Role i uprawnienia w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak usługa Microsoft Sentinel przypisuje uprawnienia do ról użytkownika i identyfikuje dozwolone akcje dla każdej roli. Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach platformy Azure (RBAC) platformy Azure w celu zapewnienia wbudowanych ról , które można przypisać do użytkowników, grup i usług na platformie Azure.

Użyj kontroli dostępu opartej na rolach platformy Azure, aby utworzyć i przypisać role w zespole ds. operacji zabezpieczeń w celu udzielenia odpowiedniego dostępu do usługi Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym usługi Microsoft Sentinel (patrz uwaga poniżej) lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który dziedziczy usługa Microsoft Sentinel.

Role i uprawnienia do pracy w usłudze Microsoft Sentinel

Role specyficzne dla usługi Microsoft Sentinel

Wszystkie wbudowane role usługi Microsoft Sentinel zapewniają dostęp do odczytu do danych w obszarze roboczym usługi Microsoft Sentinel.

Uwaga

  • Aby uzyskać najlepsze wyniki, przypisz te role do grupy zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. W ten sposób role mają zastosowanie do wszystkich zasobów, które obsługują usługę Microsoft Sentinel, ponieważ te zasoby powinny być również umieszczane w tej samej grupie zasobów.

  • W ramach innej opcji przypisz role bezpośrednio do samego obszaru roboczego usługi Microsoft Sentinel. Jeśli to zrobisz, musisz również przypisać te same role do zasobu rozwiązania SecurityInsights w tym obszarze roboczym. Może być konieczne również przypisanie ich do innych zasobów i trzeba będzie stale zarządzać przypisaniami ról do zasobów.

Inne role i uprawnienia

Użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień w celu wykonania zadań.

  • Praca z podręcznikami w celu zautomatyzowania odpowiedzi na zagrożenia

    Usługa Microsoft Sentinel używa podręczników do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem platformy Azure. W przypadku określonych członków zespołu ds. operacji zabezpieczeń możesz przypisać możliwość korzystania z operacji orkiestracji, automatyzacji i odpowiedzi (SOAR) usługi Logic Apps for Security Apps. Możesz użyć roli Współautor aplikacji logiki , aby przypisać jawne uprawnienia do korzystania z podręczników.

  • Udzielanie uprawnień usługi Microsoft Sentinel do uruchamiania podręczników

    Usługa Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania podręczników wyzwalających zdarzenia lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi.

    Aby reguła automatyzacji uruchamiała podręcznik, to konto musi mieć jawne uprawnienia do grupy zasobów, w której znajduje się podręcznik. W tym momencie każda reguła automatyzacji może uruchamiać dowolny podręcznik w tej grupie zasobów. Aby przyznać te uprawnienia do tego konta usługi, twoje konto musi mieć uprawnienia właściciela do grup zasobów zawierających podręczniki.

  • Łączenie źródeł danych z usługą Microsoft Sentinel

    Aby użytkownik dodał łączniki danych, musisz przypisać uprawnienia do zapisu użytkownika w obszarze roboczym usługi Microsoft Sentinel. Zwróć uwagę na wymagane dodatkowe uprawnienia dla każdego łącznika, jak pokazano na odpowiedniej stronie łącznika.

  • Użytkownicy-goście przypisujący zdarzenia

    Jeśli użytkownik-gość musi mieć możliwość przypisywania zdarzeń, musisz przypisać czytelnika katalogu do użytkownika, oprócz roli osoby odpowiadającej usłudze Microsoft Sentinel. Należy pamiętać, że rola Czytelnik katalogu nie jest rolą platformy Azure, ale rolą usługi Azure Active Directory i że domyślnie przypisana ta rola jest domyślnie przypisana przez zwykłych użytkowników (innych niż goście).

  • Tworzenie i usuwanie skoroszytów

    Aby utworzyć i usunąć skoroszyt usługi Microsoft Sentinel, użytkownik musi mieć rolę Współautor usługi Microsoft Sentinel lub mniejszą rolę usługi Microsoft Sentinel wraz z rolą Współautor skoroszytu usługi Azure Monitor. Ta rola nie jest niezbędna do używania skoroszytów tylko do tworzenia i usuwania.

Przypisane role platformy Azure i usługi Log Analytics

Po przypisaniu ról platformy Azure specyficznych dla usługi Microsoft Sentinel możesz natknąć się na inne role platformy Azure i usługi Log Analytics, które mogły zostać przypisane do użytkowników w innych celach. Należy pamiętać, że te role zapewniają szerszy zestaw uprawnień, które obejmują dostęp do obszaru roboczego usługi Microsoft Sentinel i innych zasobów:

  • Role platformy Azure:Właściciel, Współautor i Czytelnik. Role platformy Azure udzielają dostępu do wszystkich zasobów platformy Azure, w tym obszarów roboczych usługi Log Analytics i zasobów usługi Microsoft Sentinel.

  • Role usługi Log Analytics:Współautor usługiLog Analytics i Czytelnik usługi Log Analytics. Role usługi Log Analytics zapewniają dostęp do obszarów roboczych usługi Log Analytics.

Na przykład użytkownik przypisał rolę Czytelnik usługi Microsoft Sentinel , ale nie rolę Współautor usługi Microsoft Sentinel , nadal może edytować elementy w usłudze Microsoft Sentinel, jeśli ten użytkownik ma również przypisaną rolę Współautor na poziomie platformy Azure. W związku z tym, jeśli chcesz udzielić uprawnień użytkownikowi tylko w usłudze Microsoft Sentinel, starannie usuń wcześniejsze uprawnienia tego użytkownika, upewniając się, że nie przerywasz żadnego wymaganego dostępu do innego zasobu.

Role, uprawnienia i dozwolone akcje usługi Microsoft Sentinel

Ta tabela zawiera podsumowanie ról usługi Microsoft Sentinel i ich dozwolonych akcji w usłudze Microsoft Sentinel.

Rola Tworzenie i uruchamianie podręczników Tworzenie i edytowanie reguł analizy, skoroszytów i innych zasobów usługi Microsoft Sentinel Zarządzanie zdarzeniami (odrzucanie, przypisywanie itp.) Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel
Czytelnik usługi Microsoft Sentinel -- --* --
Osoba odpowiadająca w usłudze Microsoft Sentinel -- --*
Współautor usługi Microsoft Sentinel --
Współautor usługi Microsoft Sentinel i współautor aplikacji logiki

* Użytkownicy z tymi rolami mogą tworzyć i usuwać skoroszyty z rolą Współautor skoroszytu . Dowiedz się więcej o innych rolach i uprawnieniach.

Zapoznaj się z zaleceniami dotyczącymi ról , które mają zostać przypisane do użytkowników w usłudze SOC.

Niestandardowe i zaawansowane role RBAC platformy Azure

Zalecenia dotyczące ról i uprawnień

Po zrozumieniu sposobu działania ról i uprawnień w usłudze Microsoft Sentinel możesz przejrzeć te najlepsze rozwiązania dotyczące stosowania ról do użytkowników:

Typ użytkownika Rola Grupa zasobów Opis
Analitycy zabezpieczeń Osoba odpowiadająca w usłudze Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel.

Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń.
Logic Apps Operator Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki Dołączanie podręczników do reguł analizy i automatyzacji.
Uruchamianie podręczników.
Inżynierowie ds. zabezpieczeń Współautor usługi Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel.

Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń.

Tworzenie i edytowanie skoroszytów, reguł analizy i innych zasobów usługi Microsoft Sentinel.
Współautor usługi Logic Apps Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki Dołączanie podręczników do reguł analizy i automatyzacji.
Uruchamianie i modyfikowanie podręczników.
Jednostka usługi Współautor usługi Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Automatyczna konfiguracja pod kątem zadań zarządzania

Porada

W zależności od pozyskiwanych lub monitorujących danych może być wymagana większa liczba ról. Na przykład role Azure AD mogą być wymagane, takie jak rola administratora globalnego lub administratora zabezpieczeń, aby skonfigurować łączniki danych dla usług w innych portalach firmy Microsoft.

Następne kroki

W tym artykule przedstawiono sposób pracy z rolami użytkowników usługi Microsoft Sentinel i tym, co każda rola umożliwia użytkownikom wykonywanie zadań.

Znajdź wpisy w blogu dotyczące zabezpieczeń i zgodności platformy Azure w blogu usługi Microsoft Sentinel.