在你的安全运营团队中使用 Azure RBAC 创建和分配角色,用来对 Microsoft Sentinel 授予适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在 Microsoft Sentinel 工作区中分配 Azure 角色,或在工作区所属的订阅或资源组(由 Microsoft Sentinel 继承)中进行分配。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证即可使用。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
在 Microsoft Sentinel 中工作的角色和权限
使用内置角色授予对工作区中数据的适当访问权限。 可能需要根据用户的作业任务授予更多角色或特定权限。
特定于 Microsoft Sentinel 的角色
所有 Microsoft Sentinel 内置角色都授予对 Microsoft Sentinel 工作区中数据的读取访问权限。
例如,分配有 Microsoft Sentinel 读取者角色但未分配有 Microsoft Sentinel 参与者角色的用户仍然可以在 Microsoft Sentinel 中编辑项目,前提是该用户还分配有 Azure 级别的参与者角色。 因此,如果只想在 Microsoft Sentinel 上对用户授予权限,请仔细将用户此前的权限删除,并确保不会中断所需的对其他资源的访问权限。
Microsoft Sentinel 角色、权限和允许的操作
此表总结了 Microsoft Sentinel 角色及其在 Microsoft Sentinel 中允许的操作。
可能需要更多角色,具体取决于所引入或监视的数据。 例如,可能需要 Microsoft Entra 角色(如安全管理员角色)才能为其他 Microsoft 门户中的服务设置数据连接器。
基于资源的访问控制
你的一些用户可能只需要访问你的 Microsoft Sentinel 工作区中的特定数据,而不应具有对整个 Microsoft Sentinel 环境的访问权限。 例如,你可能想要为安全运营以外的团队提供访问其自有服务器的 Windows 事件数据的权限。
在此类情况下,建议根据允许用户使用的资源来配置基于角色的访问控制 (RBAC),而不是向他们提供对 Microsoft Sentinel 工作区或特定 Microsoft Sentinel 功能的访问权限。 此方法也称为设置资源上下文 RBAC。 有关详细信息,请参阅按资源管理对 Microsoft Sentinel 数据的访问。
后续步骤
在本文中,你学习了如何使用 Microsoft Sentinel 用户的角色,以及每个角色允许用户进行的操作。