이 문서에서는 Microsoft Sentinel Microsoft Sentinel SIEM 및 Microsoft Sentinel 데이터 레이크 모두에 대한 사용자 역할에 권한을 할당하여 각 역할에 대해 허용되는 작업을 식별하는 방법을 설명합니다.
Microsoft Sentinel Azure RBAC(역할 기반 액세스 제어)를 사용하여 Azure Microsoft Sentinel SIEM에 대한 기본 제공 및 사용자 지정 역할을 제공하고 역할 기반 액세스 제어()를 Microsoft Entra ID. Microsoft Entra ID RBAC) Microsoft Sentinel 데이터 레이크에 대한 기본 제공 및 사용자 지정 역할을 제공합니다.
Azure 또는 Microsoft Entra ID 사용자, 그룹 및 서비스에 역할을 할당할 수 있습니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
참고
Microsoft Defender XDR 미리 보기 프로그램을 실행하는 경우 이제 URBAC(새 Microsoft Defender 통합 Role-Based Access Control) 모델을 경험할 수 있습니다. 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
Microsoft Sentinel 대한 기본 제공 Azure 역할
다음 기본 제공 Azure 역할은 SIEM을 Microsoft Sentinel 데 사용되며 Microsoft Sentinel 데이터 레이크에 대한 지원을 포함하여 작업 영역 데이터에 대한 읽기 액세스 권한을 부여합니다. 최상의 결과를 위해 리소스 그룹 수준에서 이러한 역할을 할당합니다.
| 역할 | SIEM 지원 | 데이터 레이크 지원 |
|---|---|---|
| Microsoft Sentinel 읽기 권한자 | 데이터, 인시던트, 통합 문서, 권장 사항 및 기타 리소스 보기 | 고급 분석에 액세스하고 작업 영역에서만 대화형 쿼리를 실행합니다. |
| Microsoft Sentinel 응답자 | 모든 읽기 권한자 권한 및 인시던트 관리 | 해당 없음 |
| Microsoft Sentinel 기여자 | 모든 응답기 권한 및 솔루션 설치/업데이트, 리소스 만들기/편집 | 고급 분석에 액세스하고 작업 영역에서만 대화형 쿼리를 실행합니다. |
| 플레이북 연산자 Microsoft Sentinel | 플레이북 나열, 보기 및 수동으로 실행 | 해당 없음 |
| Microsoft Sentinel Automation 기여자 | Microsoft Sentinel 자동화 규칙에 플레이북을 추가할 수 있습니다. 사용자 계정에 사용되지 않습니다. | 해당 없음 |
예를 들어 다음 표에서는 각 역할이 Microsoft Sentinel 수행할 수 있는 작업의 예를 보여 줍니다.
| 역할 | 플레이북 실행 | 플레이북 만들기/편집 | 분석 규칙, 통합 문서 등을 만들거나 편집합니다. | 인시던트 관리 | 데이터, 인시던트, 통합 문서, 권장 사항 보기 | 콘텐츠 허브 관리 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 읽기 권한자 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 응답자 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 기여자 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| 플레이북 연산자 Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| 논리 앱 기여자 | ✓ | ✓ | -- | -- | -- | -- |
* 통합 문서 기여자 역할 사용.
Microsoft Sentinel 작업 영역이 포함된 리소스 그룹에 역할을 할당하는 것이 좋습니다. 이렇게 하면 Logic Apps 및 플레이북과 같은 모든 관련 리소스에 동일한 역할 할당이 적용됩니다.
또 다른 옵션으로 역할을 Microsoft Sentinel 작업 영역 자체에 직접 할당합니다. 이렇게 하면 해당 작업 영역의 SecurityInsights 솔루션 리소스 에 동일한 역할을 할당해야 합니다. 다른 리소스에 할당하고 리소스에 대한 역할 할당을 지속적으로 관리해야 할 수도 있습니다.
특정 작업에 대한 추가 역할
특정 작업 요구 사항이 있는 사용자는 작업을 수행하기 위해 다른 역할 또는 특정 권한을 할당해야 할 수 있습니다. 예시:
| 작업 | 필수 역할/권한 |
|---|---|
| 데이터 원본 연결 | 작업 영역에 대한 쓰기 권한입니다. 커넥터 문서에 커넥터당 필요한 추가 권한이 있는지 확인합니다. |
| 콘텐츠 허브에서 콘텐츠 관리 | 리소스 그룹 수준에서 Microsoft Sentinel 기여자 |
| 플레이북을 사용하여 응답 자동화 |
플레이북 연산자를 Microsoft Sentinel 플레이북을 실행하고 논리 앱 기여자를 사용하여 플레이북을 만들거나 편집합니다. Microsoft Sentinel 자동화된 위협 대응을 위해 플레이북을 사용합니다. 플레이북은 Azure Logic Apps를 기반으로 하며 별도의 Azure 리소스입니다. 보안 운영 팀의 특정 멤버의 경우 SOAR(보안 오케스트레이션, 자동화 및 응답) 작업에 Logic Apps를 사용하는 기능을 할당할 수 있습니다. |
| Microsoft Sentinel 자동화를 통해 플레이북을 실행할 수 있도록 허용 | 서비스 계정에는 플레이북 리소스 그룹에 대한 명시적 권한이 필요합니다. 계정을 할당하려면 소유자 권한이 필요합니다. Microsoft Sentinel 특수 서비스 계정을 사용하여 인시던트 트리거 플레이북을 수동으로 실행하거나 자동화 규칙에서 호출합니다. 사용자 계정과 달리 이 계정을 사용하면 서비스의 보안 수준이 높아집니다. 플레이북을 실행하려면 이 계정에 플레이북이 있는 리소스 그룹에 대한 명시적 권한이 부여되어야 합니다. 이 시점에서 모든 자동화 규칙은 해당 리소스 그룹의 모든 플레이북을 실행할 수 있습니다. |
| 게스트 사용자가 인시던트 할당 |
디렉터리 읽기 권한자 AND Microsoft Sentinel 응답자 디렉터리 읽기 권한자 역할은 Azure 역할이 아니라 Microsoft Entra ID 역할이며, 일반(중요하지 않은) 사용자에게는 기본적으로 이 역할이 할당됩니다. |
| 통합 문서 만들기/삭제 | Microsoft Sentinel 기여자 또는 더 작은 Microsoft Sentinel 역할 및 통합 문서 기여자 |
기타 Azure 및 Log Analytics 역할
Microsoft Sentinel 특정 Azure 역할을 할당하면 다른 용도로 사용자에게 할당될 수 있는 다른 Azure 및 Log Analytics 역할이 발생할 수 있습니다. 이러한 역할은 Microsoft Sentinel 작업 영역 및 기타 리소스에 대한 액세스를 포함하는 광범위한 사용 권한 집합을 부여합니다.
- Azure 역할:소유자, 기여자, 읽기 권한자 – Azure 리소스에서 광범위한 액세스 권한을 부여합니다.
- Log Analytics 역할:Log Analytics 기여자, Log Analytics 읽기 권한 자 – Log Analytics 작업 영역에 대한 액세스 권한을 부여합니다.
중요
역할 할당은 누적됩니다. Microsoft Sentinel 읽기 권한자 및 기여자 역할이 모두 있는 사용자는 의도한 것보다 더 많은 권한을 가질 수 있습니다.
Microsoft Sentinel 사용자에게 권장되는 역할 할당
| 사용자 유형 | 역할 | 리소스 그룹 | 설명 |
|---|---|---|---|
| 보안 분석가 | Microsoft Sentinel 응답자 | Microsoft Sentinel 리소스 그룹 | 인시던트, 데이터, 통합 문서 보기/관리 |
| 플레이북 연산자 Microsoft Sentinel | Microsoft Sentinel/플레이북 리소스 그룹 | 플레이북 연결/실행 | |
| 보안 엔지니어 | Microsoft Sentinel 기여자 | Microsoft Sentinel 리소스 그룹 | 인시던트, 콘텐츠, 리소스 관리 |
| 논리 앱 기여자 | Microsoft Sentinel/플레이북 리소스 그룹 | 플레이북 실행/수정 | |
| 서비스 주체 | Microsoft Sentinel 기여자 | Microsoft Sentinel 리소스 그룹 | 자동화된 관리 작업 |
Microsoft Sentinel 데이터 레이크에 대한 역할 및 권한
Microsoft Sentinel 데이터 레이크를 사용하려면 작업 영역을 Defender 포털 및 Microsoft Sentinel 데이터 레이크에 온보딩해야 합니다.
데이터 레이크 읽기 권한 Microsoft Sentinel
Microsoft Entra ID 역할은 데이터 레이크의 모든 콘텐츠에 광범위한 액세스를 제공합니다. 다음 역할을 사용하여 쿼리 실행과 같이 Microsoft Sentinel 데이터 레이크 내의 모든 작업 영역에 대한 읽기 액세스를 제공합니다.
| 사용 권한 유형 | 지원되는 역할 |
|---|---|
| 모든 작업 영역에서 액세스 읽기 | 다음 Microsoft Entra ID 역할을 사용합니다. - 전역 판독기 - 보안 읽기 권한자 - 보안 운영자 - 보안 관리자 - 전역 관리자 |
또는 특정 작업 영역 내에서 테이블을 읽는 기능을 할당할 수 있습니다. 이러한 경우 다음 중 하나를 사용합니다.
| 작업 | 권한 |
|---|---|
| 시스템 테이블에 대한 읽기 권한 | Microsoft Sentinel 데이터 수집에 대한 보안 데이터 기본 사항(읽기) 권한이 있는 사용자 지정 Microsoft Defender XDR 통합 RBAC 역할을 사용합니다. |
| 데이터 레이크에서 Microsoft Sentinel 사용하도록 설정된 다른 작업 영역에 대한 읽기 권한 | 해당 작업 영역에 대한 권한에 대해 AZURE RBAC에서 다음 기본 제공 역할 중 하나를 사용합니다. - Log Analytics 판독기 - Log Analytics 기여자 - Microsoft Sentinel 기여자 - Microsoft Sentinel 읽기 권한자 - 리더 - 참가자 - 소유자 |
데이터 레이크 쓰기 권한 Microsoft Sentinel
Microsoft Entra ID 역할은 데이터 레이크의 모든 작업 영역에서 광범위한 액세스를 제공합니다. 다음 역할을 사용하여 Microsoft Sentinel 데이터 레이크 테이블에 대한 쓰기 액세스를 제공합니다.
| 사용 권한 유형 | 지원되는 역할 |
|---|---|
| KQL 작업 또는 Notebook을 사용하여 분석 계층의 테이블에 쓰기 | 다음 Microsoft Entra ID 역할 중 하나를 사용합니다. - 보안 운영자 - 보안 관리자 - 전역 관리자 |
| Microsoft Sentinel 데이터 레이크의 테이블에 쓰기 | 다음 Microsoft Entra ID 역할 중 하나를 사용합니다. - 보안 운영자 - 보안 관리자 - 전역 관리자 |
또는 특정 작업 영역에 출력을 쓰는 기능을 할당할 수 있습니다. 여기에는 해당 작업 영역에 대한 커넥터를 구성하거나, 작업 영역의 테이블에 대한 보존 설정을 수정하거나, 해당 작업 영역에서 사용자 지정 테이블을 만들고, 업데이트하고, 삭제하는 기능이 포함될 수 있습니다. 이러한 경우 다음 중 하나를 사용합니다.
| 작업 | 권한 |
|---|---|
| 데이터 레이크의 시스템 테이블 업데이트 | Microsoft Sentinel 데이터 수집에 대한 데이터(관리) 권한이 있는 사용자 지정 Microsoft Defender XDR 통합 RBAC 역할을 사용합니다. |
| 데이터 레이크의 다른 Microsoft Sentinel 작업 영역의 경우 | 해당 작업 영역에 대한 다음 Azure RBAC Microsoft 운영 인사이트 권한을 포함하는 기본 제공 또는 사용자 지정 역할을 사용합니다. - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete 예를 들어 이러한 권한 Log Analytics 기여자, 소유자 및 기여자가 포함된 기본 제공 역할입니다. |
Microsoft Sentinel 데이터 레이크에서 작업 관리
예약된 작업을 만들거나 Microsoft Sentinel 데이터 레이크에서 작업을 관리하려면 다음 Microsoft Entra ID 역할 중 하나가 있어야 합니다.
사용자 지정 역할 및 고급 RBAC
전체 작업 영역이 아닌 특정 데이터에 대한 액세스를 제한하려면 리소스 컨텍스트 RBAC 또는 테이블 수준 RBAC를 사용합니다. 이는 특정 데이터 형식 또는 테이블에만 액세스해야 하는 팀에 유용합니다.
그렇지 않으면 고급 RBAC에 대해 다음 옵션 중 하나를 사용합니다.
- Microsoft Sentinel SIEM 액세스의 경우 Azure 사용자 지정 역할을 사용합니다.
- Microsoft Sentinel 데이터 레이크의 경우 Defender XDR 통합 RBAC 사용자 지정 역할을 사용합니다.