Роли и разрешения в Microsoft Sentinel
Эта статья объясняет, как Microsoft Sentinel назначает разрешения пользователям и определяет разрешенные действия для каждой роли. Microsoft Sentinel использует управление доступом на основе ролей (Azure RBAC) с несколькими встроенными ролями, которые можно назначать пользователям, группам и службам в Azure.
С помощью Azure RBAC вы можете создавать и назначать роли в группе операций безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли позволяют точно контролировать, к чему пользователи Microsoft Sentinel имеют доступ и что они могут делать. Роли Azure можно назначать в рабочей области Microsoft Sentinel напрямую (см. примечание ниже) либо в подписке или группе ресурсов, которой принадлежит рабочая область (Microsoft Sentinel наследует их).
Роли и разрешения для работы в Microsoft Sentinel
Роли, относящиеся к Microsoft Sentinel
Все встроенные роли Microsoft Sentinel предоставляют доступ на чтение данных в рабочей области Microsoft Sentinel.
Читатель Microsoft Sentinel может просматривать данные, инциденты, книги и другие ресурсы Microsoft Sentinel.
Microsoft Sentinel Responder может, в дополнение к описанному выше, управлять инцидентами (назначать, отклонять и т. д.).
Участник Microsoft Sentinel может в дополнение к описанному выше, создавать и редактировать книги, правила аналитики и другие ресурсы Microsoft Sentinel.
Оператор сборника схем Microsoft Sentinel может выписывать, просматривать и запускать сборники схем вручную.
Участник автоматизации Microsoft Sentinel позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Она не предназначена для учетных записей пользователей.
Примечание
Для достижения наилучших результатов роли необходимо назначать группе ресурсов, которая содержит рабочую область Microsoft Sentinel. В результате роли применяются ко всем ресурсам, поддерживающим Microsoft Sentinel, так как эти ресурсы также должны размещаться в той же группе ресурсов.
Другой вариант предусматривает назначение ролей непосредственно рабочей области Microsoft Sentinel. При этом необходимо назначить те же роли ресурсу решения SecurityInsights в этой рабочей области. Вам может потребоваться назначить их другим ресурсам, а также необходимо будет постоянно управлять назначениями ролей в ресурсах.
Другие роли и разрешения
Пользователям с определенными требованиями к заданиям может потребоваться назначить другие роли или определенные разрешения для выполнения своих задач.
Работа со сборниками схем для автоматизации реагирования на угрозы
Для автоматического реагирования на угрозу Microsoft Sentinel использует сборники схем. Сборники схем основаны на Azure Logic Apps и являются отдельным ресурсом Azure. Вы можете предоставить определенным участникам отдела безопасности возможность использовать Logic Apps для оркестрации, автоматизации событий безопасности и реагирования на них (SOAR). Вы можете использовать роль Оператора сборника схем Microsoft Sentinel для назначения явных ограниченных разрешений на выполнение сборников схем и роль Участник приложения логики для создания и редактирования сборников схем.
Предоставление Microsoft Sentinel разрешений на выполнение сборников схем
Microsoft Sentinel использует специальную учетную запись службы для выполнения инициируемых инцидентами сборников схем вручную или для их вызова из правил автоматизации. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы.
Чтобы правило автоматизации могло выполнять сборник схем, этой учетной записи необходимо предоставить явные разрешения для группы ресурсов, в которой находится сборник схем. На этом этапе любое правило автоматизации может выполнить любой сборник схем в этой группе ресурсов. Чтобы предоставить такие разрешения этой учетной записи службы, у вашей учетной записи должны быть разрешения владельца для групп ресурсов, содержащих сборники схем.
Подключение источников данных к Microsoft Sentinel
Чтобы пользователь мог добавлять соединители данных, ему необходимо назначить разрешения на запись в рабочую область Microsoft Sentinel. Обратите внимание на необходимые дополнительные разрешения для каждого соединителя, перечисленные на его странице.
Назначение инцидентов гостевыми пользователями
Если у гостевых пользователей должна быть возможность назначать инциденты, требуется назначить пользователю роль Читатель каталога в дополнение к роли респондента Microsoft Sentinel. Обратите внимание, что роль читателя каталога является не ролью Azure, а ролью Azure Active Directory и обычным пользователям (не являющимся гостевыми) назначается по умолчанию.
Создание и удаление книг
Для создания и удаления книги Microsoft Sentinel нужно, чтобы у пользователя была роль участника Microsoft Sentinel, либо роль Microsoft Sentinel более низкого уровня, а также роль Участник для книг Azure Monitor. Эта роль не является обязательной для использования книг, но необходима для их создания и удаления.
Роли Azure и Log Analytics, которые могут быть назначены
При назначении ролей Microsoft Sentinel в Azure вам могут встречаться другие роли Azure и Log Analytics, назначенные пользователям в других целях. Помните, что эти роли предусматривают более широкий набор разрешений, включая доступ к рабочей области Microsoft Sentinel и другим ресурсам.
Роли Azure могут быть следующими: владелец, участник и читатель. Роли Azure обеспечивают доступ ко всем ресурсам Azure, включая рабочие области Log Analytics и ресурсы Microsoft Sentinel.
Роли Log Analytics могут быть следующими:участник Log Analytics и читатель Log Analytics. Роли Log Analytics обеспечивают доступ по всем вашим рабочим областям Log Analytics.
Например, пользователь, которому назначена роль читателя Microsoft Sentinel, но не участника Microsoft Sentinel, может изменять элементы в Microsoft Sentinel, если также обладает ролью участника на уровне Azure. Таким образом, если вы хотите предоставить разрешения пользователю только в Microsoft Sentinel, внимательно удалите его предыдущие разрешения и убедитесь, что не нарушаете его доступ к другому ресурсу.
Роли Microsoft Sentinel, разрешения и разрешенные действия
В этой таблице перечислены роли и связанные с ними разрешенные действия в Microsoft Sentinel.
| Роль | Просмотр и запуск сборников схем | Создание и изменение сборников схем | Создание и изменение правил аналитики, книг и других ресурсов Microsoft Sentinel | Управление инцидентами (отклонение, назначение и т. д.) | Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel |
|---|---|---|---|---|---|
| Читатель Microsoft Sentinel | -- | -- | --* | -- | ✓ |
| Респондент Microsoft Sentinel | -- | -- | --* | ✓ | ✓ |
| Участник Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ |
| Оператор сборника схем Microsoft Sentinel | ✓ | -- | -- | -- | -- |
| Создатель приложений логики | ✓ | ✓ | -- | -- | -- |
* Пользователи с этими ролями могут создавать и удалять книги с помощью роли Участник для книг. См. раздел Другие роли и разрешения.
Ознакомьтесь с рекомендациями по использованию ролей, чтобы узнать, какие роли назначать тем или иным пользователям в SOC.
Пользовательские роли и расширенные роли Azure RBAC
Настраиваемые роли. В дополнение к встроенным ролям Azure (или вместо них) вы можете создать настраиваемые роли Azure для Microsoft Sentinel. Настраиваемые роли Azure для Microsoft Sentinel создаются так же, как и другие настраиваемые роли Azure, на основе особых разрешений в Microsoft Sentinel и ресурсах Azure Log Analytics.
Управление доступом на основе ролей Log Analytics. Вы можете использовать расширенное управление доступом на основе ролей Azure в Log Analytics для данных в рабочей области Microsoft Sentinel. Сюда входят как Azure RBAC на основе типов данных, так и Azure RBAC на основе ресурсов. Чтобы получить дополнительные сведения, обратитесь к разделу
- Управление данными журнала и рабочей областью в Azure Monitor
- Ресурсно-контекстное управление доступом на основе ролей для Microsoft Sentinel
- Контроль доступа на основе ролей на уровне таблицы
Управление доступом на основе ролей в контексте ресурсов и на уровне таблиц — это два способа предоставления доступа к определенным данным в рабочей области Microsoft Sentinel без доступ ко всей среде Microsoft Sentinel.
Рекомендации, касающиеся ролей и разрешений
Чтобы понять, как работают роли и разрешения в Microsoft Sentinel, вы можете воспользоваться следующими рекомендациями по применению ролей к пользователям:
| Тип пользователя | Роль | Группа ресурсов | Описание |
|---|---|---|---|
| Аналитики безопасности | Респондент Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel. Управление инцидентами, в том числе назначение или отклонение инцидентов. |
| Оператор сборника схем Microsoft Sentinel | Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши сборники схем | Присоединяйте сборники схем к правилам аналитики и автоматизации. Запуск сборников схем. |
|
| Инженеры по безопасности | Участник Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel. Управление инцидентами, в том числе назначение или отклонение инцидентов. Создание и изменение книг, правил аналитики и других ресурсов Microsoft Sentinel. |
| Участник Logic Apps | Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши сборники схем | Присоединяйте сборники схем к правилам аналитики и автоматизации. Запуск и изменение сборников схем. |
|
| Субъект-служба | Участник Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Автоматическая настройка задач управления |
Совет
В зависимости от принимаемых или отслеживаемых данных могут потребоваться дополнительные роли. Например, для настройки соединителей данных для служб на других порталах Майкрософт могут потребоваться роли Azure AD, такие как роли глобального администратора или администратора безопасности.
Следующие шаги
Из этой статьи вы узнали о работе с ролями для пользователей Microsoft Sentinel и о том, что каждая из них разрешает делать пользователям.
В блоге Microsoft Sentinel вы найдете публикации о безопасности и соответствии требованиям Azure.