Share via


Rollen en machtigingen in Microsoft Sentinel

In dit artikel wordt uitgelegd hoe Microsoft Sentinel machtigingen toewijst aan gebruikersrollen en de toegestane acties voor elke rol identificeert. Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen te bieden die kunnen worden toegewezen aan gebruikers, groepen en services in Azure. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Gebruik Azure RBAC om rollen te maken en toe te wijzen binnen uw beveiligingsteam om de juiste toegang te verlenen tot Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat Microsoft Sentinel-gebruikers kunnen zien en doen. Azure-rollen kunnen rechtstreeks in de Microsoft Sentinel-werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, waarvan Microsoft Sentinel deel uitmaakt.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Rollen en machtigingen voor het werken in Microsoft Sentinel

Verdeel de juiste toegang tot de gegevens in uw werkruimte met behulp van ingebouwde rollen. Mogelijk moet u meer rollen of specifieke machtigingen verlenen, afhankelijk van de taaktaken van een gebruiker.

Microsoft Sentinel-specifieke rollen

Alle ingebouwde Microsoft Sentinel-rollen verlenen leestoegang tot de gegevens in uw Microsoft Sentinel-werkruimte.

Wijs deze rollen toe aan de resourcegroep die de Microsoft Sentinel-werkruimte bevat voor de beste resultaten. Op deze manier zijn de rollen van toepassing op alle resources die Microsoft Sentinel ondersteunen, omdat deze resources ook in dezelfde resourcegroep moeten worden geplaatst.

Als een andere optie kunt u de rollen rechtstreeks toewijzen aan de Microsoft Sentinel-werkruimte zelf. Als u dat doet, moet u dezelfde rollen toewijzen aan de SecurityInsights-oplossingsresource in die werkruimte. Mogelijk moet u ze ook toewijzen aan andere resources en voortdurend roltoewijzingen aan de resources beheren.

Andere rollen en machtigingen

Gebruikers met bepaalde taakvereisten moeten mogelijk andere rollen of specifieke machtigingen toewijzen om hun taken uit te voeren.

  • Out-of-the-box-inhoud installeren en beheren

    Zoek verpakte oplossingen voor end-to-endproducten of zelfstandige inhoud van de inhoudshub in Microsoft Sentinel. Als u inhoud wilt installeren en beheren vanuit de inhoudshub, wijst u de rol Microsoft Sentinel-inzender toe op het niveau van de resourcegroep.

  • Reacties op bedreigingen automatiseren met playbooks

    Microsoft Sentinel maakt gebruik van playbooks voor geautomatiseerde reactie op bedreigingen. Playbooks zijn gebaseerd op Azure Logic Apps en zijn een afzonderlijke Azure-resource. Voor specifieke leden van uw beveiligingsteam wilt u mogelijk de mogelijkheid toewijzen om SOAR-bewerkingen (Logic Apps for Security Orchestration, Automation and Response) te gebruiken. U kunt de rol Microsoft Sentinel Playbook Operator gebruiken om expliciete, beperkte machtigingen voor het uitvoeren van playbooks en de rol Inzender voor logische apps toe te wijzen om playbooks te maken en te bewerken.

  • Microsoft Sentinel-machtigingen geven om playbooks uit te voeren

    Microsoft Sentinel gebruikt een speciaal serviceaccount om playbooks met incidenttriggers handmatig uit te voeren of om ze aan te roepen vanuit automatiseringsregels. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service.

    Voor een automatiseringsregel om een playbook uit te voeren, moet dit account expliciete machtigingen krijgen voor de resourcegroep waarin het playbook zich bevindt. Op dat moment kan elke automatiseringsregel elk playbook in die resourcegroep uitvoeren. Als u deze machtigingen wilt verlenen aan dit serviceaccount, moet uw account eigenaarsmachtigingen hebben voor de resourcegroepen met de playbooks.

  • Gegevensbronnen verbinden met Microsoft Sentinel

    Een gebruiker kan alleen gegevensconnectors toevoegen als u schrijfmachtigingen voor de Microsoft Sentinel-werkruimte toewijst. Let op de vereiste extra machtigingen voor elke connector, zoals vermeld op de relevante connectorpagina.

  • Gastgebruikers toestaan incidenten toe te wijzen

    Als een gastgebruiker incidenten moet kunnen toewijzen, moet u de rol Adreslijstlezer toewijzen aan de gebruiker, naast de rol Microsoft Sentinel Responder. De rol Adreslijstlezer is geen Azure-rol, maar een Microsoft Entra-rol en gewone (niet-guest)-gebruikers hebben deze rol standaard toegewezen.

  • Werkmappen maken en verwijderen

    Als u een Microsoft Sentinel-werkmap wilt maken en verwijderen, heeft de gebruiker de rol Microsoft Sentinel-inzender of een mindere Microsoft Sentinel-rol nodig, samen met de Azure Monitor-rol Werkmapbijdrager. Deze rol is niet nodig voor het gebruik van werkmappen, alleen voor het maken en verwijderen.

Azure- en Log Analytics-rollen die u mogelijk ziet toegewezen

Wanneer u Microsoft Sentinel-specifieke Azure-rollen toewijst, kunt u andere Azure- en Log Analytics-rollen tegenkomen die voor andere doeleinden aan gebruikers kunnen worden toegewezen. Met deze rollen verleent u een bredere set machtigingen die toegang bieden tot uw Microsoft Sentinel-werkruimte en andere resources:

  • Azure-rollen: Eigenaar, Inzender en Lezer. Azure-rollen bieden toegang tot al uw Azure-resources, waaronder Log Analytics-werkruimten en Microsoft Sentinel-resources.

  • Log Analytics-rollen: Inzender voor Log Analytics en Log Analytics Reader. Log Analytics-rollen bieden toegang tot uw Log Analytics-werkruimten.

Een gebruiker die bijvoorbeeld de rol Microsoft Sentinel Reader heeft toegewezen, maar niet de rol Microsoft Sentinel-inzender, kan nog steeds items bewerken in Microsoft Sentinel, als die gebruiker ook de rol Inzender op Azure-niveau heeft toegewezen. Als u daarom alleen machtigingen wilt verlenen aan een gebruiker in Microsoft Sentinel, moet u de voorafgaande machtigingen van deze gebruiker zorgvuldig verwijderen, zodat u geen toegang tot een andere resource breekt.

Microsoft Sentinel-rollen, -machtigingen en toegestane acties

Deze tabel bevat een overzicht van de Microsoft Sentinel-rollen en de toegestane acties in Microsoft Sentinel.

Role Playbooks weergeven en uitvoeren Playbooks maken en bewerken Analyseregels, werkmappen en andere Microsoft Sentinel-resources maken en bewerken Incidenten beheren (sluiten, toewijzen, enzovoort) Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven Inhoud installeren en beheren vanuit de inhoudshub
Microsoft Sentinel Reader -- -- --* -- --
Microsoft Sentinel Responder -- -- --* --
Microsoft Sentinel-inzender -- --
Microsoft Sentinel Playbook Operator -- -- -- -- --
Inzender voor logische apps -- -- -- --

* Gebruikers met deze rollen kunnen werkmappen maken en verwijderen met de rol Inzender voor werkmappen. Meer informatie over andere rollen en machtigingen.

Bekijk de aanbevelingen voor rollen voor welke rollen u wilt toewijzen aan welke gebruikers in uw SOC.

Aangepaste rollen en geavanceerde Azure RBAC

Aanbevelingen voor rollen en machtigingen

Nadat u weet hoe rollen en machtigingen werken in Microsoft Sentinel, kunt u deze aanbevolen procedures voor het toepassen van rollen op uw gebruikers bekijken:

Gebruikerstype Role Resourcegroep Beschrijving
Beveiligingsanalisten Microsoft Sentinel Responder Resourcegroep van Microsoft Sentinel Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven.

Incidenten beheren, zoals het toewijzen of negeren van incidenten.
Microsoft Sentinel Playbook Operator De resourcegroep van Microsoft Sentinel of de resourcegroep waarin uw playbooks zijn opgeslagen Koppel playbooks aan analyse- en automatiseringsregels.
Playbooks uitvoeren.
Beveiligingstechnici Microsoft Sentinel-inzender Resourcegroep van Microsoft Sentinel Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven.

Incidenten beheren, zoals het toewijzen of negeren van incidenten.

Werkmappen, analyseregels en andere Microsoft Sentinel-resources maken en bewerken.

Oplossingen installeren en bijwerken vanuit inhoudshub.
Logic Apps-inzender De resourcegroep van Microsoft Sentinel of de resourcegroep waarin uw playbooks zijn opgeslagen Koppel playbooks aan analyse- en automatiseringsregels.
Playbooks uitvoeren en wijzigen.
Service-principal Microsoft Sentinel-inzender Resourcegroep van Microsoft Sentinel Geautomatiseerde configuratie voor beheertaken

Mogelijk zijn er meer rollen vereist, afhankelijk van de gegevens die u opneemt of bewaakt. Microsoft Entra-rollen kunnen bijvoorbeeld vereist zijn, zoals de rol Beveiligingsbeheerder, om gegevensconnectors in te stellen voor services in andere Microsoft-portals.

Toegangsbeheer op basis van resources

Mogelijk hebt u bepaalde gebruikers die alleen toegang nodig hebben tot specifieke gegevens in uw Microsoft Sentinel-werkruimte, maar die geen toegang moeten hebben tot de hele Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een team buiten beveiligingsbewerkingen toegang geven tot de Windows-gebeurtenisgegevens voor de servers waarvan ze eigenaar zijn.

In dergelijke gevallen wordt u aangeraden uw op rollen gebaseerd toegangsbeheer (RBAC) te configureren op basis van de resources die uw gebruikers mogen toestaan, in plaats van hen toegang te geven tot de Microsoft Sentinel-werkruimte of specifieke Microsoft Sentinel-functies. Deze methode wordt ook wel resourcecontext-RBAC ingesteld. Zie Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.

Volgende stappen

In dit artikel hebt u geleerd hoe u kunt werken met rollen voor Microsoft Sentinel-gebruikers en wat gebruikers met elke rol kunnen doen.