描述 Microsoft Sentinel 权限和角色
要部署概念证明环境,必须了解成功部署所需的权限和角色。
Microsoft Sentinel 中的权限概述
Azure 基于角色的访问控制 (Azure RBAC) 是管理对 Azure 资源的访问权限的授权系统。 它基于 Azure 资源管理器进行构建,该管理器提供对 Azure 资源的精细访问管理。
使用 Azure RBAC 在 SecOps 团队中创建和分配角色。 借助 Azure RBAC,可以向 Microsoft Sentinel 授予适当的访问权限。 不同的角色使你能够对 Microsoft Sentinel 的用户可以访问和执行的操作进行特定控制。
可以分配 Azure RBAC 角色:
- 直接在 Microsoft Sentinel 工作区中
- 在订阅中
- 到工作区所属的资源组,Microsoft Sentinel 继承此资源组
Microsoft Sentinel 特定的角色
以下是专用的内置 Microsoft Sentinel 角色:
- “读者”:此角色可以查看数据、事件、工作簿和其他 Azure Sentinel 资源。
- 响应方:此角色拥有“读者”角色的所有权限。 此外,它可以通过分配或消除事件来管理事件。
- 参与者:此角色拥有“读者和响应方”角色的所有权限。 此外,它还可以创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。 若要在租户上部署 Microsoft Sentinel,你需要部署 Microsoft Sentinel 工作区的订阅的参与者权限。
- Playbook 操作员:此角色可以列出、查看和手动运行 playbook。
- 自动化参与者:此角色允许 Microsoft Sentinel 将 playbook 添加到自动化规则中。 它不适用于用户帐户。
所有内置的 Microsoft Sentinel 角色都授予对 Microsoft Sentinel 工作区中数据的读取访问权限。 为获得最佳结果,应将这些角色分配给包含 Microsoft Sentinel 工作区的资源组。 然后,如果这些资源在同一资源组中,则这些角色将应用于部署以支持 Microsoft Sentinel 的所有资源。
Azure 角色和 Azure Monitor Log Analytics 角色
除了 Microsoft Sentinel 专用 Azure RBAC 角色,其他 Azure 和 Log Analytics Azure RBAC 角色还可以授予一组更广泛的权限。 这些角色包括对 Microsoft Sentinel 工作区和其他资源的访问权限。
Azure 角色授予对所有 Azure 资源的访问权限。 它们包括 Log Analytics 工作区和 Microsoft Sentinel 资源:
- “所有者”
- 参与者
- 读取器
- 模板规格参与者
Log Analytics 角色授予所有 Log Analytics 工作区的访问权限:
- Log Analytics 参与者
- Log Analytics 读者
例如,与 Microsoft Sentinel 读者和 Azure 参与者(不是 Microsoft Sentinel 参与者)角色一起分配的用户可以在 Microsoft Sentinel 中编辑数据。 如果只想授予 Microsoft Sentinel 权限,则应小心删除用户以前的权限。 确保不会破环其他资源的任何所需的权限角色。
Microsoft Sentinel 角色和允许的操作
下表总结了 Microsoft Sentinel 中的角色和允许的操作。
| 角色 | 查看和运行 playbook | 创建和编辑 playbook | 创建和编辑分析规则、工作簿和其他 Microsoft Sentinel 资源 | 管理消除和分配等事件 | 查看数据事件、工作簿和其他 Microsoft Sentinel 资源 | 从内容中心安装和管理内容 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 读取者 | 否 | No | No | No | 是 | 否 |
| Microsoft Sentinel 响应者 | 否 | No | No | 是 | 是 | 否 |
| Microsoft Sentinel 参与者 | 否 | No | 是 | 是 | 是 | 否 |
| Microsoft Sentinel Playbook 操作员 | 是 | No | No | No | No | 否 |
| 逻辑应用参与者 | 是 | 是 | No | No | No | 否 |
| 模板规格参与者 | 否 | No | No | No | No | 是 |
自定义角色和高级 Azure RBAC
如果内置 Azure 角色不能满足组织的特定需求,则你可自行创建自定义角色。 与内置角色一样,可以将自定义角色配置给管理组、订阅和资源组范围的用户、组和服务主体。
提示
应用程序和服务使用“安全标识”来访问特定 Azure 资源。 将其视为应用程序的用户标识(用户名和密码或证书)。 “作用域”是可访问的资源集。
信任相同 Microsoft Entra 目录的订阅可在彼此之间共享自定义角色。 每个目录的自定义角色限制为 5,000。 可使用 Azure 门户、Azure PowerShell、Azure CLI 或 REST API 创建自定义角色。
备注
对于 Azure 德国和 Azure 中国世纪互联,自定义角色限制为 2,000。
在本单元中,你了解了 Microsoft Sentinel 用户的内置角色,以及每个角色允许用户执行的操作。 了解角色和权限以及它们如何映射到组织后,你便可以满怀信心地启用 Microsoft Sentinel。