Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как Microsoft Sentinel назначает разрешения ролям пользователей для Microsoft Sentinel SIEM и Microsoft Sentinel озера данных, определяя допустимые действия для каждой роли.
Microsoft Sentinel использует управление доступом на основе Azure ролей (Azure RBAC) для предоставления встроенных и настраиваемых ролей для Microsoft Sentinel SIEM и управления доступом на основе ролей Microsoft Entra ID ( Microsoft Entra ID RBAC) для предоставления встроенных и настраиваемых ролей для Microsoft Sentinel озера данных.
Роли можно назначать пользователям, группам и службам в Azure или Microsoft Entra ID.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Примечание.
Если вы используете предварительную версию программы Microsoft Defender XDR, вы можете использовать новую модель Microsoft Defender unified Role-Based контроль доступа (URBAC). Дополнительные сведения см. в разделе Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Встроенные роли Azure для Microsoft Sentinel
Следующие встроенные роли Azure используются для Microsoft Sentinel SIEM и предоставляют доступ на чтение к данным рабочей области, включая поддержку озера данных Microsoft Sentinel. Для достижения наилучших результатов назначьте эти роли на уровне группы ресурсов.
| Role | Поддержка SIEM | Поддержка Озера данных |
|---|---|---|
| Средство чтения Microsoft Sentinel | Просмотр данных, инцидентов, книг, рекомендаций и других ресурсов | Доступ к расширенной аналитике и выполнение интерактивных запросов только в рабочих областях. |
| Ответчик Microsoft Sentinel | Все разрешения читателя, а также управление инцидентами | Н/Д |
| Участник Microsoft Sentinel | Все разрешения ответчика, а также установка и обновление решений, создание и изменение ресурсов | Доступ к расширенной аналитике и выполнение интерактивных запросов только в рабочих областях. |
| Оператор сборника схем Microsoft Sentinel | Перечисление, просмотр и запуск сборников схем вручную | Н/Д |
| Участник службы автоматизации Microsoft Sentinel | Позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Не используется для учетных записей пользователей. | Н/Д |
Например, в следующей таблице приведены примеры задач, которые каждая роль может выполнять в Microsoft Sentinel:
| Role | Запуск сборников схем | Создание и изменение сборников схем | Создание и изменение правил аналитики, книг и т. д. | Управление инцидентами | Просмотр данных, инцидентов, книг, рекомендаций | Управление концентратором содержимого |
|---|---|---|---|---|---|---|
| Средство чтения Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Ответчик Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Участник Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Оператор сборника схем Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Участник приложения логики | ✓ | ✓ | -- | -- | -- | -- |
Рекомендуется назначать роли группе ресурсов, содержащей рабочую область Microsoft Sentinel. Это гарантирует, что все связанные ресурсы, такие как Logic Apps и сборники схем, будут охвачены одними и теми же назначениями ролей.
В качестве другого варианта назначьте роли непосредственно самой рабочей области Microsoft Sentinel. В этом случае необходимо назначить те же роли ресурсу решения SecurityInsights в этой рабочей области. Вам также может потребоваться назначить их другим ресурсам и постоянно управлять назначениями ролей для ресурсов.
Дополнительные роли для определенных задач
Пользователям с определенными требованиями к заданию может потребоваться назначить другие роли или определенные разрешения для выполнения своих задач. Например, вы можете:
| Задача | Необходимые роли и разрешения |
|---|---|
| Подключение источников данных | Разрешение на запись в рабочей области. Дополнительные разрешения, необходимые для каждого соединителя, см. в документации по соединителю. |
| Управление содержимым из центра содержимого | участник Microsoft Sentinel на уровне группы ресурсов |
| Автоматизация ответов с помощью сборников схем |
Microsoft Sentinel оператор сборника схем для запуска сборников схем и участник приложения логики для создания и редактирования сборников схем. Microsoft Sentinel использует сборники схем для автоматического реагирования на угрозы. Сборники схем основаны на Azure Logic Apps и представляют собой отдельный ресурс Azure. Определенным членам вашей команды по операциям безопасности может потребоваться назначить возможность использования Logic Apps для операций оркестрации безопасности, автоматизации и реагирования (SOAR). |
| Разрешить Microsoft Sentinel запускать сборники схем с помощью автоматизации | Учетной записи службы требуются явные разрешения для группы ресурсов сборника схем; для назначения учетной записи требуются разрешения владельца . Microsoft Sentinel использует специальную учетную запись службы для запуска сборников схем триггера инцидентов вручную или для их вызова из правил автоматизации. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы. Чтобы правило автоматизации запуска сборника схем, этой учетной записи должны быть предоставлены явные разрешения для группы ресурсов, в которой находится сборник схем. На этом этапе любое правило автоматизации может запустить любой сборник схем в этой группе ресурсов. |
| Гостевые пользователи назначают инциденты |
Читатель каталога И Microsoft Sentinel Ответчик Роль читателя каталога не является Azure ролью, а ролью Microsoft Entra ID, и обычным (негустным) пользователям эта роль назначается по умолчанию. |
| Создание и удаление книг | участник Microsoft Sentinel или меньшая роль Microsoft Sentinel и участник книги |
Другие роли Azure и Log Analytics
При назначении Microsoft Sentinel ролей Azure вы можете столкнуться с другими ролями Azure и Log Analytics, которые могут быть назначены пользователям для других целей. Эти роли предоставляют более широкий набор разрешений, включая доступ к рабочей области Microsoft Sentinel и другим ресурсам:
- Azure роли:Владелец, Участник, Читатель — предоставляет широкий доступ к Azure ресурсам.
- Роли Log Analytics:участник Log Analytics, читатель Log Analytics — предоставление доступа к рабочим областям Log Analytics.
Важно!
Назначения ролей являются накопительными. Пользователь с Microsoft Sentinel ролями читателя и участника может иметь больше разрешений, чем предполагалось.
Рекомендуемые назначения ролей для пользователей Microsoft Sentinel
| Тип пользователя | Role | Группа ресурсов | Описание |
|---|---|---|---|
| Аналитики безопасности | Ответчик Microsoft Sentinel | группа ресурсов Microsoft Sentinel | Просмотр инцидентов, данных, книг и управление ими |
| Оператор сборника схем Microsoft Sentinel | группа ресурсов Microsoft Sentinel/сборника схем | Присоединение и запуск сборников схем | |
| Инженеры безопасности | Участник Microsoft Sentinel | группа ресурсов Microsoft Sentinel | Управление инцидентами, содержимым, ресурсами |
| Участник приложения логики | группа ресурсов Microsoft Sentinel/сборника схем | Запуск и изменение сборников схем | |
| Субъект-служба | Участник Microsoft Sentinel | группа ресурсов Microsoft Sentinel | Задачи автоматического управления |
Роли и разрешения для озера данных Microsoft Sentinel
Чтобы использовать Microsoft Sentinel озера данных, рабочую область необходимо подключить к порталу Defender и озеру данных Microsoft Sentinel.
Microsoft Sentinel разрешения на чтение озера данных
Microsoft Entra ID роли обеспечивают широкий доступ ко всему содержимому в озере данных. Используйте следующие роли, чтобы предоставить доступ на чтение ко всем рабочим областям в Microsoft Sentinel озера данных, например для выполнения запросов.
| Тип разрешения | Поддерживаемые роли |
|---|---|
| Доступ на чтение во всех рабочих областях | Используйте любую из следующих Microsoft Entra ID ролей: - Глобальное средство чтения - Средство чтения безопасности - Оператор безопасности - Администратор безопасности - глобальный администратор |
Кроме того, может потребоваться назначить возможность чтения таблиц из определенной рабочей области. В таких случаях используйте один из следующих вариантов:
| Задачи | Разрешения |
|---|---|
| Разрешения на чтение в системных таблицах | Используйте настраиваемую Microsoft Defender XDR унифицированной роли RBAC с разрешениями на основы данных безопасности (чтение) для Microsoft Sentinel сбора данных. |
| Разрешения на чтение в любой другой рабочей области, включаемой для Microsoft Sentinel в озере данных | Используйте одну из следующих встроенных ролей в Azure RBAC для получения разрешений в этой рабочей области: - Средство чтения Log Analytics - Участник Log Analytics - Участник Microsoft Sentinel - Средство чтения Microsoft Sentinel - Читатель - Вклад - Владелец |
разрешения на запись Microsoft Sentinel озера данных
Microsoft Entra ID роли обеспечивают широкий доступ во всех рабочих областях в озере данных. Используйте следующие роли, чтобы предоставить доступ на запись к таблицам озера данных Microsoft Sentinel:
| Тип разрешения | Поддерживаемые роли |
|---|---|
| Запись в таблицы на уровне аналитики с помощью заданий KQL или записных книжек | Используйте одну из следующих Microsoft Entra ID ролей: - Оператор безопасности - Администратор безопасности - глобальный администратор |
| Запись в таблицы в озере данных Microsoft Sentinel | Используйте одну из следующих Microsoft Entra ID ролей: - Оператор безопасности - Администратор безопасности - глобальный администратор |
Кроме того, может потребоваться назначить возможность записи выходных данных в определенную рабочую область. Это может включать возможность настройки соединителей для этой рабочей области, изменения параметров хранения для таблиц в рабочей области или создания, обновления и удаления пользовательских таблиц в этой рабочей области. В таких случаях используйте один из следующих вариантов:
| Задачи | Разрешения |
|---|---|
| Обновление системных таблиц в озере данных | Используйте пользовательскую Microsoft Defender XDR унифицированной роли RBAC с разрешениями на управление данными в Microsoft Sentinel сборе данных. |
| Для любой другой рабочей области Microsoft Sentinel в озере данных | Используйте любую встроенную или пользовательскую роль, включающую следующие Azure разрешения RBAC Microsoft Operational Insights в этой рабочей области: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Например, встроенные роли, включающие такие разрешения, как Участник Log Analytics, Владелец и Участник. |
Управление заданиями в озере данных Microsoft Sentinel
Для создания запланированных заданий или управления заданиями в Microsoft Sentinel озере данных необходимо иметь одну из следующих ролей Microsoft Entra ID:
Пользовательские роли и расширенные возможности RBAC
Чтобы ограничить доступ к определенным данным, но не ко всей рабочей области, используйте контекст ресурсов RBAC или RBAC на уровне таблицы. Это полезно для команд, нуждающихся в доступе только к определенным типам данных или таблицам.
В противном случае используйте один из следующих параметров для расширенного RBAC:
- Для доступа Microsoft Sentinel SIEM используйте Azure настраиваемые роли.
- Для Microsoft Sentinel озера данных используйте Defender XDR унифицированные пользовательские роли RBAC.
Связанные материалы
Дополнительные сведения см. в статье Управление данными журнала и рабочими областями в Azure Monitor.