Microsoft Sentinel izinlerini ve rollerini açıklama
Kavram kanıtı ortamını dağıtmak için başarılı bir dağıtım için gereken izinleri ve rolleri anlamanız gerekir.
Microsoft Sentinel'de izinlere genel bakış
Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yöneten yetkilendirme sistemidir. Azure kaynakları için ayrıntılı erişim yönetimi sağlayan Azure Resource Manager üzerine kurulmuştur.
SecOps ekibinizde rol oluşturmak ve atamak için Azure RBAC kullanın. Azure RBAC, Microsoft Sentinel'e uygun erişimi vermenizi sağlar. Farklı roller, Microsoft Sentinel kullanıcılarının erişebilecekleri ve yapabilecekleri üzerinde size özel denetim sağlar.
Azure RBAC rolleri atayabilirsiniz:
- Doğrudan Microsoft Sentinel çalışma alanında
- Abonelikte
- Microsoft Sentinel'in devraldığı çalışma alanının ait olduğu kaynak grubuna
Microsoft Sentinel'e özgü roller
Aşağıdakiler ayrılmış, yerleşik Microsoft Sentinel rolleridir:
- Okuyucu: Bu rol verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını gözden geçirebilir.
- Yanıtlayıcı: Bu rol, Okuyucu rolünün tüm izinlerine sahiptir. Ayrıca, olayları atayarak veya kapatarak yönetebilir.
- Katkıda Bulunan: Bu rol, Okuyucu ve Yanıtlayıcı rollerinin tüm izinlerine sahiptir. Ayrıca çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturabilir ve düzenleyebilir. Microsoft Sentinel'i kiracınıza dağıtmak için, Microsoft Sentinel çalışma alanının dağıtıldığı abonelik için Katkıda Bulunan izinlerine sahip olmanız gerekir.
- Playbook İşleci: Bu rol playbook'ları listeleyebilir, görüntüleyebilir ve el ile çalıştırabilir.
- Otomasyon Katkıda Bulunanı: Bu rol, Microsoft Sentinel'in otomasyon kurallarına playbook eklemesine olanak tanır. Kullanıcı hesapları için tasarlanmamıştır.
Tüm yerleşik Microsoft Sentinel rolleri, Microsoft Sentinel çalışma alanınızdaki verilere okuma erişimi verir. En iyi sonuçları elde etmek için bu roller Microsoft Sentinel çalışma alanını içeren kaynak grubuna atanmalıdır. Ardından roller, microsoft Sentinel'i desteklemek üzere dağıtan tüm kaynaklara (bu kaynaklar aynı kaynak grubundaysa) uygulanır.
Azure rolleri ve Azure İzleyici Log Analytics rolleri
Microsoft Sentinel'e ayrılmış Azure RBAC rollerine ek olarak, diğer Azure ve Log Analytics Azure RBAC rolleri daha geniş bir izin kümesi verebilir. Bu roller, Microsoft Sentinel çalışma alanınıza ve diğer kaynaklara erişimi içerir.
Azure rolleri tüm Azure kaynaklarınıza erişim verir. Log Analytics çalışma alanlarını ve Microsoft Sentinel kaynaklarını içerir:
- Sahip
- Katılımcı
- Okuyucu
- Şablon Belirtimi Katkıda Bulunanı
Log Analytics rolleri, tüm Log Analytics çalışma alanlarınızda erişim verir:
- Log Analytics Katkıda Bulunan
- Log Analytics Okuyucusu
Örneğin, Microsoft Sentinel Okuyucusu ve Azure Katkıda Bulunanı (Microsoft Sentinel Katkıda Bulunanı değil) rolleri ile atanan bir kullanıcı Microsoft Sentinel'deki verileri düzenleyebilir. Yalnızca Microsoft Sentinel'e izin vermek istiyorsanız, kullanıcının önceki izinlerini dikkatlice kaldırmanız gerekir. Başka bir kaynak için gerekli izin rolünü bozmadığınızdan emin olun.
Microsoft Sentinel rolleri ve izin verilen eylemler
Aşağıdaki tabloda, Microsoft Sentinel'deki roller ve izin verilen eylemler özetlenmiştir.
| Roller | Playbook'ları görüntüleme ve çalıştırma | Playbook oluşturma ve düzenleme | Analitik kuralları, çalışma kitapları ve diğer Microsoft Sentinel kaynaklarını oluşturma ve düzenleme | Kapatma ve atama gibi olayları yönetme | Veri olaylarını, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleme | İçerik hub'ından içerik yükleme ve yönetme |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Okuyucusu | Hayır | Hayı | Hayı | Hayı | Evet | Hayır |
| Microsoft Sentinel Yanıtlayıcısı | Hayır | Hayı | Hayı | Evet | Evet | Hayır |
| Microsoft Sentinel Katkıda Bulunanı | Hayır | Hayı | Evet | Evet | Evet | Hayır |
| Microsoft Sentinel Playbook Operatörü | Evet | Hayı | Hayı | Hayı | Hayı | Hayır |
| Mantıksal Uygulama Katkıda Bulunanı | Evet | Evet | Hayı | Hayı | Hayı | Hayır |
| Şablon Belirtimi Katkıda Bulunanı | Hayır | Hayı | Hayı | Hayı | Hayı | Evet |
Özel roller ve gelişmiş Azure RBAC
Yerleşik Azure rolleri kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi özel rollerinizi oluşturabilirsiniz. Yerleşik roller gibi, yönetim grubu, abonelik ve kaynak grubu kapsamları için kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz.
Bahşiş
Uygulamalar ve hizmetler belirli Azure kaynaklarına erişmek için bir güvenlik kimliği kullanır. Bunu bir uygulama için kullanıcı kimliği (kullanıcı adı ve parola veya sertifika) olarak düşünün. Kapsam , erişimin uygulandığı kaynak kümesidir.
Aynı Microsoft Entra dizinine güvenen abonelikler aralarında özel roller paylaşabilir. Dizin başına 5.000 özel rol sınırı vardır. Azure portalı, Azure PowerShell, Azure CLI veya REST API kullanılarak özel roller oluşturulabilir.
Dekont
Azure Almanya ve Azure China 21Vianet için sınır 2.000 özel roldür.
Bu ünitede, Microsoft Sentinel kullanıcılarına yönelik yerleşik roller ve her rolün kullanıcıların neler yapmasına izin verenler hakkında bilgi edindınız. Rolleri ve izinleri ve bunların kuruluşunuzla nasıl eşlendiklerini anladıktan sonra Microsoft Sentinel'i güvenle etkinleştirebilirsiniz.