Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, w jaki sposób Microsoft Sentinel przypisuje uprawnienia do ról użytkowników zarówno dla Microsoft Sentinel SIEM, jak i Microsoft Sentinel data lake, identyfikując dozwolone akcje dla każdej roli.
Microsoft Sentinel używa Azure kontroli dostępu opartej na rolach (Azure RBAC), aby zapewnić wbudowane i niestandardowe role dla Microsoft Sentinel SIEM i Microsoft Entra ID kontroli dostępu opartej na rolach ( Microsoft Entra ID RBAC) w celu zapewnienia wbudowanych i niestandardowych ról dla Microsoft Sentinel data lake.
Role można przypisywać do użytkowników, grup i usług w Azure lub Microsoft Entra ID.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Uwaga
Jeśli korzystasz z programu w wersji zapoznawczej Microsoft Defender XDR, możesz teraz zapoznać się z nowym modelem Microsoft Defender Unified Role-Based Access Control (URBAC). Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC).
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Wbudowane role Azure dla Microsoft Sentinel
Następujące wbudowane role Azure są używane do Microsoft Sentinel SIEM i udzielania dostępu do odczytu do danych obszaru roboczego, w tym obsługi usługi Microsoft Sentinel data lake. Przypisz te role na poziomie grupy zasobów, aby uzyskać najlepsze wyniki.
| Rola | Obsługa rozwiązania SIEM | Obsługa usługi Data Lake |
|---|---|---|
| czytelnik Microsoft Sentinel | Wyświetlanie danych, zdarzeń, skoroszytów, zaleceń i innych zasobów | Uzyskaj dostęp do zaawansowanej analizy i uruchamiaj zapytania interakcyjne tylko w obszarach roboczych. |
| Microsoft Sentinel responder | Wszystkie uprawnienia czytelnika oraz zarządzanie zdarzeniami | Nie dotyczy |
| współautor Microsoft Sentinel | Wszystkie uprawnienia użytkownika odpowiadającego oraz rozwiązania instalacji/aktualizacji, tworzenie/edytowanie zasobów | Uzyskaj dostęp do zaawansowanej analizy i uruchamiaj zapytania interakcyjne tylko w obszarach roboczych. |
| operator podręcznika Microsoft Sentinel | Wyświetlanie i ręczne uruchamianie podręczników | Nie dotyczy |
| Współautor usługi Microsoft Sentinel Automation | Umożliwia Microsoft Sentinel dodawanie podręczników do reguł automatyzacji. Nie używane dla kont użytkowników. | Nie dotyczy |
Na przykład w poniższej tabeli przedstawiono przykłady zadań, które każda rola może wykonywać w Microsoft Sentinel:
| Rola | Uruchamianie podręczników | Tworzenie/edytowanie podręczników | Tworzenie/edytowanie reguł analizy, skoroszytów itp. | Zarządzanie zdarzeniami | Wyświetlanie danych, zdarzeń, skoroszytów, zaleceń | Zarządzanie centrum zawartości |
|---|---|---|---|---|---|---|
| czytelnik Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel responder | -- | -- | --* | ✓ | ✓ | -- |
| współautor Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| operator podręcznika Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Współautor aplikacji logiki | ✓ | ✓ | -- | -- | -- | -- |
*Z rolą Współautor skoroszytu .
Zalecamy przypisanie ról do grupy zasobów zawierającej Microsoft Sentinel obszar roboczy. Dzięki temu wszystkie powiązane zasoby, takie jak logic apps i podręczniki, są objęte tymi samymi przypisaniami ról.
Inną opcją jest przypisanie ról bezpośrednio do obszaru roboczego Microsoft Sentinel. W takim przypadku należy przypisać te same role do zasobu rozwiązania SecurityInsights w tym obszarze roboczym. Może być również konieczne przypisanie ich do innych zasobów i ciągłe zarządzanie przypisaniami ról do zasobów.
Dodatkowe role dla określonych zadań
Użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień, aby mogli wykonywać swoje zadania. Przykład:
| Zadanie | Wymagane role/uprawnienia |
|---|---|
| Łączenie źródeł danych | Uprawnienie do zapisu w obszarze roboczym. Sprawdź dokumentację łącznika, aby uzyskać dodatkowe uprawnienia wymagane dla każdego łącznika. |
| Zarządzanie zawartością z centrum zawartości | Microsoft Sentinel Współautor na poziomie grupy zasobów |
| Automatyzowanie odpowiedzi za pomocą podręczników |
Microsoft Sentinel operatorem podręcznika, aby uruchamiać podręczniki, oraz współautorem aplikacji logiki w celu tworzenia/edytowania podręczników. Microsoft Sentinel używa podręczników do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem Azure. W przypadku konkretnych członków zespołu ds. operacji zabezpieczeń można przypisać możliwość korzystania z usługi Logic Apps na potrzeby operacji orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR). |
| Zezwalaj Microsoft Sentinel na uruchamianie podręczników za pośrednictwem automatyzacji | Konto usługi wymaga jawnych uprawnień do grupy zasobów podręcznika; Twoje konto musi mieć uprawnienia właściciela , aby je przypisać. Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania podręczników wyzwalacza zdarzeń lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi. Aby reguła automatyzacji uruchamiała podręcznik, to konto musi mieć jawne uprawnienia do grupy zasobów, w której znajduje się podręcznik. W tym momencie każda reguła automatyzacji może uruchamiać dowolny podręcznik w tej grupie zasobów. |
| Użytkownicy-goście przypisują zdarzenia |
Czytelnik katalogów I Microsoft Sentinel Responder Rola czytelnika katalogów nie jest rolą Azure, ale rolą Microsoft Entra ID, a użytkownicy regularni (bez grupy) mają domyślnie przypisaną tę rolę. |
| Tworzenie/usuwanie skoroszytów | Microsoft Sentinel Współautor lub mniejsza rola Microsoft Sentinel I współautor skoroszytu |
Inne role Azure i Log Analytics
Podczas przypisywania ról Azure specyficznych dla Microsoft Sentinel można natknąć się na inne role Azure i usługi Log Analytics, które mogą być przypisane do użytkowników do innych celów. Te role udzielają szerszego zestawu uprawnień, które obejmują dostęp do Microsoft Sentinel obszaru roboczego i innych zasobów:
- role Azure:Właściciel, Współautor, Czytelnik — udzielanie szerokiego dostępu do Azure zasobów.
- Role usługi Log Analytics:Współautor usługi Log Analytics, Czytelnik usługi Log Analytics — udzielanie dostępu do obszarów roboczych usługi Log Analytics.
Ważna
Przypisania ról są skumulowane. Użytkownik z rolami Czytelnik Microsoft Sentinel i Współautor może mieć więcej uprawnień niż planowano.
Zalecane przypisania ról dla użytkowników Microsoft Sentinel
| Typ użytkownika | Rola | Grupa zasobów | Opis |
|---|---|---|---|
| Analitycy zabezpieczeń | Microsoft Sentinel responder | Microsoft Sentinel grupy zasobów | Wyświetlanie zdarzeń, danych i skoroszytów oraz zarządzanie nimi |
| operator podręcznika Microsoft Sentinel | grupa zasobów Microsoft Sentinel/podręcznika | Dołączanie/uruchamianie podręczników | |
| Inżynierowie ds. zabezpieczeń | współautor Microsoft Sentinel | Microsoft Sentinel grupy zasobów | Zarządzanie zdarzeniami, zawartością i zasobami |
| Współautor aplikacji logiki | grupa zasobów Microsoft Sentinel/podręcznika | Uruchamianie/modyfikowanie podręczników | |
| Jednostka usługi | współautor Microsoft Sentinel | Microsoft Sentinel grupy zasobów | Zadania zautomatyzowanego zarządzania |
Role i uprawnienia dla Microsoft Sentinel data lake
Aby korzystać z usługi Microsoft Sentinel data lake, obszar roboczy musi zostać dołączony do portalu usługi Defender i usługi Microsoft Sentinel data lake.
Microsoft Sentinel uprawnienia do odczytu usługi Data Lake
Microsoft Entra ID role zapewniają szeroki dostęp do całej zawartości w usłudze Data Lake. Użyj następujących ról, aby zapewnić dostęp do odczytu do wszystkich obszarów roboczych w Microsoft Sentinel data lake, takich jak uruchamianie zapytań.
| Typ uprawnień | Obsługiwane role |
|---|---|
| Dostęp do odczytu we wszystkich obszarach roboczych | Użyj dowolnej z następujących ról Microsoft Entra ID: - Czytelnik globalny - Czytnik zabezpieczeń - Operator zabezpieczeń - Administrator zabezpieczeń - administrator globalny |
Alternatywnie możesz przypisać możliwość odczytywania tabel z określonego obszaru roboczego. W takich przypadkach użyj jednego z następujących elementów:
| Zadania | Uprawnienia |
|---|---|
| Uprawnienia do odczytu w tabelach systemowych | Użyj niestandardowej Microsoft Defender XDR ujednoliconej roli RBAC z uprawnieniami podstaw danych zabezpieczeń (odczyt) w Microsoft Sentinel zbierania danych. |
| Uprawnienia do odczytu w dowolnym innym obszarze roboczym włączonym dla Microsoft Sentinel w usłudze Data Lake | Użyj jednej z następujących wbudowanych ról w Azure RBAC, aby uzyskać uprawnienia do tego obszaru roboczego: - Czytelnik usługi Log Analytics - Współautor usługi Log Analytics - współautor Microsoft Sentinel - czytelnik Microsoft Sentinel - Czytnik - Współautorów - Właściciel |
Microsoft Sentinel uprawnienia do zapisu w usłudze Data Lake
role Microsoft Entra ID zapewniają szeroki dostęp do wszystkich obszarów roboczych w usłudze Data Lake. Użyj następujących ról, aby zapewnić dostęp do zapisu do tabel usługi data lake Microsoft Sentinel:
| Typ uprawnień | Obsługiwane role |
|---|---|
| Zapisywanie w tabelach w warstwie analizy przy użyciu zadań lub notesów KQL | Użyj jednej z następujących ról Microsoft Entra ID: - Operator zabezpieczeń - Administrator zabezpieczeń - administrator globalny |
| Zapisywanie w tabelach w Microsoft Sentinel data lake | Użyj jednej z następujących ról Microsoft Entra ID: - Operator zabezpieczeń - Administrator zabezpieczeń - administrator globalny |
Alternatywnie możesz przypisać możliwość zapisu danych wyjściowych do określonego obszaru roboczego. Może to obejmować możliwość konfigurowania łączników w tym obszarze roboczym, modyfikowania ustawień przechowywania tabel w obszarze roboczym lub tworzenia, aktualizowania i usuwania tabel niestandardowych w tym obszarze roboczym. W takich przypadkach użyj jednego z następujących elementów:
| Zadania | Uprawnienia |
|---|---|
| Aktualizowanie tabel systemowych w usłudze Data Lake | Użyj niestandardowej Microsoft Defender XDR ujednoliconej roli RBAC z uprawnieniami do danych (zarządzania) w Microsoft Sentinel zbierania danych. |
| Dla dowolnego innego obszaru roboczego Microsoft Sentinel w usłudze Data Lake | Użyj dowolnej wbudowanej lub niestandardowej roli, która zawiera następujące Azure uprawnienia analizy operacyjnej RBAC firmy Microsoft w tym obszarze roboczym: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Na przykład wbudowane role, które obejmują te uprawnienia Współautor, Właściciel i Współautor usługi Log Analytics. |
Zarządzanie zadaniami w Microsoft Sentinel data lake
Aby utworzyć zaplanowane zadania lub zarządzać zadaniami w Microsoft Sentinel data lake, musisz mieć jedną z następujących ról Microsoft Entra ID:
Role niestandardowe i zaawansowana kontrola dostępu oparta na rolach
Aby ograniczyć dostęp do określonych danych, ale nie do całego obszaru roboczego, użyj kontroli RBAC kontekstu zasobu lub kontroli dostępu opartej na rolach na poziomie tabeli. Jest to przydatne w przypadku zespołów wymagających dostępu tylko do niektórych typów danych lub tabel.
W przeciwnym razie użyj jednej z następujących opcji dla zaawansowanej kontroli dostępu opartej na rolach:
- Aby uzyskać dostęp Microsoft Sentinel SIEM, użyj Azure ról niestandardowych.
- W przypadku usługi data lake Microsoft Sentinel użyj Defender XDR ujednoliconych ról niestandardowych RBAC.
Zawartość pokrewna
Aby uzyskać więcej informacji, zobacz Zarządzanie danymi dziennika i obszarami roboczymi w usłudze Azure Monitor