Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como Microsoft Sentinel atribui permissões a funções de utilizador para Microsoft Sentinel SIEM e Microsoft Sentinel data lake, identificando as ações permitidas para cada função.
Microsoft Sentinel utiliza Azure controlo de acesso baseado em funções (Azure RBAC) para fornecer funções incorporadas e personalizadas para Microsoft Sentinel SIEM e Microsoft Entra ID controlo de acesso baseado em funções ( MICROSOFT ENTRA ID RBAC) para fornecer funções incorporadas e personalizadas para Microsoft Sentinel data lake.
Pode atribuir funções a utilizadores, grupos e serviços em Azure ou Microsoft Entra ID.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Observação
Se estiver a executar o programa de pré-visualização Microsoft Defender XDR, agora pode experimentar o novo modelo Microsoft Defender unified Role-Based Controle de Acesso (URBAC). Para obter mais informações, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Funções de Azure incorporadas para Microsoft Sentinel
As seguintes funções de Azure incorporadas são utilizadas para Microsoft Sentinel SIEM e concedem acesso de leitura aos dados da área de trabalho, incluindo suporte para o data lake Microsoft Sentinel. Atribua estas funções ao nível do grupo de recursos para obter os melhores resultados.
| Função | Suporte de SIEM | Suporte do Data Lake |
|---|---|---|
| Microsoft Sentinel Reader | Ver dados, incidentes, livros, recomendações e outros recursos | Aceda a análises avançadas e execute consultas interativas apenas em áreas de trabalho. |
| Microsoft Sentinel Responder | Todas as permissões de Leitor, além de gerir incidentes | N/D |
| Contribuidor do Microsoft Sentinel | Todas as permissões de Resposta, além de soluções de instalação/atualização, criar/editar recursos | Aceda a análises avançadas e execute consultas interativas apenas em áreas de trabalho. |
| Operador de Manual de Procedimentos do Microsoft Sentinel | Listar, ver e executar manualmente manuais de procedimentos | N/D |
| Contribuidor de Automatização do Microsoft Sentinel | Permite Microsoft Sentinel adicionar manuais de procedimentos às regras de automatização. Não utilizado para contas de utilizador. | N/D |
Por exemplo, a tabela seguinte mostra exemplos de tarefas que cada função pode executar no Microsoft Sentinel:
| Função | Executar manuais de procedimentos | Criar/editar manuais de procedimentos | Criar/editar regras de análise, livros, etc. | Gerenciar incidentes | Ver dados, incidentes, livros, recomendações | Gerir o hub de conteúdos |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Contribuidor do Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador de Manual de Procedimentos do Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Contribuidor da Aplicação Lógica | ✓ | ✓ | -- | -- | -- | -- |
*Com a função Contribuidor de Livro .
Recomendamos que atribua funções ao grupo de recursos que contém o Microsoft Sentinel área de trabalho. Isto garante que todos os recursos relacionados, como o Logic Apps e manuais de procedimentos, são abrangidos pelas mesmas atribuições de funções.
Como outra opção, atribua as funções diretamente à área de trabalho Microsoft Sentinel. Se o fizer, tem de atribuir as mesmas funções ao recurso de solução SecurityInsights nessa área de trabalho. Também poderá ter de atribuí-los a outros recursos e gerir continuamente atribuições de funções aos recursos.
Funções adicionais para tarefas específicas
Os utilizadores com requisitos de trabalho específicos poderão ter de receber outras funções ou permissões específicas para realizarem as suas tarefas. Por exemplo:
| Tarefa | Funções/permissões necessárias |
|---|---|
| Ligar origens de dados | Permissão de escrita na área de trabalho. Verifique os documentos do conector para obter as permissões adicionais necessárias por conector. |
| Gerir conteúdo a partir do Hub de conteúdos | contribuidor do Microsoft Sentinel ao nível do grupo de recursos |
| Automatizar respostas com manuais de procedimentos |
Microsoft Sentinel Operador de Manual de Procedimentos, para executar manuais de procedimentos e Contribuidor da Aplicação Lógica para criar/editar manuais de procedimentos. Microsoft Sentinel utiliza manuais de procedimentos para resposta a ameaças automatizada. Os manuais de procedimentos são criados no Azure Logic Apps e são um recurso Azure separado. Para membros específicos da sua equipa de operações de segurança, poderá atribuir a capacidade de utilizar operações SOAR (Orquestração, Automatização e Resposta) do Logic Apps para Segurança. |
| Permitir que Microsoft Sentinel executem manuais de procedimentos através da automatização | A conta de serviço precisa de permissões explícitas para o grupo de recursos do manual de procedimentos; A sua conta precisa de permissões de Proprietário para as atribuir. Microsoft Sentinel utiliza uma conta de serviço especial para executar manualmente manuais de procedimentos de acionador de incidentes ou para chamá-los a partir de regras de automatização. A utilização desta conta (por oposição à sua conta de utilizador) aumenta o nível de segurança do serviço. Para que uma regra de automatização execute um manual de procedimentos, esta conta tem de ter permissões explícitas para o grupo de recursos onde reside o manual de procedimentos. Nessa altura, qualquer regra de automatização pode executar qualquer manual de procedimentos nesse grupo de recursos. |
| Os utilizadores convidados atribuem incidentes |
Leitor de Diretórios E Microsoft Sentinel Responder A função Leitor de Diretórios não é uma função Azure, mas sim uma função Microsoft Entra ID e os utilizadores regulares (nonguest) têm esta função atribuída por predefinição. |
| Criar/eliminar livros | Contribuidor do Microsoft Sentinel ou uma função de Microsoft Sentinel menor E Contribuidor do Livro |
Outras funções do Azure e do Log Analytics
Quando atribui Microsoft Sentinel funções de Azure específicas, poderá encontrar outras funções do Azure e do Log Analytics que podem ser atribuídas aos utilizadores para outros fins. Estas funções concedem um conjunto mais amplo de permissões que incluem acesso à área de trabalho Microsoft Sentinel e a outros recursos:
- Azure funções:Proprietário, Contribuidor, Leitor – conceda acesso amplo a recursos Azure.
- Funções do Log Analytics:Contribuidor do Log Analytics, Leitor do Log Analytics – conceda acesso às áreas de trabalho do Log Analytics.
Importante
As atribuições de funções são cumulativas. Um utilizador com as funções Leitor Microsoft Sentinel e Contribuidor pode ter mais permissões do que o pretendido.
Atribuições de funções recomendadas para Microsoft Sentinel utilizadores
| Tipo de usuário | Função | Grupo de recursos | Descrição |
|---|---|---|---|
| Analistas de segurança | Microsoft Sentinel Responder | Microsoft Sentinel grupo de recursos | Ver/gerir incidentes, dados, livros |
| Operador de Manual de Procedimentos do Microsoft Sentinel | Microsoft Sentinel/grupo de recursos do manual de procedimentos | Anexar/executar manuais de procedimentos | |
| Engenheiros de segurança | Contribuidor do Microsoft Sentinel | Microsoft Sentinel grupo de recursos | Gerir incidentes, conteúdos, recursos |
| Contribuidor da Aplicação Lógica | Microsoft Sentinel/grupo de recursos do manual de procedimentos | Executar/modificar manuais de procedimentos | |
| Principal de Serviço | Contribuidor do Microsoft Sentinel | Microsoft Sentinel grupo de recursos | Tarefas de gestão automatizadas |
Funções e permissões para o data lake do Microsoft Sentinel
Para utilizar o Microsoft Sentinel data lake, a área de trabalho tem de ser integrada no portal do Defender e no data lake Microsoft Sentinel.
Microsoft Sentinel permissões de leitura do Data Lake
Microsoft Entra ID funções fornecem acesso amplo a todos os conteúdos no data lake. Utilize as seguintes funções para fornecer acesso de leitura a todas as áreas de trabalho no Microsoft Sentinel data lake, como para executar consultas.
| Tipo de permissão | Funções suportadas |
|---|---|
| Acesso de leitura em todas as áreas de trabalho | Utilize qualquer uma das seguintes funções de Microsoft Entra ID: - Leitor global - Leitor de segurança - Operador de segurança - Administrador de segurança - Administrador global |
Em alternativa, pode atribuir a capacidade de ler tabelas a partir de uma área de trabalho específica. Nestes casos, utilize um dos seguintes procedimentos:
| Tarefas | Permissões |
|---|---|
| Permissões de leitura nas tabelas do sistema | Utilize uma função RBAC unificada Microsoft Defender XDR personalizada com permissões básicas de dados de segurança (leitura) através da recolha de dados Microsoft Sentinel. |
| Permissões de leitura em qualquer outra área de trabalho ativada para Microsoft Sentinel no data lake | Utilize uma das seguintes funções incorporadas no Azure RBAC para obter permissões nessa área de trabalho: - Leitor do Log Analytics - Contribuidor do Log Analytics - Contribuidor do Microsoft Sentinel - Microsoft Sentinel Reader - Leitor - Contribuidor - Proprietário |
Microsoft Sentinel permissões de escrita do data lake
Microsoft Entra ID funções proporciona um amplo acesso a todas as áreas de trabalho no data lake. Utilize as seguintes funções para fornecer acesso de escrita às tabelas do data lake Microsoft Sentinel:
| Tipo de permissão | Funções suportadas |
|---|---|
| Escrever em tabelas na camada de análise com trabalhos ou blocos de notas KQL | Utilize uma das seguintes funções de Microsoft Entra ID: - Operador de segurança - Administrador de segurança - Administrador global |
| Escrever em tabelas no data lake do Microsoft Sentinel | Utilize uma das seguintes funções de Microsoft Entra ID: - Operador de segurança - Administrador de segurança - Administrador global |
Em alternativa, poderá atribuir a capacidade de escrever saídas numa área de trabalho específica. Isto pode incluir a capacidade de configurar conectores para essa área de trabalho, modificar as definições de retenção para tabelas na área de trabalho ou criar, atualizar e eliminar tabelas personalizadas nessa área de trabalho. Nestes casos, utilize um dos seguintes procedimentos:
| Tarefas | Permissões |
|---|---|
| Atualizar tabelas do sistema no data lake | Utilize uma função RBAC unificada Microsoft Defender XDR personalizada com permissões de dados (gerir) através da recolha de dados Microsoft Sentinel. |
| Para qualquer outra área de trabalho Microsoft Sentinel no data lake | Utilize qualquer função incorporada ou personalizada que inclua os seguintes Azure permissões de informações operacionais rbac da Microsoft nessa área de trabalho: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Por exemplo, funções incorporadas que incluem estas permissões Contribuidor, Proprietário e Contribuidor do Log Analytics. |
Gerir tarefas no data lake do Microsoft Sentinel
Para criar tarefas agendadas ou gerir tarefas no data lake Microsoft Sentinel, tem de ter uma das seguintes funções Microsoft Entra ID:
Funções personalizadas e RBAC avançado
Para restringir o acesso a dados específicos, mas não a toda a área de trabalho, utilize RBAC de contexto de recursos ou RBAC ao nível da tabela. Isto é útil para equipas que precisam de acesso apenas a determinados tipos de dados ou tabelas.
Caso contrário, utilize uma das seguintes opções para o RBAC avançado:
- Para Microsoft Sentinel acesso SIEM, utilize Azure funções personalizadas.
- Para o data lake Microsoft Sentinel, utilize Defender XDR funções personalizadas de RBAC unificadas.
Conteúdo relacionado
Para obter mais informações, veja Manage log data and workspaces in Azure Monitor (Gerir dados de registo e áreas de trabalho no Monitor do Azure)