Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe Microsoft Sentinel machtigingen toewijst aan gebruikersrollen voor zowel Microsoft Sentinel SIEM als Microsoft Sentinel Data Lake, waarmee de toegestane acties voor elke rol worden geïdentificeerd.
Microsoft Sentinel maakt gebruik van Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) om ingebouwde en aangepaste rollen te bieden voor Microsoft Sentinel SIEM en Microsoft Entra ID op rollen gebaseerd toegangsbeheer ( Microsoft Entra ID RBAC) om ingebouwde en aangepaste rollen te bieden voor Microsoft Sentinel Data Lake.
U kunt rollen toewijzen aan gebruikers, groepen en services in Azure of Microsoft Entra ID.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Opmerking
Als u het Microsoft Defender XDR preview-programma uitvoert, kunt u nu het nieuwe Microsoft Defender URBAC-model (Unified Role-Based Access Control) ervaren. Zie Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Ingebouwde Azure-rollen voor Microsoft Sentinel
De volgende ingebouwde Azure rollen worden gebruikt voor Microsoft Sentinel SIEM en verlenen leestoegang tot de werkruimtegegevens, inclusief ondersteuning voor de Microsoft Sentinel Data Lake. Wijs deze rollen toe op het niveau van de resourcegroep voor de beste resultaten.
| Rol | SIEM-ondersteuning | Ondersteuning voor Data Lake |
|---|---|---|
| Microsoft Sentinel lezer | Gegevens, incidenten, werkmappen, aanbevelingen en andere resources weergeven | Krijg toegang tot geavanceerde analyses en voer alleen interactieve query's uit op werkruimten. |
| Microsoft Sentinel responder | Alle lezermachtigingen, plus incidenten beheren | N.v.t. |
| Microsoft Sentinel inzender | Alle responder-machtigingen, plus installatie-/update-oplossingen, resources maken/bewerken | Krijg toegang tot geavanceerde analyses en voer alleen interactieve query's uit op werkruimten. |
| Microsoft Sentinel Playbook-operator | Playbooks weergeven, weergeven en handmatig uitvoeren | N.v.t. |
| Microsoft Sentinel Automation-inzender | Hiermee kunt Microsoft Sentinel playbooks toevoegen aan automatiseringsregels. Niet gebruikt voor gebruikersaccounts. | N.v.t. |
In de volgende tabel ziet u bijvoorbeeld voorbeelden van taken die elke rol kan uitvoeren in Microsoft Sentinel:
| Rol | Playbooks uitvoeren | Playbooks maken/bewerken | Analyseregels, werkmappen, enzovoort maken/bewerken. | Incidenten beheren | Gegevens, incidenten, werkmappen, aanbevelingen weergeven | Inhoudshub beheren |
|---|---|---|---|---|---|---|
| Microsoft Sentinel lezer | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel inzender | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook-operator | ✓ | -- | -- | -- | -- | -- |
| Inzender voor logische apps | ✓ | ✓ | -- | -- | -- | -- |
*Met de rol Werkmapbijdrager .
U wordt aangeraden rollen toe te wijzen aan de resourcegroep die de Microsoft Sentinel werkruimte bevat. Dit zorgt ervoor dat alle gerelateerde resources, zoals Logic Apps en playbooks, worden gedekt door dezelfde roltoewijzingen.
Wijs de rollen ook rechtstreeks toe aan de Microsoft Sentinel werkruimte zelf. Als u dat doet, moet u dezelfde rollen toewijzen aan de securityInsights-oplossingsresource in die werkruimte. Mogelijk moet u ze ook toewijzen aan andere resources en voortdurend roltoewijzingen aan de resources beheren.
Aanvullende rollen voor specifieke taken
Aan gebruikers met bepaalde taakvereisten moeten mogelijk andere rollen of specifieke machtigingen worden toegewezen om hun taken uit te voeren. Bijvoorbeeld:
| Taak | Vereiste rollen/machtigingen |
|---|---|
| Verbinding maken met gegevensbronnen | Schrijfmachtiging voor de werkruimte. Controleer de connectordocumenten op extra machtigingen die per connector zijn vereist. |
| Inhoud beheren vanuit Content Hub | Microsoft Sentinel inzender op het niveau van de resourcegroep |
| Antwoorden automatiseren met playbooks |
Microsoft Sentinel Playbook Operator om playbooks uit te voeren en Inzender voor logische apps om playbooks te maken/bewerken. Microsoft Sentinel maakt gebruik van playbooks voor geautomatiseerde reactie op bedreigingen. Playbooks zijn gebouwd op Azure Logic Apps en zijn een afzonderlijke Azure resource. Voor specifieke leden van uw beveiligingsteam wilt u misschien de mogelijkheid toewijzen om Logic Apps for Security Orchestration, Automation and Response (SOAR)-bewerkingen (Logic Apps for Security Orchestration, Automation and Response) te gebruiken. |
| Toestaan dat Microsoft Sentinel playbooks uitvoert via automatisering | Serviceaccount heeft expliciete machtigingen nodig voor playbook-resourcegroep; uw account heeft eigenaarsmachtigingen nodig om deze toe te wijzen. Microsoft Sentinel gebruikt een speciaal serviceaccount om playbooks met incidenttriggers handmatig uit te voeren of om ze aan te roepen vanuit automatiseringsregels. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service. Als u een playbook wilt uitvoeren met een automatiseringsregel, moet dit account expliciete machtigingen hebben voor de resourcegroep waarin het playbook zich bevindt. Op dat moment kan elke automatiseringsregel elk playbook in die resourcegroep uitvoeren. |
| Gastgebruikers wijzen incidenten toe |
Maplezer AND Microsoft Sentinel responder De rol Maplezer is geen Azure rol, maar een Microsoft Entra ID rol en voor gewone gebruikers (niet-gastgebruikers) is deze rol standaard toegewezen. |
| Werkmappen maken/verwijderen | Microsoft Sentinel inzender of een minder Microsoft Sentinel rol EN werkmapbijdrager |
Andere Azure- en Log Analytics-rollen
Wanneer u Microsoft Sentinel-specifieke Azure-rollen toewijst, kunt u andere Azure- en Log Analytics-rollen tegenkomen die mogelijk voor andere doeleinden aan gebruikers worden toegewezen. Deze rollen verlenen een bredere set machtigingen, waaronder toegang tot uw Microsoft Sentinel werkruimte en andere resources:
- Azure rollen:Eigenaar, Inzender, Lezer: ververleent brede toegang tot Azure resources.
- Log Analytics-rollen:Log Analytics-inzender, Log Analytics-lezer : toegang verlenen tot Log Analytics-werkruimten.
Belangrijk
Roltoewijzingen zijn cumulatief. Een gebruiker met zowel Microsoft Sentinel de rol Lezer als Inzender heeft mogelijk meer machtigingen dan bedoeld.
Aanbevolen roltoewijzingen voor Microsoft Sentinel gebruikers
| Gebruikerstype | Rol | Resourcegroep | Beschrijving |
|---|---|---|---|
| Beveiligingsanalisten | Microsoft Sentinel responder | Microsoft Sentinel resourcegroep | Incidenten, gegevens en werkmappen weergeven/beheren |
| Microsoft Sentinel Playbook-operator | resourcegroep Microsoft Sentinel/playbook | Playbooks bijvoegen/uitvoeren | |
| Beveiligingstechnici | Microsoft Sentinel inzender | Microsoft Sentinel resourcegroep | Incidenten, inhoud en resources beheren |
| Inzender voor logische apps | resourcegroep Microsoft Sentinel/playbook | Playbooks uitvoeren/wijzigen | |
| Service-principal | Microsoft Sentinel inzender | Microsoft Sentinel resourcegroep | Geautomatiseerde beheertaken |
Rollen en machtigingen voor de Microsoft Sentinel Data Lake
Als u de Microsoft Sentinel Data Lake wilt gebruiken, moet uw werkruimte worden toegevoegd aan de Defender-portal en de Microsoft Sentinel Data Lake.
leesmachtigingen voor data lake Microsoft Sentinel
Microsoft Entra ID rollen bieden brede toegang tot alle inhoud in de Data Lake. Gebruik de volgende rollen om leestoegang te bieden tot alle werkruimten in de Microsoft Sentinel data lake, zoals voor het uitvoeren van query's.
| Machtigingstype | Ondersteunde rollen |
|---|---|
| Leestoegang voor alle werkruimten | Gebruik een van de volgende Microsoft Entra ID rollen: - Globale lezer - Beveiligingslezer - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
U kunt ook de mogelijkheid toewijzen om tabellen te lezen vanuit een specifieke werkruimte. Gebruik in dergelijke gevallen een van de volgende opties:
| Taken | Machtigingen |
|---|---|
| Leesmachtigingen voor de systeemtabellen | Gebruik een aangepaste Microsoft Defender XDR geïntegreerde RBAC-rol met basismachtigingen voor beveiligingsgegevens (lees) voor de Microsoft Sentinel gegevensverzameling. |
| Leesmachtigingen voor elke andere werkruimte die is ingeschakeld voor Microsoft Sentinel in de Data Lake | Gebruik een van de volgende ingebouwde rollen in Azure RBAC voor machtigingen voor die werkruimte: - Log Analytics-lezer - Log Analytics-inzender - Microsoft Sentinel inzender - Microsoft Sentinel lezer - Lezer - Inzender - Eigenaar |
schrijfmachtigingen voor data lake Microsoft Sentinel
Microsoft Entra ID rollen biedt brede toegang tot alle werkruimten in de Data Lake. Gebruik de volgende rollen om schrijftoegang te bieden tot de Microsoft Sentinel Data Lake-tabellen:
| Machtigingstype | Ondersteunde rollen |
|---|---|
| Schrijven naar tabellen in de analyselaag met behulp van KQL-taken of notebooks | Gebruik een van de volgende Microsoft Entra ID rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Schrijven naar tabellen in de Microsoft Sentinel Data Lake | Gebruik een van de volgende Microsoft Entra ID rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
U kunt ook de mogelijkheid om uitvoer te schrijven toewijzen aan een specifieke werkruimte. Dit kan de mogelijkheid omvatten om connectors voor die werkruimte te configureren, bewaarinstellingen voor tabellen in de werkruimte te wijzigen of aangepaste tabellen in die werkruimte te maken, bij te werken en te verwijderen. Gebruik in dergelijke gevallen een van de volgende opties:
| Taken | Machtigingen |
|---|---|
| Systeemtabellen in data lake bijwerken | Gebruik een aangepaste Microsoft Defender XDR geïntegreerde RBAC-rol met gegevensmachtigingen (beheren) voor de Microsoft Sentinel gegevensverzameling. |
| Voor andere Microsoft Sentinel werkruimte in de data lake | Gebruik een ingebouwde of aangepaste rol met de volgende Azure RBAC Microsoft Operational Insights-machtigingen voor die werkruimte: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Bijvoorbeeld ingebouwde rollen met deze machtigingen Log Analytics-inzender, Eigenaar en Inzender. |
Taken beheren in de Microsoft Sentinel data lake
Als u geplande taken wilt maken of taken wilt beheren in de Microsoft Sentinel Data Lake, moet u een van de volgende Microsoft Entra ID rollen hebben:
Aangepaste rollen en geavanceerde RBAC
Als u de toegang tot specifieke gegevens wilt beperken, maar niet tot de hele werkruimte, gebruikt u RBAC op resourcecontext of RBAC op tabelniveau. Dit is handig voor teams die alleen toegang nodig hebben tot bepaalde gegevenstypen of tabellen.
Gebruik anders een van de volgende opties voor geavanceerde RBAC:
- Gebruik Azure aangepaste rollen voor Microsoft Sentinel SIEM-toegang.
- Gebruik voor de Microsoft Sentinel data lake Defender XDR geïntegreerde aangepaste RBAC-rollen.
Verwante onderwerpen
Zie Logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie