Поделиться через


Роли и разрешения в Microsoft Sentinel

Эта статья объясняет, как Microsoft Sentinel назначает разрешения пользователям и определяет разрешенные действия для каждой роли. Microsoft Sentinel использует управление доступом на основе ролей (Azure RBAC) с несколькими встроенными ролями, которые можно назначать пользователям, группам и службам в Azure. Эта статья является частью руководства по развертыванию Microsoft Sentinel.

С помощью Azure RBAC вы можете создавать и назначать роли в группе операций безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли позволяют точно контролировать, к чему пользователи Microsoft Sentinel имеют доступ и что они могут делать. Роли Azure можно назначать непосредственно в рабочей области Microsoft Sentinel или в подписке или группе ресурсов, к которой принадлежит рабочая область, к которой наследует Microsoft Sentinel.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Роли и разрешения для работы в Microsoft Sentinel

Предоставьте соответствующий доступ к данным в рабочей области с помощью встроенных ролей. В зависимости от задач задания пользователя может потребоваться предоставить дополнительные роли или определенные разрешения.

Роли, относящиеся к Microsoft Sentinel

Все встроенные роли Microsoft Sentinel предоставляют доступ на чтение данных в рабочей области Microsoft Sentinel.

  • Роль читателя Microsoft Sentinel дает возможность просматривать данные, инциденты, книги и другие ресурсы Microsoft Sentinel.

  • Microsoft Sentinel Responder может в дополнение к разрешениям microsoft Sentinel Reader, управлять инцидентами, такими как назначение, увольнение и изменение инцидентов.

  • Участник Microsoft Sentinel может в дополнение к разрешениям Microsoft Sentinel Responder, устанавливать и обновлять решения из концентратора содержимого, а также создавать и изменять ресурсы Microsoft Sentinel, такие как книги, правила аналитики и многое другое.

  • Оператор сборников схем Microsoft Sentinel может перечислять, просматривать и вручную запускать сборники схем.

  • Роль участника автоматизации Microsoft Sentinel позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Она не предназначена для учетных записей пользователей.

Для достижения наилучших результатов роли необходимо назначать группе ресурсов, которая содержит рабочую область Microsoft Sentinel. В результате роли применяются ко всем ресурсам, поддерживающим Microsoft Sentinel, так как эти ресурсы также должны размещаться в той же группе ресурсов.

Другой вариант предусматривает назначение ролей непосредственно рабочей области Microsoft Sentinel. При этом необходимо назначить те же роли ресурсу решения SecurityInsights в этой рабочей области. Также может потребоваться назначить их другим ресурсам и постоянно управлять назначениями ролей для ресурсов.

Другие роли и разрешения

Для выполнения задач пользователям с определенными требованиями к заданию может потребоваться назначить другие роли или определенные разрешения.

  • Установка и управление устаревшим содержимым

    Найдите упакованные решения для комплексных продуктов или автономного содержимого из концентратора содержимого в Microsoft Sentinel. Чтобы установить содержимое из концентратора содержимого и управлять ими, назначьте роль участника Microsoft Sentinel на уровне группы ресурсов.

  • Автоматизация ответов на угрозы с помощью сборников схем

    Для автоматического реагирования на угрозу Microsoft Sentinel использует сборники схем. Сборники схем основаны на Azure Logic Apps и являются отдельным ресурсом Azure. Вы можете предоставить определенным участникам отдела безопасности возможность использовать Logic Apps для оркестрации, автоматизации событий безопасности и реагирования на них (SOAR). Вы можете использовать роль оператора playbook Microsoft Sentinel для назначения явного, ограниченного разрешения для запуска сборников схем, а также роли участника приложения логики для создания и редактирования сборников схем.

  • Предоставление разрешений Microsoft Sentinel для запуска сборников схем

    Microsoft Sentinel использует специальную учетную запись службы для выполнения инициируемых инцидентами сборников схем вручную или для их вызова из правил автоматизации. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы.

    Чтобы правило автоматизации могло выполнять сборник схем, этой учетной записи необходимо предоставить явные разрешения для группы ресурсов, в которой находится сборник схем. На этом этапе любое правило автоматизации может выполнить любой сборник схем в этой группе ресурсов. Чтобы предоставить такие разрешения этой учетной записи службы, у вашей учетной записи должны быть разрешения владельца для групп ресурсов, содержащих сборники схем.

  • Подключение источников данных к Microsoft Sentinel

    Чтобы пользователь добавлял соединители данных, необходимо назначить разрешения на запись пользователя в рабочей области Microsoft Sentinel. Обратите внимание на необходимые дополнительные разрешения для каждого соединителя, как указано на соответствующей странице соединителя.

  • Разрешить гостевым пользователям назначать инциденты

    Если гостевой пользователь должен иметь возможность назначать инциденты, необходимо назначить роль читателя каталогов пользователю в дополнение к роли Microsoft Sentinel Responder. Роль читателя каталогов не является ролью Azure, а ролью Microsoft Entra, а обычными (негрестными) пользователями назначена эта роль по умолчанию.

  • Создание и удаление книг

    Чтобы создать и удалить книгу Microsoft Sentinel, пользователю требуется роль участника Microsoft Sentinel или меньшая роль Microsoft Sentinel вместе с ролью Участника книги Azure Monitor. Эта роль не является обязательной для использования книг, но необходима для их создания и удаления.

Роли Azure и Log Analytics, которые могут быть назначены

При назначении ролей Azure, относящихся к Microsoft Sentinel, вы можете столкнуться с другими ролями Azure и Log Analytics, которые могут быть назначены пользователям в других целях. Эти роли предоставляют более широкий набор разрешений, включая доступ к рабочей области Microsoft Sentinel и другим ресурсам:

  • Роли Azure могут быть следующими: владелец, участник и читатель. Роли Azure обеспечивают доступ ко всем ресурсам Azure, включая рабочие области Log Analytics и ресурсы Microsoft Sentinel.

  • Роли Log Analytics могут быть следующими: участник Log Analytics и читатель Log Analytics. Роли Log Analytics обеспечивают доступ по всем вашим рабочим областям Log Analytics.

Например, пользователь, которому назначена роль читателя Microsoft Sentinel, но не участника Microsoft Sentinel, может изменять элементы в Microsoft Sentinel, если также обладает ролью участника на уровне Azure. Таким образом, если вы хотите предоставить разрешения пользователю только в Microsoft Sentinel, тщательно удалите предыдущие разрешения этого пользователя, убедившись, что вы не прерываете доступ к другому ресурсу.

Роли Microsoft Sentinel, разрешения и разрешенные действия

В этой таблице перечислены роли и связанные с ними разрешенные действия в Microsoft Sentinel.

Роль Просмотр и запуск сборников схем Создание и изменение сборников схем Создание и изменение правил аналитики, книг и других ресурсов Microsoft Sentinel Управление инцидентами (отклонение, назначение и т. д.) Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel Установка содержимого из концентратора содержимого и управление ими
Читатель Microsoft Sentinel -- -- --* -- --
Респондент Microsoft Sentinel -- -- --* --
Участник Microsoft Sentinel -- --
Оператор сборника схем Microsoft Sentinel -- -- -- -- --
Создатель приложений логики -- -- -- --

* Пользователи с этими ролями могут создавать и удалять книги с помощью роли Участник для книг. См. раздел Другие роли и разрешения.

Ознакомьтесь с рекомендациями по использованию ролей, чтобы узнать, какие роли назначать тем или иным пользователям в SOC.

Пользовательские роли и расширенные роли Azure RBAC

Рекомендации, касающиеся ролей и разрешений

Чтобы понять, как работают роли и разрешения в Microsoft Sentinel, вы можете воспользоваться следующими рекомендациями по применению ролей к пользователям:

Тип пользователя Роль Группа ресурсов Description
Аналитики безопасности Microsoft Sentinel Responder Группа ресурсов Microsoft Sentinel Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel.

Управление инцидентами, в том числе назначение или отклонение инцидентов.
Оператор сборника схем Microsoft Sentinel Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши сборники схем Подключите сборники схем к правилам аналитики и автоматизации.
Запустите сборники схем.
Инженеры по безопасности Участник Microsoft Sentinel Группа ресурсов Microsoft Sentinel Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel.

Управление инцидентами, в том числе назначение или отклонение инцидентов.

Создание и изменение книг, правил аналитики и других ресурсов Microsoft Sentinel.

Установка и обновление решений из концентратора содержимого.
Участник Logic Apps Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши сборники схем Подключите сборники схем к правилам аналитики и автоматизации.
Запустите и измените сборники схем.
Субъект-служба Участник Microsoft Sentinel Группа ресурсов Microsoft Sentinel Автоматическая настройка задач управления

Дополнительные роли могут потребоваться в зависимости от данных, которые вы выполняете или отслеживаете. Например, роли Microsoft Entra могут потребоваться, например роль администратора безопасности, для настройки соединителей данных для служб на других порталах Майкрософт.

Управление доступом на основе ресурсов

У вас могут быть некоторые пользователи, которым требуется доступ только к определенным данным в рабочей области Microsoft Sentinel, но не должны иметь доступ ко всей среде Microsoft Sentinel. Например, может потребоваться предоставить команде вне операций безопасности доступ к данным событий Windows для серверов, которыми они принадлежат.

В таких случаях рекомендуется настроить управление доступом на основе ролей (RBAC), указав разрешенные для пользователей ресурсы, а не предоставлять им полный доступ к рабочей области Microsoft Sentinel или функциям Microsoft Sentinel. Этот метод также известен как RBAC в контексте ресурсов. Дополнительные сведения см. в статье Управление доступом к данным Microsoft Sentinel по ресурсам.

Следующие шаги

Из этой статьи вы узнали о работе с ролями для пользователей Microsoft Sentinel и о том, что каждая из них разрешает делать пользователям.