你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 中的角色和权限

本文介绍了 Microsoft Sentinel 如何将权限分配给用户角色,并确定每个角色允许进行的操作。 Microsoft Sentinel 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色

在你的安全运营团队中使用 Azure RBAC 创建和分配角色,用来对 Microsoft Sentinel 授予适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在 Microsoft Sentinel 工作区中分配 Azure 角色(参阅下文),或者在工作区所属的订阅或资源组中进行分配,Microsoft Sentinel 会继承该订阅或资源组。

在 Microsoft Sentinel 中工作的角色和权限

特定于 Microsoft Sentinel 的角色

所有 Microsoft Sentinel 内置角色都授予对 Microsoft Sentinel 工作区中数据的读取访问权限。

注意

  • 为获得最佳结果,请向包含 Microsoft Sentinel 工作区的资源组分配这些角色。 这样,角色将应用于支持 Microsoft Sentinel 的所有资源,因为这些资源也应该放在同一个资源组中。

  • 另一种选择是直接向 Microsoft Sentinel 工作区分配角色。 如果执行此操作,则还必须向该工作区中的 SecurityInsights 解决方案资源分配相同的角色。 你可能还需要向其他资源分配角色,并需要持续管理资源的角色分配。

其他角色和权限

具有特定工作要求的用户可能需要被分配其他角色或特定权限才能完成他们的任务。

  • 使用 playbook 自动应对威胁

    Microsoft Sentinel 使用 playbook 进行自动化威胁响应。 playbook 基于 Azure 逻辑应用构建,是一种独立的 Azure 资源。 对于安全运营团队的特定成员,你可能希望分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 你可以使用逻辑应用参与者角色来分配使用 playbook 的显式权限。

  • 向 Microsoft Sentinel 授予运行 playbook 所需的权限

    Microsoft Sentinel 使用特殊服务帐户手动运行事件触发器 playbook,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。

    为使自动化规则运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都将能够运行该资源组中的任何 playbook。 若要向此服务帐户授予这些权限,帐户必须对包含 playbook 的资源组具有“所有者”权限。

  • 将数据源连接到 Microsoft Sentinel

    要使用户能够添加数据连接器,必须在 Microsoft Sentinel 工作区上为用户分配写入权限。 请注意,每个连接器所需的额外权限,如相关的连接器页中所列。

  • 来宾用户分配事件

    如果来宾用户需要能够分配事件,除了 Microsoft Sentinel 响应方角色之外,还需要将目录读取者分配给用户。 请注意,目录读取者角色不是 Azure 角色,而是 Azure Active Directory 角色。默认情况下,常规(非来宾)用户分配有此角色。

  • 创建和删除工作簿

    若要创建和删除 Microsoft Sentinel 工作簿,用户需要 Microsoft Sentinel 参与者角色或更低的 Microsoft Sentinel 角色以及工作簿参与者 Azure Monitor 角色。 此角色不是使用工作簿所必需的,仅用于创建和删除。

你可能会看到分配的 Azure 和 Log Analytics 角色

分配特定于 Microsoft Sentinel 的 Azure 角色时,你可能会遇到为用户分配的用于其他用途的其他 Azure 和 Log Analytics 角色。 请注意,这些角色授予更广泛的权限集,包括访问 Microsoft Sentinel 工作区和其他资源的权限:

例如,当为用户分配了 Microsoft Sentinel 读取器角色,但未分配 Microsoft Sentinel 参与者角色,如果还为该用户分配了 Azure 等级的参与者角色,则该用户将仍能够在 Microsoft Sentinel 编辑项。 因此,如果只想在 Microsoft Sentinel 上对用户授予权限,请仔细将用户此前的权限删除,确保不会中断对其他资源的所需权限。

Microsoft Sentinel 角色、权限和允许的操作

此表总结了 Microsoft Sentinel 角色及其在 Microsoft Sentinel 中允许的操作。

角色 创建和运行 Playbook 创建和编辑分析规则、工作簿和其他 Microsoft Sentinel 资源 管理事件(关闭事件、分配事件,等等) 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源
Microsoft Sentinel 读取者 -- --* --
Microsoft Sentinel 响应者 -- --*
Microsoft Sentinel 参与者 --
Microsoft Sentinel 参与者 + Logic App 参与者

* 具有这些角色的用户可以使用工作簿参与者角色创建和删除工作簿。 了解其他角色和权限

查看角色建议,了解在 SOC 中为哪些用户分配哪些角色。

自定义角色和高级 Azure RBAC

角色和权限建议

了解 Microsoft Sentinel 中角色和权限的工作原理后,可以查看这些将角色应用于用户的最佳实践:

用户类型 职位 资源组 说明
安全分析师 Microsoft Sentinel 响应者 Microsoft Sentinel 的资源组 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。

管理事件(例如分配或关闭事件)。
逻辑应用操作员 Microsoft Sentinel 的资源组,或存储 playbook 的资源组 将 playbook 附加到分析和自动化规则并运行 playbook。
运行 playbook。
安全工程师 Microsoft Sentinel 参与者 Microsoft Sentinel 的资源组 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。

管理事件(例如分配或关闭事件)。

创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
逻辑应用参与者 Microsoft Sentinel 的资源组,或存储 playbook 的资源组 将 playbook 附加到分析和自动化规则并运行 playbook。
运行和修改 playbook。
Service Principal Microsoft Sentinel 参与者 Microsoft Sentinel 的资源组 管理任务的自动配置

提示

可能需要更多角色,具体取决于所引入或监视的数据。 例如,可能需要 Azure AD 角色(如“全局管理员”或“安全管理员”角色)才能为其他 Microsoft 门户中的服务设置数据连接器。

后续步骤

在本文中,你学习了如何使用 Microsoft Sentinel 用户的角色,以及每个角色允许用户进行的操作。

Microsoft Sentinel 博客上查找有关 Azure 安全性和合规性的博客文章。