Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe Microsoft Sentinel machtigingen toewijst aan gebruikersrollen voor zowel Microsoft Sentinel SIEM als Microsoft Sentinel Data Lake, waarmee de toegestane acties voor elke rol worden geïdentificeerd.
Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde en aangepaste rollen te bieden voor Microsoft Sentinel SIEM en Op rollen gebaseerd toegangsbeheer van Microsoft Entra ID (Microsoft Entra ID RBAC) om ingebouwde en aangepaste rollen te bieden voor Microsoft Sentinel Data Lake.
U kunt rollen toewijzen aan gebruikers, groepen en services in Azure of Microsoft Entra-id.
Important
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Important
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u geen bestaande rol kunt gebruiken.
Ingebouwde Azure-rollen voor Microsoft Sentinel
De volgende ingebouwde Azure-rollen worden gebruikt voor Microsoft Sentinel SIEM en verlenen leestoegang tot de werkruimtegegevens, waaronder ondersteuning voor microsoft Sentinel data lake. Wijs deze rollen toe op het niveau van de resourcegroep voor de beste resultaten.
| Role | SIEM-ondersteuning | Ondersteuning voor Data Lake |
|---|---|---|
| Microsoft Sentinel-lezer | Gegevens, incidenten, werkmappen en andere resources weergeven | Krijg toegang tot geavanceerde analyses en voer alleen interactieve query's uit op werkruimten. |
| Microsoft Sentinel Responder | Alle lezermachtigingen, plus incidenten beheren | N/A |
| Microsoft Sentinel-inzender | Alle machtigingen voor responders, plus oplossingen installeren/bijwerken, resources creëren/bewerken | Krijg toegang tot geavanceerde analyses en voer alleen interactieve query's uit op werkruimten. |
| Microsoft Sentinel Draaiboekbeheerder | Lijsten, weergeven en handmatig uitvoeren van playbooks | N/A |
| Inzender voor Microsoft Sentinel Automation | Hiermee kan Microsoft Sentinel playbooks toevoegen aan automatiseringsregels. Niet gebruikt voor gebruikersaccounts. | N/A |
In de volgende tabel ziet u bijvoorbeeld voorbeelden van taken die elke rol kan uitvoeren in Microsoft Sentinel:
| Role | Playbooks uitvoeren | Playbooks maken/bewerken | Analyseregels, werkmappen, enzovoort maken/bewerken. | Incidenten beheren | Gegevens, incidenten, werkmappen weergeven | Inhoudshub beheren |
|---|---|---|---|---|---|---|
| Microsoft Sentinel-lezer | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel-inzender | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Draaiboekbeheerder | ✓ | -- | -- | -- | -- | -- |
| Inzender voor logische apps | ✓ | ✓ | -- | -- | -- | -- |
*Met de rol Inzender voor werkmappen .
U wordt aangeraden rollen toe te wijzen aan de resourcegroep die de Microsoft Sentinel-werkruimte bevat. Dit zorgt ervoor dat alle gerelateerde resources, zoals Logic Apps en playbooks, worden gedekt door dezelfde roltoewijzingen.
Als een andere optie kunt u de rollen rechtstreeks toewijzen aan de Microsoft Sentinel-werkruimte zelf. Als u dat doet, moet u dezelfde rollen toewijzen aan de SecurityInsights-oplossingsresource in die werkruimte. Mogelijk moet u ze ook toewijzen aan andere resources en voortdurend roltoewijzingen aan de resources beheren.
Aanvullende rollen voor specifieke taken
Gebruikers met specifieke taakvereisten moeten mogelijk andere rollen of specifieke machtigingen krijgen toegewezen om hun taken te volbrengen. Voorbeeld:
| Task | Vereiste rollen/machtigingen |
|---|---|
| Verbinding maken met gegevensbronnen | Schrijfmachtiging voor de werkruimte. Raadpleeg connectordocumenten voor extra machtigingen die per connector zijn vereist. |
| Inhoud beheren vanuit Content Hub | Microsoft Sentinel-inzender op het niveau van de resourcegroep |
| Antwoorden automatiseren met playbooks |
Microsoft Sentinel Playbook Operator, om playbooks uit te voeren en Inzender voor logische apps om playbooks te maken/bewerken. Microsoft Sentinel maakt gebruik van playbooks voor geautomatiseerde reactie op bedreigingen. Playbooks zijn gebaseerd op Azure Logic Apps en zijn een afzonderlijke Azure-resource. Voor specifieke leden van uw beveiligingsteam wilt u mogelijk de mogelijkheid toewijzen om SOAR-bewerkingen (Logic Apps for Security Orchestration, Automation and Response) te gebruiken. |
| Microsoft Sentinel toestaan om playbooks uit te voeren via automatisering | Serviceaccount heeft expliciete machtigingen nodig voor de playbook-resourcegroep; uw account heeft Eigenaarsmachtigingen nodig om deze toe te kennen. Microsoft Sentinel gebruikt een speciaal serviceaccount om incidentgestuurde playbooks handmatig uit te voeren of om ze op te roepen vanuit automatiseringsregels. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service. Opdat een automatiseringsregel een playbook kan uitvoeren, moet dit account expliciete machtigingen krijgen bij de resourcegroep waarin het playbook zich bevindt. Op dat moment kan elke automatiseringsregel elk playbook in die resourcegroep uitvoeren. |
| Gastgebruikers wijzen incidenten toe |
Directory-lezer AND Microsoft Sentinel Responder De rol Adreslijstlezer is geen Azure-rol, maar een Microsoft Entra-id-rol en gewone (niet-guest)-gebruikers hebben deze rol standaard toegewezen. |
| Werkmappen maken/verwijderen | Microsoft Sentinel-inzender of een mindere Microsoft Sentinel-rol AND Workbook Contributor |
Andere Azure- en Log Analytics-rollen
Wanneer u Microsoft Sentinel-specifieke Azure-rollen toewijst, kunt u andere Azure- en Log Analytics-rollen tegenkomen die voor andere doeleinden aan gebruikers kunnen worden toegewezen. Met deze rollen verleent u een bredere set machtigingen die toegang bieden tot uw Microsoft Sentinel-werkruimte en andere resources:
- Azure-rollen:Eigenaar, Inzender, Lezer: ververleent brede toegang tot Alle Azure-resources.
- Log Analytics-rollen:Inzender voor Log Analytics, Log Analytics Reader: verlenen toegang tot Log Analytics-werkruimten.
Important
Roltoewijzingen zijn cumulatief. Een gebruiker met de rollen Microsoft Sentinel Reader en Inzender heeft mogelijk meer machtigingen dan bedoeld.
Aanbevolen roltoewijzingen voor Microsoft Sentinel-gebruikers
| Gebruikerstype | Role | Bronnengroep | Description |
|---|---|---|---|
| Beveiligingsanalisten | Microsoft Sentinel Responder | Microsoft Sentinel-resourcegroep | Incidenten, gegevens, werkmappen weergeven/beheren |
| Microsoft Sentinel Playbook Operator | Microsoft Sentinel/playbook resourcegroep | Playbooks koppelen/uitvoeren | |
| Beveiligingstechnici | Microsoft Sentinel-inzender | Microsoft Sentinel-resourcegroep | Incidenten, inhoud, resources beheren |
| Inzender voor logische apps | Microsoft Sentinel/playbook resourcegroep | Playbooks uitvoeren/wijzigen | |
| Service-principal | Microsoft Sentinel-inzender | Microsoft Sentinel-resourcegroep | Geautomatiseerde beheertaken |
Rollen en machtigingen voor de Microsoft Sentinel Data Lake
Als u de Data Lake van Microsoft Sentinel wilt gebruiken, moet uw werkruimte worden toegevoegd aan de Defender-portal en de Microsoft Sentinel-data lake.
Leesmachtigingen voor Microsoft Sentinel data lake
Microsoft Entra ID-rollen bieden brede toegang voor alle inhoud in de data lake. Gebruik de volgende rollen om leestoegang te bieden tot alle werkruimten in de Data Lake van Microsoft Sentinel, zoals voor het uitvoeren van query's.
| Machtigingstype | Ondersteunde rollen |
|---|---|
| Leestoegang in alle werkruimten | Gebruik een van de volgende Microsoft Entra ID-rollen: - Globale lezer - Beveiligingslezer - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
U kunt ook de mogelijkheid toewijzen om tabellen te lezen vanuit een specifieke werkruimte. In dergelijke gevallen gebruikt u een van de volgende opties:
| Tasks | Permissions |
|---|---|
| Leesmachtigingen voor de systeemtabellen | Gebruik een aangepaste RBAC-rol van Microsoft Defender XDR met basismachtigingen voor beveiligingsgegevens (leesmachtigingen) voor de gegevensverzameling van Microsoft Sentinel. |
| Leesmachtigingen voor elke andere werkruimte die is ingeschakeld voor Microsoft Sentinel in de data lake | Gebruik een van de volgende ingebouwde rollen in Azure RBAC voor machtigingen voor die werkruimte: - Log Analytics Reader - Inzender van Log Analytics - Microsoft Sentinel-inzender - Microsoft Sentinel Reader - Lezer - Donateur - Eigenaar |
Schrijfmachtigingen voor Microsoft Sentinel data lake
Microsoft Entra ID-rollen bieden brede toegang tot alle werkruimten in de data lake. Gebruik de volgende rollen om schrijftoegang te bieden tot de Data Lake-tabellen van Microsoft Sentinel:
| Machtigingstype | Ondersteunde rollen |
|---|---|
| Schrijven naar tabellen in de analyselaag met behulp van KQL-taken of notebooks | Gebruik een van de volgende Microsoft Entra ID-rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Schrijven naar tabellen in microsoft Sentinel data lake | Gebruik een van de volgende Microsoft Entra ID-rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
U kunt ook de mogelijkheid toewijzen om uitvoer naar een specifieke werkruimte te schrijven. Dit kan de mogelijkheid omvatten om connectors naar die werkruimte te configureren, bewaarinstellingen voor tabellen in de werkruimte te wijzigen of aangepaste tabellen in die werkruimte te maken, bij te werken en te verwijderen. In dergelijke gevallen gebruikt u een van de volgende opties:
| Tasks | Permissions |
|---|---|
| Systeemtabellen in data lake bijwerken | Gebruik een aangepaste RBAC-rol van Microsoft's Defender XDR met gegevensrechten (beheren) over de dataverzameling van Microsoft Sentinel. |
| Voor elke andere Microsoft Sentinel-werkruimte in de data lake | Gebruik een ingebouwde of aangepaste rol met de volgende azure RBAC Microsoft Operational Insights-machtigingen voor die werkruimte: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Ingebouwde rollen die deze machtigingen bevatten, zoals Log Analytics-inzender, Eigenaar en Inzender. |
Taken beheren in microsoft Sentinel Data Lake
Als u geplande taken wilt maken of taken wilt beheren in de Data Lake van Microsoft Sentinel, moet u een van de volgende Microsoft Entra ID-rollen hebben:
Aangepaste rollen en geavanceerde rolgebaseerde toegangscontrole (RBAC)
Als u de toegang tot specifieke gegevens wilt beperken, maar niet de hele werkruimte, gebruikt u RBAC of RBAC op tabelniveau. Dit is handig voor teams die alleen toegang nodig hebben tot bepaalde gegevenstypen of tabellen.
Gebruik anders een van de volgende opties voor geavanceerde RBAC:
- Gebruik aangepaste Azure-rollen voor toegang tot Microsoft Sentinel SIEM.
- Gebruik voor de Microsoft Sentinel Data Lake de aangepaste, geïntegreerde RBAC-rollen van Defender XDR.
Verwante inhoud
Zie Logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie