Role i uprawnienia w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak usługa Microsoft Sentinel przypisuje uprawnienia do ról użytkowników i identyfikuje dozwolone akcje dla każdej roli. Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych ról , które można przypisać do użytkowników, grup i usług na platformie Azure. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Użyj kontroli dostępu opartej na rolach platformy Azure, aby utworzyć i przypisać role w zespole ds. operacji zabezpieczeń w celu udzielenia odpowiedniego dostępu do usługi Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym usługi Microsoft Sentinel (patrz uwaga poniżej) lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który dziedziczy usługa Microsoft Sentinel.

Role i uprawnienia do pracy w usłudze Microsoft Sentinel

Role specyficzne dla usługi Microsoft Sentinel

Wszystkie wbudowane role usługi Microsoft Sentinel zapewniają dostęp do odczytu do danych w obszarze roboczym usługi Microsoft Sentinel.

  • Czytelnik usługi Microsoft Sentinel może wyświetlać dane, incydenty, skoroszyty i inne zasoby usługi Microsoft Sentinel.

  • Osoba odpowiadająca w usłudze Microsoft Sentinel może, oprócz powyższych, zarządzać zdarzeniami (przypisywać, odrzucać itp.).

  • Współautor usługi Microsoft Sentinel może oprócz powyższych instalować i aktualizować rozwiązania z centrum zawartości, tworzyć i edytować skoroszyty, reguły analizy i inne zasoby usługi Microsoft Sentinel.

  • Operator podręcznika usługi Microsoft Sentinel może wyświetlać, wyświetlać i ręcznie uruchamiać podręczniki.

  • Rola Współautor automatyzacji usługi Microsoft Sentinel umożliwia usłudze Microsoft Sentinel dodawanie elementów playbook do reguł automatyzacji. Nie jest przeznaczona dla kont użytkowników.

Uwaga

  • Aby uzyskać najlepsze wyniki, przypisz te role do grupy zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. W ten sposób role mają zastosowanie do wszystkich zasobów, które obsługują usługę Microsoft Sentinel, ponieważ te zasoby powinny być również umieszczane w tej samej grupie zasobów.

  • W ramach innej opcji przypisz role bezpośrednio do samego obszaru roboczego usługi Microsoft Sentinel. Jeśli to zrobisz, musisz również przypisać te same role do zasobu Zabezpieczenia Szczegółowe informacje rozwiązania w tym obszarze roboczym. Konieczne może być również przypisanie ich do innych zasobów i konieczne będzie ciągłe zarządzanie przypisaniami ról do zasobów.

Inne role i uprawnienia

Aby wykonać swoje zadania, użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień.

  • Instalowanie gotowej zawartości i zarządzanie nią

    Znajdź spakowane rozwiązania dla produktów end-to-end lub zawartości autonomicznej z centrum zawartości w usłudze Microsoft Sentinel. Aby zainstalować zawartość z centrum zawartości i zarządzać nią, przypisz rolę Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.

  • Automatyzowanie odpowiedzi na zagrożenia za pomocą podręczników

    Usługa Microsoft Sentinel używa podręczników do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem platformy Azure. W przypadku określonych członków zespołu ds. operacji zabezpieczeń możesz przypisać możliwość używania operacji SoAR (Logic Apps for Security Orchestration, Automation i Response). Rolę Operator podręcznika usługi Microsoft Sentinel można użyć do przypisywania jawnych, ograniczonych uprawnień do uruchamiania podręczników oraz roli Współautor aplikacji logiki w celu tworzenia i edytowania podręczników.

  • Przyznawanie uprawnień usługi Microsoft Sentinel do uruchamiania podręczników

    Usługa Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania podręczników wyzwalania zdarzeń lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi.

    Aby reguła automatyzacji uruchamiała podręcznik, to konto musi mieć jawne uprawnienia do grupy zasobów, w której znajduje się podręcznik. W tym momencie każda reguła automatyzacji może uruchamiać dowolny podręcznik w tej grupie zasobów. Aby przyznać te uprawnienia do tego konta usługi, twoje konto musi mieć uprawnienia właściciela do grup zasobów zawierających podręczniki.

  • Połączenie źródeł danych do usługi Microsoft Sentinel

    Aby użytkownik dodał łączniki danych, należy przypisać użytkownikowi uprawnienia do zapisu w obszarze roboczym usługi Microsoft Sentinel. Zwróć uwagę na wymagane dodatkowe uprawnienia dla każdego łącznika, jak pokazano na odpowiedniej stronie łącznika.

  • Zezwalaj użytkownikom-gościom na przypisywanie zdarzeń

    Jeśli użytkownik-gość musi mieć możliwość przypisywania zdarzeń, musisz przypisać czytelnika katalogu do użytkownika, oprócz roli osoby odpowiadającej usłudze Microsoft Sentinel. Należy pamiętać, że rola Czytelnik katalogu nie jest rolą platformy Azure, ale rolą Firmy Microsoft Entra i że domyślnie przypisana ta rola jest przypisana przez zwykłych użytkowników (innych niż gości).

  • Tworzenie i usuwanie skoroszytów

    Aby utworzyć i usunąć skoroszyt usługi Microsoft Sentinel, użytkownik musi mieć rolę współautora usługi Microsoft Sentinel lub mniejszą rolę usługi Microsoft Sentinel wraz z rolą Współautor skoroszytu w usłudze Azure Monitor. Ta rola nie jest niezbędna do używania skoroszytów tylko do tworzenia i usuwania.

Przypisane role platformy Azure i usługi Log Analytics

Po przypisaniu ról platformy Azure specyficznych dla usługi Microsoft Sentinel możesz napotkać inne role platformy Azure i usługi Log Analytics, które mogły zostać przypisane do użytkowników w innych celach. Należy pamiętać, że te role zapewniają szerszy zestaw uprawnień, które obejmują dostęp do obszaru roboczego usługi Microsoft Sentinel i innych zasobów:

  • Role platformy Azure: Właściciel, Współautor i Czytelnik. Role platformy Azure zapewniają dostęp do wszystkich zasobów platformy Azure, włącznie z obszarami roboczymi usługi Log Analytics i zasobami usługi Microsoft Sentinel.

  • Role usługi Log Analytics: Współautor usługi Log Analytics i Czytelnik usługi Log Analytics. Role usługi Log Analytics zapewniają dostęp do obszarów roboczych usługi Log Analytics.

Na przykład użytkownik przypisał rolę Czytelnik usługi Microsoft Sentinel, ale nie rolę współautora usługi Microsoft Sentinel, nadal może edytować elementy w usłudze Microsoft Sentinel, jeśli ten użytkownik ma również przypisaną rolę Współautor na poziomie platformy Azure. W związku z tym, jeśli chcesz udzielić uprawnień użytkownikowi tylko w usłudze Microsoft Sentinel, dokładnie usuń wcześniejsze uprawnienia tego użytkownika, upewniając się, że nie przerywasz dostępu do innego zasobu.

Role, uprawnienia i dozwolone akcje usługi Microsoft Sentinel

Ta tabela zawiera podsumowanie ról usługi Microsoft Sentinel i ich dozwolonych akcji w usłudze Microsoft Sentinel.

Role Wyświetlanie i uruchamianie podręczników Tworzenie i edytowanie podręczników Tworzenie i edytowanie reguł analizy, skoroszytów i innych zasobów usługi Microsoft Sentinel Zarządzanie zdarzeniami (odrzucanie, przypisywanie itp.) Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel Instalowanie zawartości z centrum zawartości i zarządzanie nią
Czytelnik usługi Microsoft Sentinel -- -- --* -- --
Obiekt odpowiadający usługi Microsoft Sentinel -- -- --* --
Współautor usługi Microsoft Sentinel -- --
Operator podręcznika usługi Microsoft Sentinel -- -- -- -- --
Współautor aplikacji logiki -- -- -- --

* Użytkownicy z tymi rolami mogą tworzyć i usuwać skoroszyty z rolą Współautor skoroszytu. Dowiedz się więcej o innych rolach i uprawnieniach.

Zapoznaj się z zaleceniami dotyczącymi ról, dla których ról należy przypisać użytkowników w usłudze SOC.

Niestandardowe i zaawansowane role RBAC platformy Azure

Zalecenia dotyczące ról i uprawnień

Po zrozumieniu sposobu działania ról i uprawnień w usłudze Microsoft Sentinel możesz zapoznać się z tymi najlepszymi rozwiązaniami dotyczącymi stosowania ról do użytkowników:

Typ użytkownika Role Grupa zasobów opis
Analitycy zabezpieczeń Osoba odpowiadająca w usłudze Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel.

Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń.
Operator podręcznika usługi Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki Dołączanie podręczników do reguł analizy i automatyzacji.
Uruchamianie podręczników.
Inżynierowie zabezpieczeń Współautor usługi Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel.

Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń.

Tworzenie i edytowanie skoroszytów, reguł analizy i innych zasobów usługi Microsoft Sentinel.

Instalowanie i aktualizowanie rozwiązań z centrum zawartości.
Współautor usługi Logic Apps Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki Dołączanie podręczników do reguł analizy i automatyzacji.
Uruchamianie i modyfikowanie podręczników.
Jednostka usługi Współautor usługi Microsoft Sentinel Grupa zasobów usługi Microsoft Sentinel Automatyczna konfiguracja zadań zarządzania

Napiwek

W zależności od pozyskiwanych lub monitorujących danych może być wymaganych więcej ról. Na przykład role Entra firmy Microsoft mogą być wymagane, takie jak globalny Administracja istrator lub role Administracja istratora zabezpieczeń, aby skonfigurować łączniki danych dla usług w innych portalach firmy Microsoft.

Kontrola dostępu oparta na zasobach

Niektórzy użytkownicy mogą mieć dostęp tylko do określonych danych w obszarze roboczym usługi Microsoft Sentinel, ale nie powinni mieć dostępu do całego środowiska usługi Microsoft Sentinel. Na przykład możesz podać zespół ds. operacji niezwiązanych z zabezpieczeniami (non-SOC) z dostępem do danych zdarzeń systemu Windows dla serwerów, których są właścicielami.

W takich przypadkach zalecamy skonfigurowanie kontroli dostępu opartej na rolach (RBAC) na podstawie zasobów, które są dozwolone dla użytkowników, zamiast udostępniać im dostęp do obszaru roboczego usługi Microsoft Sentinel lub określonych funkcji usługi Microsoft Sentinel. Ta metoda jest również nazywana konfigurowaniem kontroli dostępu opartej na rolach w kontekście zasobów. Dowiedz się więcej o kontroli dostępu opartej na rolach

Następne kroki

W tym artykule pokazano, jak pracować z rolami użytkowników usługi Microsoft Sentinel i jak każda rola umożliwia użytkownikom wykonywanie zadań.