Funções e permissões no Microsoft Sentinel
Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário e identifica as ações permitidas para cada função. O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Use o RBAC do Azure para criar e atribuir funções em sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As diferentes funções oferecem controle refinado sobre o que os usuários do Microsoft Sentinel podem ver e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho do Microsoft Sentinel ou em uma assinatura ou grupo de recursos ao qual o espaço de trabalho pertence, que o Microsoft Sentinel herda.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Funções e permissões para trabalhar no Microsoft Sentinel
Conceda o acesso apropriado aos dados em seu espaço de trabalho usando funções internas. Talvez seja necessário conceder mais funções ou permissões específicas, dependendo das tarefas de trabalho de um usuário.
Funções específicas do Microsoft Sentinel
Todas as funções internas do Microsoft Sentinel concedem acesso de leitura aos dados em seu espaço de trabalho do Microsoft Sentinel.
O Leitor do Microsoft Sentinel permite ver dados, incidentes, livros e outros recursos do Microsoft Sentinel.
O Microsoft Sentinel Responder pode, além das permissões para o Microsoft Sentinel Reader, gerenciar incidentes como atribuir, descartar e alterar incidentes.
O Microsoft Sentinel Contributor pode, além das permissões para o Microsoft Sentinel Responder, instalar e atualizar soluções do hub de conteúdo e criar e editar recursos do Microsoft Sentinel, como pastas de trabalho, regras de análise e muito mais.
O Microsoft Sentinel Playbook Operator pode listar, visualizar e executar manualmente playbooks.
O Contribuidor de Automatização do Microsoft Sentinel permite que o Microsoft Sentinel adicione manuais de procedimentos às regras de automatização. Não se destina a contas de utilizador.
Para obter melhores resultados, atribua essas funções ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Dessa forma, as funções se aplicam a todos os recursos que oferecem suporte ao Microsoft Sentinel, pois esses recursos também devem ser colocados no mesmo grupo de recursos.
Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Se você fizer isso, deverá atribuir as mesmas funções ao recurso de solução SecurityInsights nesse espaço de trabalho. Também pode ser necessário atribuí-los a outros recursos e gerenciar continuamente as atribuições de função aos recursos.
Outras funções e permissões
Os usuários com requisitos de trabalho específicos podem precisar receber outras funções ou permissões específicas para realizar suas tarefas.
Instalar e gerenciar conteúdo pronto para uso
Encontre soluções empacotadas para produtos de ponta a ponta ou conteúdo autônomo do hub de conteúdo no Microsoft Sentinel. Para instalar e gerenciar conteúdo do hub de conteúdo, atribua a função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
Automatize as respostas a ameaças com playbooks
O Microsoft Sentinel usa manuais para resposta automatizada a ameaças. Os playbooks são criados em Aplicativos Lógicos do Azure e são um recurso separado do Azure. Para membros específicos da sua equipe de operações de segurança, convém atribuir a capacidade de usar Aplicativos Lógicos para operações de Orquestração, Automação e Resposta de Segurança (SOAR). Você pode usar a função Operador de Playbook do Microsoft Sentinel para atribuir permissão explícita e limitada para executar playbooks e a função de Colaborador de Aplicativo Lógico para criar e editar playbooks.
Conceder permissões ao Microsoft Sentinel para executar playbooks
O Microsoft Sentinel usa uma conta de serviço especial para executar playbooks de acionamento de incidentes manualmente ou para chamá-los a partir de regras de automação. A utilização desta conta (por oposição à sua conta de utilizador) aumenta o nível de segurança do serviço.
Para que uma regra de automação execute um playbook, essa conta deve receber permissões explícitas para o grupo de recursos onde o playbook reside. Nesse ponto, qualquer regra de automação pode executar qualquer manual nesse grupo de recursos. Para conceder essas permissões a essa conta de serviço, sua conta deve ter permissões de Proprietário para os grupos de recursos que contêm os playbooks.
Conectar fontes de dados ao Microsoft Sentinel
Para um usuário adicionar conectores de dados, você deve atribuir ao usuário permissões de gravação no espaço de trabalho do Microsoft Sentinel. Observe as permissões adicionais necessárias para cada conector, conforme listado na página do conector relevante.
Permitir que usuários convidados atribuam incidentes
Se um usuário convidado precisar ser capaz de atribuir incidentes, você precisará atribuir a função Leitor de Diretório ao usuário, além da função Respondente do Microsoft Sentinel. A função Leitor de Diretório não é uma função do Azure, mas uma função do Microsoft Entra, e os usuários regulares (não convidados) têm essa função atribuída por padrão.
Criar e excluir pastas de trabalho
Para criar e excluir uma pasta de trabalho do Microsoft Sentinel, o usuário precisa da função de Colaborador do Microsoft Sentinel ou de uma função menor do Microsoft Sentinel, juntamente com a função de Monitor do Azure de Colaborador da Pasta de Trabalho. Essa função não é necessária para usar pastas de trabalho, apenas para criar e excluir.
Funções do Azure e do Log Analytics que você pode ver atribuídas
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode se deparar com outras funções do Azure e do Log Analytics que podem ser atribuídas aos usuários para outros fins. Essas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:
Funções do Azure:Proprietário, Colaborador e Leitor. As funções do Azure concedem acesso em todos os recursos do Azure, incluindo áreas de trabalho do Log Analytics e recursos do Microsoft Sentinel.
Funções do Log Analytics:Colaborador do Log Analytics e Leitor do Log Analytics. As funções do Log Analytics concedem acesso às suas áreas de trabalho do Log Analytics.
Por exemplo, um usuário atribuído à função Microsoft Sentinel Reader, mas não à função de Colaborador do Microsoft Sentinel, ainda pode editar itens no Microsoft Sentinel, se esse usuário também estiver atribuído à função de Colaborador no nível do Azure. Portanto, se você quiser conceder permissões a um usuário somente no Microsoft Sentinel, remova cuidadosamente as permissões anteriores desse usuário, certificando-se de não interromper nenhum acesso necessário a outro recurso.
Funções, permissões e ações permitidas do Microsoft Sentinel
Esta tabela resume as funções do Microsoft Sentinel e suas ações permitidas no Microsoft Sentinel.
| Função | Ver e executar playbooks | Criar e editar playbooks | Criar e editar regras de análise, pastas de trabalho e outros recursos do Microsoft Sentinel | Gerir incidentes (despedir, atribuir, etc.) | Exibir dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel | Instalar e gerenciar conteúdo do hub de conteúdo |
|---|---|---|---|---|---|---|
| Leitor do Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondedor do Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Contribuidor do Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador do Microsoft Sentinel Playbook | ✓ | -- | -- | -- | -- | -- |
| Colaborador do Aplicativo Lógico | ✓ | ✓ | -- | -- | -- | -- |
* Os usuários com essas funções podem criar e excluir pastas de trabalho com a função de Colaborador da Pasta de Trabalho . Saiba mais sobre Outras funções e permissões.
Analise as recomendações de função para quais funções atribuir a quais usuários em seu SOC.
Funções personalizadas e RBAC do Azure avançadas
Funções personalizadas. Além de, ou em vez de, usar funções internas do Azure, você pode criar funções personalizadas do Azure para o Microsoft Sentinel. Você cria funções personalizadas do Azure para o Microsoft Sentinel da mesma forma que as funções personalizadas do Azure, com base em permissões específicas para o Microsoft Sentinel e para os recursos do Azure Log Analytics.
RBAC do Log Analytics. Você pode usar o RBAC avançado do Azure do Log Analytics nos dados em seu espaço de trabalho do Microsoft Sentinel. Isso inclui o RBAC do Azure baseado em tipo de dados e o RBAC do Azure de contexto de recurso. Para saber mais:
- Gerenciar dados de log e espaços de trabalho no Azure Monitor
- RBAC de contexto de recursos para Microsoft Sentinel
- RBAC ao nível da tabela
O contexto de recursos e o RBAC no nível da tabela são duas maneiras de dar acesso a dados específicos em seu espaço de trabalho do Microsoft Sentinel, sem permitir o acesso a toda a experiência do Microsoft Sentinel.
Recomendações de funções e permissões
Depois de entender como as funções e permissões funcionam no Microsoft Sentinel, você pode revisar estas práticas recomendadas para aplicar funções aos seus usuários:
| Tipo de utilizador | Função | Grupo de recursos | Description |
|---|---|---|---|
| Analistas de segurança | Respondente do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. Gerencie incidentes, como atribuir ou descartar incidentes. |
| Operador do Microsoft Sentinel Playbook | Grupo de recursos do Microsoft Sentinel ou o grupo de recursos onde os playbooks estão armazenados | Anexe playbooks a regras de análise e automação. Execute playbooks. |
|
| Engenheiros de segurança | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. Gerencie incidentes, como atribuir ou descartar incidentes. Crie e edite pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel. Instale e atualize soluções a partir do hub de conteúdo. |
| Contribuidor de aplicativos lógicos | Grupo de recursos do Microsoft Sentinel ou o grupo de recursos onde os playbooks estão armazenados | Anexe playbooks a regras de análise e automação. Execute e modifique playbooks. |
|
| Principal de Serviço | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Configuração automatizada para tarefas de gerenciamento |
Mais funções podem ser necessárias, dependendo dos dados que você ingere ou monitora. Por exemplo, as funções do Microsoft Entra podem ser necessárias, como as funções de Administrador Global ou Administrador de Segurança, para configurar conectores de dados para serviços em outros portais da Microsoft.
Controle de acesso baseado em recursos
Você pode ter alguns usuários que precisam acessar apenas dados específicos em seu espaço de trabalho do Microsoft Sentinel, mas não devem ter acesso a todo o ambiente do Microsoft Sentinel. Por exemplo, talvez você queira fornecer a uma equipe fora das operações de segurança acesso aos dados de eventos do Windows para os servidores de sua propriedade.
Nesses casos, recomendamos que você configure seu controle de acesso baseado em função (RBAC) com base nos recursos permitidos aos usuários, em vez de fornecer-lhes acesso ao espaço de trabalho do Microsoft Sentinel ou a recursos específicos do Microsoft Sentinel. Esse método também é conhecido como configuração de RBAC de contexto de recurso. Para obter mais informações, consulte Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Próximos passos
Neste artigo, você aprendeu como trabalhar com funções para usuários do Microsoft Sentinel e o que cada função permite que os usuários façam.