Rollen en machtigingen in Microsoft Sentinel
In dit artikel wordt uitgelegd hoe Microsoft Sentinel machtigingen toewijst aan gebruikersrollen en de toegestane acties voor elke rol identificeert. Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen te bieden die kunnen worden toegewezen aan gebruikers, groepen en services in Azure. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Gebruik Azure RBAC om rollen te maken en toe te wijzen binnen uw beveiligingsteam om de juiste toegang te verlenen tot Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat Microsoft Sentinel-gebruikers kunnen zien en doen. Azure-rollen kunnen rechtstreeks in de Microsoft Sentinel-werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, waarvan Microsoft Sentinel deel uitmaakt.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Rollen en machtigingen voor het werken in Microsoft Sentinel
Verdeel de juiste toegang tot de gegevens in uw werkruimte met behulp van ingebouwde rollen. Mogelijk moet u meer rollen of specifieke machtigingen verlenen, afhankelijk van de taaktaken van een gebruiker.
Microsoft Sentinel-specifieke rollen
Alle ingebouwde Microsoft Sentinel-rollen verlenen leestoegang tot de gegevens in uw Microsoft Sentinel-werkruimte.
De Microsoft Sentinel-lezer kan gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources bekijken.
Microsoft Sentinel Responder kan, naast de machtigingen voor Microsoft Sentinel Reader, incidenten beheren, zoals het toewijzen, negeren en wijzigen van incidenten.
Microsoft Sentinel-inzender kan, naast de machtigingen voor Microsoft Sentinel Responder, oplossingen van inhoudshub installeren en bijwerken, en Microsoft Sentinel-resources maken en bewerken, zoals werkmappen, analyseregels en meer.
Microsoft Sentinel Playbook Operator kan playbooks weergeven, weergeven en handmatig uitvoeren.
Met Inzender voor Microsoft Sentinel Automation kan Microsoft Sentinel playbooks toevoegen aan automatiseringsregels. Het is niet bedoeld voor gebruikersaccounts.
Wijs deze rollen toe aan de resourcegroep die de Microsoft Sentinel-werkruimte bevat voor de beste resultaten. Op deze manier zijn de rollen van toepassing op alle resources die Microsoft Sentinel ondersteunen, omdat deze resources ook in dezelfde resourcegroep moeten worden geplaatst.
Als een andere optie kunt u de rollen rechtstreeks toewijzen aan de Microsoft Sentinel-werkruimte zelf. Als u dat doet, moet u dezelfde rollen toewijzen aan de SecurityInsights-oplossingsresource in die werkruimte. Mogelijk moet u ze ook toewijzen aan andere resources en voortdurend roltoewijzingen aan de resources beheren.
Andere rollen en machtigingen
Gebruikers met bepaalde taakvereisten moeten mogelijk andere rollen of specifieke machtigingen toewijzen om hun taken uit te voeren.
Out-of-the-box-inhoud installeren en beheren
Zoek verpakte oplossingen voor end-to-endproducten of zelfstandige inhoud van de inhoudshub in Microsoft Sentinel. Als u inhoud wilt installeren en beheren vanuit de inhoudshub, wijst u de rol Microsoft Sentinel-inzender toe op het niveau van de resourcegroep.
Reacties op bedreigingen automatiseren met playbooks
Microsoft Sentinel maakt gebruik van playbooks voor geautomatiseerde reactie op bedreigingen. Playbooks zijn gebaseerd op Azure Logic Apps en zijn een afzonderlijke Azure-resource. Voor specifieke leden van uw beveiligingsteam wilt u mogelijk de mogelijkheid toewijzen om SOAR-bewerkingen (Logic Apps for Security Orchestration, Automation and Response) te gebruiken. U kunt de rol Microsoft Sentinel Playbook Operator gebruiken om expliciete, beperkte machtigingen voor het uitvoeren van playbooks en de rol Inzender voor logische apps toe te wijzen om playbooks te maken en te bewerken.
Microsoft Sentinel-machtigingen geven om playbooks uit te voeren
Microsoft Sentinel gebruikt een speciaal serviceaccount om playbooks met incidenttriggers handmatig uit te voeren of om ze aan te roepen vanuit automatiseringsregels. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service.
Voor een automatiseringsregel om een playbook uit te voeren, moet dit account expliciete machtigingen krijgen voor de resourcegroep waarin het playbook zich bevindt. Op dat moment kan elke automatiseringsregel elk playbook in die resourcegroep uitvoeren. Als u deze machtigingen wilt verlenen aan dit serviceaccount, moet uw account eigenaarsmachtigingen hebben voor de resourcegroepen met de playbooks.
Verbinding maken gegevensbronnen naar Microsoft Sentinel
Een gebruiker kan alleen gegevensconnectors toevoegen als u schrijfmachtigingen voor de Microsoft Sentinel-werkruimte toewijst. Let op de vereiste extra machtigingen voor elke connector, zoals vermeld op de relevante connectorpagina.
Gastgebruikers toestaan incidenten toe te wijzen
Als een gastgebruiker incidenten moet kunnen toewijzen, moet u de rol Adreslijstlezer toewijzen aan de gebruiker, naast de rol Microsoft Sentinel Responder. De rol Adreslijstlezer is geen Azure-rol, maar een Microsoft Entra-rol en gewone (niet-guest)-gebruikers hebben deze rol standaard toegewezen.
Werkmappen maken en verwijderen
Als u een Microsoft Sentinel-werkmap wilt maken en verwijderen, heeft de gebruiker de rol Microsoft Sentinel-inzender of een mindere Microsoft Sentinel-rol nodig, samen met de Azure Monitor-rol Werkmapbijdrager. Deze rol is niet nodig voor het gebruik van werkmappen, alleen voor het maken en verwijderen.
Azure- en Log Analytics-rollen die u mogelijk ziet toegewezen
Wanneer u Microsoft Sentinel-specifieke Azure-rollen toewijst, kunt u andere Azure- en Log Analytics-rollen tegenkomen die voor andere doeleinden aan gebruikers kunnen worden toegewezen. Met deze rollen verleent u een bredere set machtigingen die toegang bieden tot uw Microsoft Sentinel-werkruimte en andere resources:
Azure-rollen: Eigenaar, Inzender en Lezer. Azure-rollen bieden toegang tot al uw Azure-resources, waaronder Log Analytics-werkruimten en Microsoft Sentinel-resources.
Log Analytics-rollen: Inzender voor Log Analytics en Log Analytics Reader. Log Analytics-rollen bieden toegang tot uw Log Analytics-werkruimten.
Een gebruiker die bijvoorbeeld de rol Microsoft Sentinel Reader heeft toegewezen, maar niet de rol Microsoft Sentinel-inzender, kan nog steeds items bewerken in Microsoft Sentinel, als die gebruiker ook de rol Inzender op Azure-niveau heeft toegewezen. Als u daarom alleen machtigingen wilt verlenen aan een gebruiker in Microsoft Sentinel, moet u de voorafgaande machtigingen van deze gebruiker zorgvuldig verwijderen, zodat u geen toegang tot een andere resource breekt.
Microsoft Sentinel-rollen, -machtigingen en toegestane acties
Deze tabel bevat een overzicht van de Microsoft Sentinel-rollen en de toegestane acties in Microsoft Sentinel.
| Role | Playbooks weergeven en uitvoeren | Playbooks maken en bewerken | Analyseregels, werkmappen en andere Microsoft Sentinel-resources maken en bewerken | Incidenten beheren (sluiten, toewijzen, enzovoort) | Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven | Inhoud installeren en beheren vanuit de inhoudshub |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel-inzender | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook Operator | ✓ | -- | -- | -- | -- | -- |
| Inzender voor logische apps | ✓ | ✓ | -- | -- | -- | -- |
* Gebruikers met deze rollen kunnen werkmappen maken en verwijderen met de rol Inzender voor werkmappen. Meer informatie over andere rollen en machtigingen.
Bekijk de aanbevelingen voor rollen voor welke rollen u wilt toewijzen aan welke gebruikers in uw SOC.
Aangepaste rollen en geavanceerde Azure RBAC
Aangepaste rollen. Naast of in plaats van ingebouwde Azure-rollen kunt u aangepaste Azure-rollen maken voor Microsoft Sentinel. U maakt aangepaste Azure-rollen voor Microsoft Sentinel op dezelfde manier als aangepaste Azure-rollen, op basis van specifieke machtigingen voor Microsoft Sentinel en azure Log Analytics-resources.
Log Analytics RBAC. U kunt de geavanceerde Azure RBAC van Log Analytics gebruiken voor de gegevens in uw Microsoft Sentinel-werkruimte. Dit omvat zowel op gegevenstypen gebaseerde Azure RBAC als resourcecontext azure RBAC. Zie voor meer informatie:
- Logboekgegevens en werkruimten beheren in Azure Monitor
- Resourcecontext RBAC voor Microsoft Sentinel
- RBAC op tabelniveau
Resourcecontext en RBAC op tabelniveau zijn twee manieren om toegang te verlenen tot specifieke gegevens in uw Microsoft Sentinel-werkruimte, zonder toegang te verlenen tot de volledige Microsoft Sentinel-ervaring.
Aanbevelingen voor rollen en machtigingen
Nadat u weet hoe rollen en machtigingen werken in Microsoft Sentinel, kunt u deze aanbevolen procedures voor het toepassen van rollen op uw gebruikers bekijken:
| Gebruikerstype | Role | Resourcegroep | Beschrijving |
|---|---|---|---|
| Beveiligingsanalisten | Microsoft Sentinel Responder | Resourcegroep van Microsoft Sentinel | Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven. Incidenten beheren, zoals het toewijzen of negeren van incidenten. |
| Microsoft Sentinel Playbook Operator | De resourcegroep van Microsoft Sentinel of de resourcegroep waarin uw playbooks zijn opgeslagen | Koppel playbooks aan analyse- en automatiseringsregels. Playbooks uitvoeren. |
|
| Beveiligingstechnici | Microsoft Sentinel-inzender | Resourcegroep van Microsoft Sentinel | Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven. Incidenten beheren, zoals het toewijzen of negeren van incidenten. Werkmappen, analyseregels en andere Microsoft Sentinel-resources maken en bewerken. Oplossingen installeren en bijwerken vanuit inhoudshub. |
| Logic Apps-inzender | De resourcegroep van Microsoft Sentinel of de resourcegroep waarin uw playbooks zijn opgeslagen | Koppel playbooks aan analyse- en automatiseringsregels. Playbooks uitvoeren en wijzigen. |
|
| Service-principal | Microsoft Sentinel-inzender | Resourcegroep van Microsoft Sentinel | Geautomatiseerde configuratie voor beheertaken |
Mogelijk zijn er meer rollen vereist, afhankelijk van de gegevens die u opneemt of bewaakt. Microsoft Entra-rollen kunnen bijvoorbeeld vereist zijn, zoals de rollen Global Beheer istrator of Security Beheer istrator, om gegevensconnectors in te stellen voor services in andere Microsoft-portals.
Toegangsbeheer op basis van resources
Mogelijk hebt u bepaalde gebruikers die alleen toegang nodig hebben tot specifieke gegevens in uw Microsoft Sentinel-werkruimte, maar die geen toegang moeten hebben tot de hele Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een team buiten beveiligingsbewerkingen toegang geven tot de Windows-gebeurtenisgegevens voor de servers waarvan ze eigenaar zijn.
In dergelijke gevallen wordt u aangeraden uw op rollen gebaseerd toegangsbeheer (RBAC) te configureren op basis van de resources die uw gebruikers mogen toestaan, in plaats van hen toegang te geven tot de Microsoft Sentinel-werkruimte of specifieke Microsoft Sentinel-functies. Deze methode wordt ook wel resourcecontext-RBAC ingesteld. Zie Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.
Volgende stappen
In dit artikel hebt u geleerd hoe u kunt werken met rollen voor Microsoft Sentinel-gebruikers en wat gebruikers met elke rol kunnen doen.