifica di modello | No | No | No | No | No | Sì |
Ruoli personalizzati e controllo degli accessi in base al ruolo avanzato di Azure
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione, della sottoscrizione e del gruppo di risorse.
Suggerimento
Le applicazioni e i servizi usano un'identità di sicurezza per accedere a risorse di Azure specifiche. È paragonabile a un'identità utente (nome utente e password o certificato) per un'applicazione. Con ambito si intende il set di risorse a cui viene applicato l'accesso.
Le sottoscrizioni che considerano attendibile la stessa directory di Microsoft Entra possono condividere i ruoli personalizzati. È previsto un limite di 5.000 ruoli personalizzati per ogni directory. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Nota
Per Azure Germania e Azure China (21Vianet), il limite è 2.000 ruoli personalizzati.
In questa unità sono state fornite informazioni sui ruoli predefiniti per gli utenti di Microsoft Sentinel e sulle attività consentite agli utenti con ogni ruolo. Dopo aver compreso i ruoli e le autorizzazioni e il modo in cui è possibile adattarli alla propria organizzazione, è possibile abilitare Microsoft Sentinel con tranquillità.