Descrever as permissões e funções do Microsoft Sentinel
Para implantar o ambiente de prova de conceito, você deve entender as permissões e funções necessárias para uma implantação bem-sucedida.
Visão geral das permissões no Microsoft Sentinel
O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que gerencia o acesso aos recursos do Azure. Ele foi criado com base no Gerenciador de Recursos do Azure, que fornece gerenciamento de acesso refinado dos recursos do Azure.
Use o RBAC do Azure para criar e atribuir funções em sua equipe SecOps. O RBAC do Azure permite conceder acesso apropriado ao Microsoft Sentinel. As diferentes funções oferecem controle específico sobre o que os usuários do Microsoft Sentinel podem acessar e fazer.
Você pode atribuir funções do RBAC do Azure:
- Diretamente no espaço de trabalho do Microsoft Sentinel
- Numa subscrição
- Para o grupo de recursos ao qual o espaço de trabalho pertence, que o Microsoft Sentinel herda
Funções específicas do Microsoft Sentinel
A seguir estão as funções dedicadas e internas do Microsoft Sentinel:
- Leitor: essa função pode revisar dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.
- Respondente: esta função tem todas as permissões da função Leitor. Além disso, pode gerir incidentes atribuindo-os ou rejeitando-os.
- Colaborador: esta função tem todas as permissões das funções Leitor e Respondente. Além disso, ele pode criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel. Para implantar o Microsoft Sentinel em seu locatário, você precisa de permissões de Colaborador para a assinatura em que o espaço de trabalho do Microsoft Sentinel está implantado.
- Operador de Playbook: Esta função pode listar, visualizar e executar manualmente playbooks.
- Contribuidor de automação: essa função permite que o Microsoft Sentinel adicione playbooks às regras de automação. Não se destina a contas de utilizador.
Todas as funções internas do Microsoft Sentinel concedem acesso de leitura aos dados em seu espaço de trabalho do Microsoft Sentinel. Para obter melhores resultados, essas funções devem ser atribuídas ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Em seguida, as funções se aplicam a todos os recursos implantados para dar suporte ao Microsoft Sentinel, se esses recursos estiverem no mesmo grupo de recursos.
Funções do Azure e funções do Azure Monitor Log Analytics
Além das funções RBAC do Azure dedicadas ao Microsoft Sentinel, outras funções do Azure e do Log Analytics do Azure RBAC podem conceder um conjunto mais amplo de permissões. Essas funções incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos.
As funções do Azure concedem acesso em todos os seus recursos do Azure. Eles incluem espaços de trabalho do Log Analytics e recursos do Microsoft Sentinel:
- Proprietário
- Contribuinte
- Leitor
- Contribuidor de especificações de modelo
As funções do Log Analytics concedem acesso em todos os espaços de trabalho do Log Analytics:
- Contribuidor do Log Analytics
- Leitor do Log Analytics
Por exemplo, um usuário atribuído com as funções Microsoft Sentinel Reader e Azure Contributor (não Microsoft Sentinel Contributor) pode editar dados no Microsoft Sentinel. Se você quiser conceder permissões apenas ao Microsoft Sentinel, remova cuidadosamente as permissões anteriores do usuário. Certifique-se de não quebrar nenhuma função de permissão necessária para outro recurso.
Funções do Microsoft Sentinel e ações permitidas
A tabela a seguir resume as funções e ações permitidas no Microsoft Sentinel.
| Funções | Ver e executar playbooks | Criar e editar playbooks | Criar e editar regras analíticas, pastas de trabalho e outros recursos do Microsoft Sentinel | Gerencie incidentes como dispensar e atribuir | Exibir incidentes de dados, pastas de trabalho e outros recursos do Microsoft Sentinel | Instalar e gerenciar conteúdo do hub de conteúdo |
|---|---|---|---|---|---|---|
| Leitor do Microsoft Sentinel | No | No | No | No | Sim | No |
| Respondedor do Microsoft Sentinel | No | No | No | Sim | Sim | No |
| Contribuidor do Microsoft Sentinel | No | No | Sim | Sim | Sim | No |
| Operador do Microsoft Sentinel Playbook | Sim | No | No | No | No | Não |
| Colaborador do Aplicativo Lógico | Sim | Sim | No | No | No | Não |
| Contribuidor de especificações de modelo | No | No | No | No | No | Sim |
Funções personalizadas e RBAC do Azure avançado
Se as funções internas do Azure não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas. Assim como as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço para escopos de grupo de gerenciamento, assinatura e grupo de recursos.
Gorjeta
Os aplicativos e serviços usam uma identidade de segurança para acessar recursos específicos do Azure. Pense nisso como uma identidade de usuário (nome de usuário e senha ou certificado) para um aplicativo. Escopo é o conjunto de recursos aos quais o acesso se aplica.
As assinaturas que confiam no mesmo diretório do Microsoft Entra podem compartilhar funções personalizadas entre elas. Há um limite de 5.000 funções personalizadas por diretório. As funções personalizadas podem ser criadas usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST.
Nota
Para o Azure Alemanha e o Azure China 21Vianet, o limite é de 2.000 funções personalizadas.
Nesta unidade, você aprendeu sobre as funções internas para usuários do Microsoft Sentinel e o que cada função permite que os usuários façam. Depois de entender as funções e permissões e como elas são mapeadas para sua organização, você pode habilitar com confiança o Microsoft Sentinel.