Microsoft Sentinel のロールとアクセス許可
この記事では、Microsoft Sentinel でアクセス許可をユーザー ロールに割り当て、ロールごとに許可するアクションを特定する方法について説明します。 Microsoft Azure Sentinel では、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure のユーザー、グループ、サービスに割り当てることができる組み込みロールが提供されています。 この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。
Azure RBAC を使用して、セキュリティ運用チーム内でロールを作成して割り当て、Microsoft Azure Sentinel への適切なアクセス権を付与します。 さまざまなロールを使用して、Microsoft Sentinel のユーザーが表示および実行できることをきめ細かく制御できます。 Azure ロールは、Microsoft Sentinel ワークスペースで直接割り当てるか、ワークスペースが属しているサブスクリプション、またはリソース グループで割り当てることができます (これは、Microsoft Sentinel が継承するものです)。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。
Microsoft Sentinel で作業するためのロールとアクセス許可
組み込みのロールを使用して、ワークスペース内のデータへの適切なアクセス権を付与します。 ユーザーのジョブ タスクによっては、より多くのロールまたは特定のアクセス許可を付与することが必要になる場合があります。
Microsoft Azure Sentinel 固有のロール
Microsoft Azure Sentinel のすべての組み込みロールでは、Microsoft Azure Sentinel ワークスペース内のデータに対して読み取りアクセス権が付与されます。
Microsoft Sentinel 閲覧者は、データ、インシデント、ブック、その他の Microsoft Sentinel リソースを表示できます。
Microsoft Sentinel レスポンダーは、Microsoft Sentinel 閲覧者のアクセス許可に加えて、インシデントの割り当て、無視、変更などのインシデント管理を行えます。
Microsoft Sentinel 共同作成者は、Microsoft Sentinel レスポンダーのアクセス許可に加え、コンテンツ ハブからのソリューションのインストールと更新や、ブック、分析ルールなどの Microsoft Sentinel リソースの作成と編集を行えます。
Microsoft Sentinel プレイブック オペレーターは、プレイブックの一覧表示、表示、手動実行を行うことができます。
Microsoft Sentinel オートメーション共同作成者は、プレイブックにオートメーション規則を追加することを Microsoft Sentinel に許可します。 これはユーザー アカウント用ではありません。
最も効果的な方法は、これらのロールを Microsoft Sentinel ワークスペースを含むリソース グループに割り当てることです。 Microsoft Sentinel をサポートするすべてのリソースを同じリソース グループに配置する必要があるため、このようにすると、それらすべてのリソースにロールが適用されます。
もう 1 つの方法として、Microsoft Sentinel ワークスペース自体にロールを直接割り当てます。 これを行う場合は、そのワークスペースの SecurityInsights ソリューション リソースにも同じロールを割り当てる必要があります。 他のリソースにもそれらを割り当てることが必要になる場合があり、リソースへのロールの割り当てを継続的に管理する必要があります。
他のロールとアクセス許可
特定のジョブ要件があるユーザーには、タスクを実行するために、その他のロールまたは特定のアクセス許可を割り当てることが必要な場合があります。
すぐに使えるコンテンツをインストールして管理する
Microsoft Sentinel のコンテンツ ハブから、エンド ツー エンド製品またはスタンドアロン コンテンツ用のパッケージ ソリューションを見つけます。 コンテンツ ハブからコンテンツをインストールして管理するには、リソース グループ レベルでMicrosoft Sentinel 共同作成者ロールを割り当てます。
プレイブックを使用して脅威への対応を自動化する
Microsoft Azure Sentinel では、自動化された脅威の対応にプレイブックを使用します。 プレイブックは、Azure Logic Apps に基づいて構築されている、別の Azure リソースです。 セキュリティ運用チームの特定のメンバーに、セキュリティ オーケストレーション、自動化、および応答 (SOAR) の操作で Logic Apps を使用する権能を割り当てることができます。 Microsoft Sentinel プレイブック オペレーター ロールを使用して、プレイブックを実行するための明示的な制限付きアクセス許可を割り当て、Logic App 共同作成者ロールを使用して、プレイブックの作成と編集を行うことができます。
Microsoft Sentinel にプレイブックを実行するアクセス許可を付与する
Microsoft Sentinel は、特別なサービス アカウントを使用して、インシデントトリガー プレイブックを手動で実行したり、自動化ルールから呼び出したりします。 (ユーザー アカウントではなく) このアカウントを使用すると、サービスのセキュリティ レベルが向上します。
自動化ルールでプレイブックを実行するには、このアカウントに、プレイブックが存在するリソース グループへの明示的なアクセス許可が付与されている必要があります。 その時点で、すべての自動化ルールでそのリソース グループ内のすべてのプレイブックを実行できるようになります。 これらのアクセス許可をこのサービス アカウントに付与するには、プレイブックを含むリソース グループに対する所有者アクセス許可が自分のアカウントにあることが必要です。
Microsoft Sentinel にデータ ソースを接続する
ユーザーがデータ コネクタを追加するには、Microsoft Sentinel ワークスペースへの書き込みアクセス許可をそのユーザーに割り当てる必要があります。 関連するコネクタのページで示されている、各コネクタに必要な追加のアクセス許可を確認してください。
ゲスト ユーザーにインシデントの割り当てを許可する
ゲスト ユーザーによるインシデント割り当てを可能にする必要がある場合、そのユーザーには、Microsoft Sentinel レスポンダー ロールに加えて、ディレクトリ閲覧者のロールも割り当てる必要があります。 ディレクトリ閲覧者のロールは、Azure ロールではなく、Microsoft Entra ロールであり、通常の (非ゲスト) ユーザーには既定でこのロールが割り当てられています。
ブックの作成と削除
Microsoft Sentinel ブックを作成および削除するには、Microsoft Sentinel 共同作成者ロールか、それより下位の Microsoft Sentinel ロールにブック共同作成者 Azure Monitor ロールが追加で必要です。 このロールは、ブックの "使用" には必要がなく、作成と削除用です。
割り当てられている可能性がある Azure ロールと Log Analytics ロール
Microsoft Sentinel 固有の Azure ロールの割り当てでは、他の Azure および Log Analytics のロールが他の目的でユーザーに割り当てられている可能性があります。 これらのロールには、Microsoft Sentinel ワークスペースや他のリソースへのアクセスを含む広範なアクセス許可のセットが付与されます。
Azure ロール:所有者、共同作成者、閲覧者。 Azure ロールによって、Log Analytics ワークスペースや Microsoft Azure Sentinel リソースなど、すべての Azure リソースへのアクセス権が付与されます。
Log Analytics のロール:Log Analytics 共同作成者、Log Analytics 閲覧者。 Log Analytics のロールでは、Log Analytics ワークスペースに対するアクセス権が付与されます。
たとえば、Microsoft Sentinel 閲覧者ロールを割り当てられていて、Microsoft Sentinel 共同作成者ロールを割り当てられていないユーザーでも、Azure レベルで共同作成者ロールが割り当てられている場合は、Microsoft Sentinel の項目を編集できます。 そのため、Microsoft Sentinel 内のユーザーにのみアクセス許可を付与する場合は、このユーザーの以前のアクセス許可を慎重に削除して、別のリソースに必要なアクセス権が無効にならないようにする必要があります。
Microsoft Sentinel ロール、アクセス許可、許可されているアクション
この表は、Microsoft Sentinel のロールと Microsoft Sentinel でそれらに許可されるアクションをまとめたものです。
| Role | プレイブックの表示と実行 | プレイブックの作成と編集 | 分析ルール、ブックなどの Microsoft Azure Sentinel リソースを作成および編集する | インシデントを管理する (無視、割り当てなど) | データ、インシデント、ブックなどの Microsoft Azure Sentinel リソースを表示する | コンテンツ ハブからコンテンツをインストールして管理する |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 閲覧者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel レスポンダー | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 共同作成者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel プレイブック オペレーター | ✓ | -- | -- | -- | -- | -- |
| Logic App Contributor | ✓ | ✓ | -- | -- | -- | -- |
* これらのロールを持つユーザーは、Workbook Contributor ロールで、ブックの作成と削除ができます。 「他のロールとアクセス許可」を参照してください。
SOC 内のユーザーに割り当てるロールついては、ロールに関する推奨事項を参照してください。
カスタム ロールと高度な Azure RBAC
カスタム ロール。 Azure 組み込みロールの使用に加え、またはその代わりに、Microsoft Azure Sentinel の Azure カスタム ロールを作成することができます。 Microsoft Sentinel の Azure カスタム ロールは、Azure Log Analytics リソースおよび Microsoft Sentinel に対する特定のアクセス許可に基づいて、Azure カスタム ロールと同じ方法で作成します。
Log Analytics RBAC。 Microsoft Sentinel ワークスペースのデータに対して、Log Analytics の高度な Azure RBAC を使用できます。 これには、データ型ベースの Azure RBAC とリソースコンテキストの Azure RBAC の両方が含まれます。 詳細については、以下を参照してください。
リソースコンテキスト RBAC とテーブルレベル RBAC は、Microsoft Sentinel を丸ごと利用できる許可を与えることなく、Microsoft Sentinel ワークスペースに含まれる特定のデータへのアクセスを許可する 2 つの手法です。
ロールとアクセス許可に関する推奨事項
Microsoft Sentinel でロールとアクセス許可のしくみを理解したうえで、ユーザーにロールを適用するためのベスト プラクティスを参考にできます。
| ユーザー タイプ | 職務 | リソース グループ | 説明 |
|---|---|---|---|
| セキュリティ アナリスト | Microsoft Sentinel レスポンダー | Microsoft Azure Sentinel のリソース グループ | データ、インシデント、ブックなどの Microsoft Azure Sentinel リソースを表示する。 インシデントの割り当てや解除など、インシデントを管理する。 |
| Microsoft Sentinel プレイブック オペレーター | Microsoft Azure Sentinel のリソース グループ、またはプレイブックが格納されているリソース グループ | プレイブックを分析ルールとオートメーション ルールにアタッチする。 プレイブックを実行します。 |
|
| セキュリティ エンジニア | Microsoft Sentinel 共同作成者 | Microsoft Azure Sentinel のリソース グループ | データ、インシデント、ブックなどの Microsoft Azure Sentinel リソースを表示する。 インシデントの割り当てや解除など、インシデントを管理する。 ブック、分析ルールなどの Microsoft Azure Sentinel リソースを作成および編集する。 コンテンツ ハブからソリューションをインストールおよび更新します。 |
| Logic Apps の共同作成者 | Microsoft Azure Sentinel のリソース グループ、またはプレイブックが格納されているリソース グループ | プレイブックを分析ルールとオートメーション ルールにアタッチする。 プレイブックを実行して変更する。 |
|
| サービス プリンシパル | Microsoft Sentinel 共同作成者 | Microsoft Azure Sentinel のリソース グループ | 管理タスクの自動化された構成 |
取り込むまたは監視するデータによっては、追加のロールが必要になることがあります。 たとえば、他の Microsoft ポータル内でサービスのデータ コネクタを設定するには、全体管理者ロールやセキュリティ管理者ロールなどの Microsoft Entra ロールが必要になる場合があります。
リソースベースのアクセス制御
Microsoft Sentinel ワークスペース内の特定のデータのみにアクセスする必要があり、Microsoft Sentinel 環境全体にアクセスする必要はないユーザーもいます。 たとえば、セキュリティ オペレーション以外のチームに、そのチームが所有するサーバーの Windows イベント データへのアクセスを提供することが必要な場合があります。
このような場合は、Microsoft Sentinel ワークスペースまたは特定の Microsoft Sentinel 機能へのアクセスを提供する代わりに、ユーザーに許可されるリソースに基づいてロールベースのアクセス制御 (RBAC) を構成することをお勧めします。 この方法は、リソースコンテキスト RBAC とも呼ばれています。 詳細については、「リソースによる Microsoft Sentinel データへのアクセスを管理する」を参照してください。
次のステップ
この記事では、Microsoft Sentinel ユーザーのロールの使用方法と、各ロールでユーザーが実行できる操作について説明しました。