你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍Microsoft Sentinel如何为 Microsoft Sentinel SIEM 和 Microsoft Sentinel data lake 的用户角色分配权限,从而标识每个角色允许的操作。
Microsoft Sentinel使用Azure基于角色的访问控制 (Azure RBAC) 为Microsoft Sentinel SIEM 提供内置和自定义角色,并Microsoft Entra ID基于角色的访问控制 (Microsoft Entra IDRBAC) ,用于为Microsoft Sentinel数据湖提供内置和自定义角色。
可以在Azure或Microsoft Entra ID中向用户、组和服务分配角色。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
注意
如果运行Microsoft Defender XDR预览版程序,现在可以体验新的 Microsoft Defender Unified Role-Based 访问控制 (URBAC) 模型。 有关详细信息,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
Microsoft Sentinel的内置Azure角色
以下内置Azure角色用于Microsoft Sentinel SIEM 并授予对工作区数据的读取访问权限,包括对Microsoft Sentinel数据湖的支持。 在资源组级别分配这些角色以获得最佳结果。
| Role | SIEM 支持 | Data Lake 支持 |
|---|---|---|
| Microsoft Sentinel阅读器 | 查看数据、事件、工作簿、建议和其他资源 | 仅访问高级分析并在工作区上运行交互式查询。 |
| Microsoft Sentinel响应方 | 所有读取者权限以及管理事件 | 不适用 |
| Microsoft Sentinel参与者 | 所有响应者权限,以及安装/更新解决方案、创建/编辑资源 | 仅访问高级分析并在工作区上运行交互式查询。 |
| Microsoft Sentinel Playbook 操作员 | 列出、查看和手动运行 playbook | 不适用 |
| Microsoft Sentinel自动化参与者 | 允许Microsoft Sentinel将 playbook 添加到自动化规则。 不用于用户帐户。 | 不适用 |
例如,下表显示了每个角色可以在 Microsoft Sentinel 中执行的任务示例:
| Role | 运行 playbook | 创建/编辑 playbook | 创建/编辑分析规则、工作簿等。 | 管理事件 | 查看数据、事件、工作簿和建议 | 管理内容中心 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel阅读器 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel响应方 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel参与者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook 操作员 | ✓ | -- | -- | -- | -- | -- |
| 逻辑应用参与者 | ✓ | ✓ | -- | -- | -- | -- |
*具有 工作簿参与者 角色。
建议将角色分配给包含Microsoft Sentinel工作区的资源组。 这可确保所有相关资源(如逻辑应用和 playbook)都由同一角色分配涵盖。
另一个选项是将角色直接分配给Microsoft Sentinel工作区本身。 如果这样做,则必须将相同的角色分配给该工作区中的 SecurityInsights 解决方案资源 。 可能还需要将它们分配到其他资源,并持续管理资源的角色分配。
特定任务的其他角色
可能需要为具有特定作业要求的用户分配其他角色或特定权限才能完成其任务。 例如:
| 任务 | 所需角色/权限 |
|---|---|
| 连接数据源 | 对工作区的写入权限。 请查看连接器文档,了解每个连接器所需的额外权限。 |
| 从内容中心管理内容 | 在资源组级别Microsoft Sentinel参与者 |
| 使用 playbook 自动响应 |
Microsoft Sentinel Playbook 操作员,以运行 playbook,以及逻辑应用参与者来创建/编辑 playbook。 Microsoft Sentinel使用 playbook 进行自动威胁响应。 Playbook 基于Azure逻辑应用构建,是一个单独的Azure资源。 对于安全运营团队的特定成员,可能需要分配能够使用逻辑应用进行安全业务流程、自动化和响应 (SOAR) 操作。 |
| 允许Microsoft Sentinel通过自动化运行 playbook | 服务帐户需要 playbook 资源组的显式权限;帐户需要 所有者 权限才能分配这些权限。 Microsoft Sentinel使用特殊服务帐户手动运行事件触发器 playbook 或从自动化规则调用它们。 使用此帐户 (而不是用户帐户) 会增加服务的安全级别。 若要使自动化规则运行 playbook,必须向此帐户授予对 playbook 所在的资源组的显式权限。 此时,任何自动化规则都可以运行该资源组中的任何 playbook。 |
| 来宾用户分配事件 |
目录读取器AND Microsoft Sentinel 响应方 目录读取者角色不是Azure角色,而是Microsoft Entra ID角色,常规 (非客户) 用户默认分配此角色。 |
| 创建/删除工作簿 | Microsoft Sentinel参与者或较低Microsoft Sentinel角色和工作簿参与者 |
其他Azure和 Log Analytics 角色
分配特定于Microsoft Sentinel Azure角色时,可能会遇到可能出于其他目的分配给用户的其他Azure和 Log Analytics 角色。 这些角色授予更广泛的权限集,包括对Microsoft Sentinel工作区和其他资源的访问权限:
- Azure角色:所有者、参与者、读者 - 授予跨Azure资源的广泛访问权限。
- Log Analytics 角色:Log Analytics 参与者、 Log Analytics 读取者 – 授予对 Log Analytics 工作区的访问权限。
重要
角色分配是累积的。 同时具有Microsoft Sentinel读者和参与者角色的用户可能拥有比预期更多的权限。
建议Microsoft Sentinel用户的角色分配
| 用户类型 | Role | 资源组 | 说明 |
|---|---|---|---|
| 安全分析师 | Microsoft Sentinel响应方 | Microsoft Sentinel资源组 | 查看/管理事件、数据、工作簿 |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel/playbook 资源组 | 附加/运行 playbook | |
| 安全工程师 | Microsoft Sentinel参与者 | Microsoft Sentinel资源组 | 管理事件、内容和资源 |
| 逻辑应用参与者 | Microsoft Sentinel/playbook 资源组 | 运行/修改 playbook | |
| 服务主体 | Microsoft Sentinel参与者 | Microsoft Sentinel资源组 | 自动化管理任务 |
Microsoft Sentinel数据湖的角色和权限
若要使用Microsoft Sentinel数据湖,工作区必须载入到 Defender 门户和Microsoft Sentinel数据湖。
Microsoft Sentinel数据湖读取权限
Microsoft Entra ID角色提供跨数据湖中所有内容的广泛访问权限。 使用以下角色提供对Microsoft Sentinel数据湖中所有工作区的读取访问权限,例如用于运行查询。
| 权限类型 | 支持的角色 |
|---|---|
| 跨所有工作区的读取访问权限 | 使用以下任何Microsoft Entra ID角色: - 全局读取器 - 安全读取器 - 安全操作员 - 安全管理员 - 全局管理员 |
或者,你可能希望分配从特定工作区中读取表的功能。 在这种情况下,请使用以下选项之一:
| 任务 | 权限 |
|---|---|
| 对系统表的读取权限 | 使用具有安全数据基础知识 的自定义Microsoft Defender XDR统一 RBAC 角色, (读取Microsoft Sentinel数据收集) 权限。 |
| 对数据湖中为Microsoft Sentinel启用的任何其他工作区的读取权限 | 在 Azure RBAC 中使用以下内置角色之一获取该工作区的权限: - Log Analytics 读取器 - Log Analytics 参与者 - Microsoft Sentinel参与者 - Microsoft Sentinel阅读器 - 读者 - 贡献 - 所有者 |
Microsoft Sentinel data Lake 写入权限
Microsoft Entra ID角色提供跨数据湖中所有工作区的广泛访问权限。 使用以下角色提供对Microsoft Sentinel数据湖表的写入访问权限:
| 权限类型 | 支持的角色 |
|---|---|
| 使用 KQL 作业或笔记本写入分析层中的表 | 使用以下Microsoft Entra ID角色之一: - 安全操作员 - 安全管理员 - 全局管理员 |
| 写入Microsoft Sentinel数据湖中的表 | 使用以下Microsoft Entra ID角色之一: - 安全操作员 - 安全管理员 - 全局管理员 |
或者,你可能希望分配将输出写入特定工作区的功能。 这可以包括配置该工作区的连接器、修改工作区中表的保留设置,或在该工作区中创建、更新和删除自定义表的功能。 在这种情况下,请使用以下选项之一:
| 任务 | 权限 |
|---|---|
| 更新数据湖中的系统表 | 使用具有数据的自定义Microsoft Defender XDR统一 RBAC 角色 (管理Microsoft Sentinel数据收集的) 权限。 |
| 对于数据湖中的任何其他Microsoft Sentinel工作区 | 使用该工作区上包含以下Azure RBAC Microsoft操作见解权限的任何内置或自定义角色: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete 例如,包含这些权限的内置角色 Log Analytics 参与者、 所有者和 参与者。 |
管理Microsoft Sentinel数据湖中的作业
若要在Microsoft Sentinel数据湖中创建计划作业或管理作业,必须具有以下Microsoft Entra ID角色之一:
自定义角色和高级 RBAC
若要限制对特定数据(而不是整个工作区)的访问,请使用 资源上下文 RBAC 或 表级 RBAC。 这对于仅需要访问某些数据类型或表的团队非常有用。
否则,请对高级 RBAC 使用以下选项之一:
- 对于Microsoft Sentinel SIEM 访问,请使用Azure自定义角色。
- 对于Microsoft Sentinel数据湖,请使用Defender XDR统一的 RBAC 自定义角色。
相关内容
有关详细信息,请参阅在 Azure Monitor 中管理日志数据和工作区