Microsoft Sentinel izinlerini ve rollerini anlama
Microsoft Sentinel, Azure'daki kullanıcılara, gruplara ve hizmetlere atanabilecek yerleşik roller sağlamak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır.
Microsoft Sentinel'e uygun erişim vermek üzere güvenlik operasyonları ekibinizde rol oluşturmak ve atamak için Azure RBAC'yi kullanın. Farklı roller, Microsoft Sentinel kullanıcılarının görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlar. Azure rolleri doğrudan Microsoft Sentinel çalışma alanında veya çalışma alanının ait olduğu ve Microsoft Sentinel'in devralacağı bir abonelikte veya kaynak grubunda atanabilir.
Microsoft Sentinel'e özgü roller
Tüm Microsoft Sentinel yerleşik rolleri, Microsoft Sentinel çalışma alanınızdaki verilere okuma erişimi verir:
Microsoft Sentinel Okuyucusu: Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyebilir.
Microsoft Sentinel Yanıtlayıcı: Yukarıdakilere ek olarak olayları yönetebilir (atama, kapatma vb.)
Microsoft Sentinel Katkıda Bulunanı: Yukarıdakilere ek olarak çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturabilir ve düzenleyebilir.
Microsoft Sentinel Otomasyonu Katkıda Bulunanı: Microsoft Sentinel'in otomasyon kurallarına playbook eklemesine izin verir. Kullanıcı hesapları için tasarlanmamıştır.
En iyi sonuçları elde etmek için bu roller Microsoft Sentinel çalışma alanını içeren kaynak grubuna atanmalıdır. Ardından roller, microsoft Sentinel'i desteklemek üzere dağıtan tüm kaynaklara (bu kaynaklar aynı kaynak grubundaysa) uygulanır.
Ek roller ve izinler
Belirli iş gereksinimleri olan kullanıcılara görevlerini gerçekleştirmek için başka roller veya belirli izinler atanması gerekebilir.
Tehditlere yanıtları otomatikleştirmek için playbook'larla çalışma
Microsoft Sentinel, otomatik tehdit yanıtı için playbook'ları kullanır. Playbook'lar Azure Logic Apps üzerinde oluşturulur ve ayrı bir Azure kaynağıdır. Güvenlik operasyonları ekibinizin belirli üyelerine Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemleri için Logic Apps kullanma olanağı atamak isteyebilirsiniz. Playbook'ları kullanmak için açık izin atamak için Mantıksal Uygulama Katkıda Bulunanı rolünü kullanabilirsiniz.
Playbook'ları çalıştırmak için Microsoft Sentinel izinleri verme
Microsoft Sentinel, olay tetikleyici playbook'larını el ile çalıştırmak veya otomasyon kurallarından çağırmak için özel bir hizmet hesabı kullanır. Bu hesabın kullanımı (kullanıcı hesabınızın aksine) hizmetin güvenlik düzeyini artırır.
Otomasyon kuralının playbook çalıştırması için bu hesaba playbook'un bulunduğu kaynak grubu için açık izinler verilmesi gerekir. Bu noktada, herhangi bir otomasyon kuralı bu kaynak grubundaki herhangi bir playbook'u çalıştırabilir. Bu hizmet hesabına bu izinleri vermek için hesabınızın playbook'ları içeren kaynak gruplarında Sahip izinlerine sahip olması gerekir.
Veri kaynaklarını Microsoft Sentinel'e Bağlan
Bir kullanıcının veri bağlayıcıları eklemesi için, kullanıcıya Microsoft Sentinel çalışma alanında yazma izinleri atamanız gerekir. Ayrıca, ilgili bağlayıcı sayfasında listelendiği gibi her bağlayıcı için gerekli diğer izinleri de not edin.
Olayları atayan konuk kullanıcılar
Konuk kullanıcının olayları atayabilmesi gerekiyorsa, Microsoft Sentinel Yanıtlayıcı rolüne ek olarak, kullanıcıya Dizin Okuyucusu rolü de atanması gerekir. Bu rol bir Azure rolü değil, bir Microsoft Entra rolü değildir ve bu normal (konuk olmayan) kullanıcıların bu rolü varsayılan olarak atanmıştır.
Çalışma kitaplarını oluşturma ve silme
Microsoft Sentinel çalışma kitabı oluşturmak ve silmek için kullanıcı, Microsoft Sentinel Katkıda Bulunanı rolüne veya daha küçük bir Microsoft Sentinel rolüne ek olarak Çalışma Kitabı Katkıda Bulunanı'nın Azure İzleyici rolüne ihtiyaç duyar. Bu rol, çalışma kitaplarını kullanmak için değil, yalnızca oluşturmak ve silmek için gereklidir.
Azure rolleri ve Azure İzleyici Log Analytics rolleri
Microsoft Sentinel'e ayrılmış Azure RBAC rollerine ek olarak, diğer Azure ve Log Analytics Azure RBAC rolleri daha geniş bir izin kümesi verebilir. Bu roller, Microsoft Sentinel çalışma alanınıza ve diğer kaynaklara erişimi içerir.
Azure rolleri, tüm Azure kaynaklarınız genelinde erişim izni verir. Log Analytics çalışma alanlarını ve Microsoft Sentinel kaynaklarını içerir:
Sahip
Katılımcı
Okuyucu
Log Analytics rolleri tüm Log Analytics çalışma alanlarınız genelinde erişim verir:
Log Analytics Katkıda Bulunan
Log Analytics Okuyucusu
Örneğin, Microsoft Sentinel Okuyucusu ve Azure Katkıda Bulunanı (Microsoft Sentinel Katkıda Bulunanı değil) rolleri ile atanan bir kullanıcı Microsoft Sentinel'deki verileri düzenleyebilir. Yalnızca Microsoft Sentinel'e izin vermek istiyorsanız, kullanıcının önceki izinlerini dikkatlice kaldırmanız gerekir. Başka bir kaynak için gerekli izin rollerini bozmadığınızdan emin olun.
Microsoft Sentinel rolleri ve izin verilen eylemler
Aşağıdaki tabloda, Microsoft Sentinel'deki roller ve izin verilen eylemler özetlenmiştir.
Roller | Playbook'ları oluşturma ve çalıştırma | Çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturma ve düzenleme | Olayları yönetme, örneğin kapatma ve atama | Veri olaylarını, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleme |
---|---|---|---|---|
Microsoft Sentinel Okuyucusu | Hayır | Hayı | Hayır | Evet |
Microsoft Sentinel Yanıtlayıcısı | Hayır | Hayır | Evet | Evet |
Microsoft Sentinel Katkıda Bulunanı | No. | Evet | Evet | Evet |
Microsoft Sentinel Katkıda Bulunanı ve Mantıksal Uygulama Katkıda Bulunanı | Evet | Evet | Evet | Evet |
Özel roller ve gelişmiş Azure RBAC
Yerleşik Azure rolleri kuruluşunuzun belirli ihtiyaçlarını karşılamıyorsa kendi özel rollerinizi oluşturabilirsiniz. Özel rolleri de aynı yerleşik roller gibi yönetim grubu, abonelik ve kaynak grubu kapsamlarında kullanıcılara, gruplara ve hizmet sorumlularına atayabilirsiniz.