Aracılığıyla paylaş


Microsoft Sentinel'de roller ve izinler

Bu makalede, Microsoft Sentinel'in kullanıcı rollerine izinleri nasıl atayladığı ve her rol için izin verilen eylemleri nasıl tanımladığı açıklanmaktadır. Microsoft Sentinel, Azure'daki kullanıcılara, gruplara ve hizmetlere atanabilecek yerleşik roller sağlamak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.

Microsoft Sentinel'e uygun erişim vermek üzere güvenlik operasyonları ekibinizde rol oluşturmak ve atamak için Azure RBAC'yi kullanın. Farklı roller, Microsoft Sentinel kullanıcılarının görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlar. Azure rolleri doğrudan Microsoft Sentinel çalışma alanında veya çalışma alanının ait olduğu ve Microsoft Sentinel'in devraldığı bir abonelikte veya kaynak grubunda atanabilir.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Microsoft Sentinel'de çalışmaya yönelik roller ve izinler

Yerleşik rolleri kullanarak çalışma alanınızdaki verilere uygun erişimi verin. Kullanıcının iş görevlerine bağlı olarak daha fazla rol veya belirli izinler vermeniz gerekebilir.

Microsoft Sentinel'e özgü roller

Tüm Microsoft Sentinel yerleşik rolleri, Microsoft Sentinel çalışma alanınızdaki verilere okuma erişimi verir.

En iyi sonuçları elde etmek için bu rolleri Microsoft Sentinel çalışma alanını içeren kaynak grubuna atayın. Bu şekilde, roller Microsoft Sentinel'i destekleyen tüm kaynaklar için geçerlidir, bu kaynaklar aynı kaynak grubuna da yerleştirilmelidir.

Başka bir seçenek olarak, rolleri doğrudan Microsoft Sentinel çalışma alanına atayın. Bunu yaparsanız, bu çalışma alanında SecurityInsights çözüm kaynağına aynı rolleri atamanız gerekir. Ayrıca bunları diğer kaynaklara atamanız ve kaynaklara rol atamalarını sürekli yönetmeniz gerekebilir.

Diğer roller ve izinler

Belirli iş gereksinimleri olan kullanıcılara görevlerini gerçekleştirmek için başka roller veya belirli izinler atanması gerekebilir.

  • İlk çalıştırma içeriğini yükleme ve yönetme

    Microsoft Sentinel'deki içerik hub'ından uçtan uca ürünler veya tek başına içerik için paketlenmiş çözümler bulun. İçerik hub'ından içerik yüklemek ve yönetmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolünü atayın.

  • Playbook'larla tehditlere yanıtları otomatikleştirme

    Microsoft Sentinel, otomatik tehdit yanıtı için playbook'ları kullanır. Playbook'lar Azure Logic Apps üzerinde oluşturulur ve ayrı bir Azure kaynağıdır. Güvenlik operasyonları ekibinizin belirli üyeleri için Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemleri için Logic Apps'i kullanma yeteneği atamak isteyebilirsiniz. Playbook'ları çalıştırmak için açık, sınırlı izin atamak için Microsoft Sentinel Playbook Operatörü rolünü ve playbook'ları oluşturmak ve düzenlemek için Logic App Katılımcısı rolünü kullanabilirsiniz.

  • Playbook'ları çalıştırmak için Microsoft Sentinel izinleri verme

    Microsoft Sentinel, olay tetikleyici playbook'larını el ile çalıştırmak veya otomasyon kurallarından çağırmak için özel bir hizmet hesabı kullanır. Bu hesabın kullanımı (kullanıcı hesabınızın aksine) hizmetin güvenlik düzeyini artırır.

    Bir otomasyon kuralının playbook çalıştırması için bu hesaba playbook'un bulunduğu kaynak grubu için açık izinler verilmelidir. Bu noktada, herhangi bir otomasyon kuralı bu kaynak grubundaki herhangi bir playbook'u çalıştırabilir. Bu hizmet hesabına bu izinleri vermek için hesabınızın playbook'ları içeren kaynak grupları için Sahip izinlerine sahip olması gerekir.

  • Veri kaynaklarını Microsoft Sentinel'e bağlama

    Bir kullanıcının veri bağlayıcıları eklemesi için kullanıcıya Microsoft Sentinel çalışma alanında Yazma izinleri atamanız gerekir. İlgili bağlayıcı sayfasında listelendiği gibi her bağlayıcı için gerekli ek izinlere dikkat edin.

  • Konuk kullanıcıların olay atamasına izin ver

    Konuk kullanıcının olayları atayabilmesi gerekiyorsa, Kullanıcıya Microsoft Sentinel Yanıtlayıcı rolüne ek olarak Dizin Okuyucusu rolünü atamanız gerekir. Dizin Okuyucusu rolü bir Azure rolü değil, bir Microsoft Entra rolü ve normal (enguest olmayan) kullanıcıların bu rolü varsayılan olarak ataması gerekir.

  • Çalışma kitaplarını oluşturma ve silme

    Microsoft Sentinel çalışma kitabı oluşturmak ve silmek için, kullanıcının Çalışma Kitabı Katkıda Bulunanı Azure İzleyici rolüyle birlikte Microsoft Sentinel Katkıda Bulunanı rolüne veya daha küçük bir Microsoft Sentinel rolüne ihtiyacı vardır. Bu rol, çalışma kitaplarını kullanmak için gerekli değildir, yalnızca oluşturmak ve silmek için gereklidir.

Atanmış olarak görebileceğiniz Azure ve Log Analytics rolleri

Microsoft Sentinel'e özgü Azure rollerini atadığınızda, kullanıcılara başka amaçlarla atanabilecek diğer Azure ve Log Analytics rolleriyle karşılaşabilirsiniz. Bu roller, Microsoft Sentinel çalışma alanınıza ve diğer kaynaklara erişim içeren daha geniş bir izin kümesi verir:

Örneğin, Microsoft Sentinel Okuyucusu rolünü atayan ancak Microsoft Sentinel Katkıda Bulunan rolü olmayan bir kullanıcı, Azure düzeyinde Katkıda Bulunan rolüne de atanmışsa Microsoft Sentinel'deki öğeleri düzenlemeye devam edebilir. Bu nedenle, bir kullanıcıya yalnızca Microsoft Sentinel'de izin vermek istiyorsanız, başka bir kaynağa gereken erişimi bozmadığınızdan emin olarak bu kullanıcının önceki izinlerini dikkatlice kaldırın.

Microsoft Sentinel rolleri, izinleri ve izin verilen eylemler

Bu tabloda, Microsoft Sentinel rolleri ve Microsoft Sentinel'deki izin verilen eylemleri özetlenmiştir.

Role Playbook'ları görüntüleme ve çalıştırma Playbook oluşturma ve düzenleme Analiz kuralları, çalışma kitapları ve diğer Microsoft Sentinel kaynaklarını oluşturma ve düzenleme Olayları yönetme (kapatma, atama vb.) Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleme İçerik hub'ından içerik yükleme ve yönetme
Microsoft Sentinel Okuyucusu -- -- --* -- --
Microsoft Sentinel Yanıtlayıcısı -- -- --* --
Microsoft Sentinel Katkıda Bulunanı -- --
Microsoft Sentinel Playbook Operatörü -- -- -- -- --
Mantıksal Uygulama Katkıda Bulunanı -- -- -- --

* Bu rollere sahip kullanıcılar, Çalışma Kitabı Katkıda Bulunanı rolüyle çalışma kitapları oluşturabilir ve silebilir. Diğer roller ve izinler hakkında bilgi edinin.

SOC'nizdeki hangi kullanıcılara hangi rollerin atanması için rol önerilerini gözden geçirin.

Özel roller ve gelişmiş Azure RBAC

Rol ve izin önerileri

Microsoft Sentinel'de rollerin ve izinlerin nasıl çalıştığını anladıktan sonra kullanıcılarınıza rol uygulamak için şu en iyi yöntemleri gözden geçirebilirsiniz:

Kullanıcı türü Role Kaynak grubu Açıklama
Güvenlik analistleri Microsoft Sentinel Yanıtlayıcısı Microsoft Sentinel'in kaynak grubu Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyin.

Olayları atama veya kapatma gibi olayları yönetin.
Microsoft Sentinel Playbook Operatörü Microsoft Sentinel'in kaynak grubu veya playbook'larınızın depolandığı kaynak grubu Analiz ve otomasyon kurallarına playbook'lar ekleyin.
Playbook'ları çalıştırın.
Güvenlik mühendisleri Microsoft Sentinel Katkıda Bulunanı Microsoft Sentinel'in kaynak grubu Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyin.

Olayları atama veya kapatma gibi olayları yönetin.

Çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturun ve düzenleyin.

İçerik hub'ından çözümleri yükleyin ve güncelleştirin.
Logic Apps Katkıda Bulunanı Microsoft Sentinel'in kaynak grubu veya playbook'larınızın depolandığı kaynak grubu Analiz ve otomasyon kurallarına playbook'lar ekleyin.
Playbook'ları çalıştırın ve değiştirin.
Hizmet Sorumlusu Microsoft Sentinel Katkıda Bulunanı Microsoft Sentinel'in kaynak grubu Yönetim görevleri için otomatik yapılandırma

Alınan veya izlediğiniz verilere bağlı olarak daha fazla rol gerekebilir. Örneğin, diğer Microsoft portallarındaki hizmetler için veri bağlayıcıları ayarlamak için Güvenlik Yöneticisi rolü gibi Microsoft Entra rolleri gerekebilir.

Kaynak tabanlı erişim denetimi

Microsoft Sentinel çalışma alanınızda yalnızca belirli verilere erişmesi gereken ancak Microsoft Sentinel ortamının tamamına erişimi olmaması gereken bazı kullanıcılarınız olabilir. Örneğin, sahip oldukları sunucuların Windows olay verilerine erişimi olan güvenlik işlemlerinin dışında bir ekip sağlamak isteyebilirsiniz.

Böyle durumlarda, rol tabanlı erişim denetiminizi (RBAC) Microsoft Sentinel çalışma alanına veya belirli Microsoft Sentinel özelliklerine erişim sağlamak yerine kullanıcılarınıza izin verilen kaynaklara göre yapılandırmanızı öneririz. Bu yöntem, kaynak bağlamı RBAC'sini ayarlama olarak da bilinir. Daha fazla bilgi için bkz . Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.

Sonraki adımlar

Bu makalede, Microsoft Sentinel kullanıcıları için rollerle çalışmayı ve her rolün kullanıcıların neler yapmalarına olanak sağladığını öğrendiniz.