理解 Microsoft Sentinel 权限和角色
Microsoft Sentinel 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色。
在你的安全运营团队中使用 Azure RBAC 创建和分配角色,用来对 Microsoft Sentinel 授予适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在 Microsoft Sentinel 工作区中分配 Azure 角色,也可以在工作区所属的订阅或资源组中分配,Microsoft Sentinel 将继承这些角色。
特定于 Microsoft Sentinel 的角色
所有 Microsoft Sentinel 内置角色都授予对 Microsoft Sentinel 工作区中数据的读取访问权限:
Microsoft Sentinel 读者:可以查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
Microsoft Sentinel 响应方:除了上述权限外,还可以管理事件(分配、解除等)
Microsoft Sentinel 参与者:除上述权限外,还可以创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
Microsoft Sentinel 自动化参与者:允许 Microsoft Sentinel 将 playbook 添加到自动化规则中。 它不适用于用户帐户。
为获得最佳结果,应将这些角色分配给包含 Microsoft Sentinel 工作区的资源组。 然后,如果这些资源在同一资源组中,则这些角色将应用于部署以支持 Microsoft Sentinel 的所有资源。
其他角色和权限
具有特定工作要求的用户可能需要被分配其他角色或特定权限才能完成他们的任务。
使用 playbook 自动应对威胁
Microsoft Sentinel 使用 playbook 进行自动化威胁响应。 playbook 基于 Azure 逻辑应用构建,是一种独立的 Azure 资源。 你可能希望为安全运营团队的特定成员分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 你可以使用逻辑应用参与者角色来分配使用 playbook 的显式权限。
向 Microsoft Sentinel 授予运行 playbook 所需的权限
Microsoft Sentinel 使用特殊服务帐户手动运行事件触发器 playbook,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。
为使自动化规则运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都将能够运行该资源组中的任何 playbook。 若要向此服务帐户授予这些权限,帐户必须对包含 playbook 的资源组具有“所有者”权限。
将数据源连接到 Microsoft Sentinel
要使用户能够添加数据连接器,必须在 Microsoft Sentinel 工作区上为用户分配写入权限。 此外,请注意每个连接器所需的其他权限,如相关连接器页面上所列。
来宾用户分配事件
如果来宾用户需要能够分配事件,那么除了 Microsoft Sentinel 响应方角色,还需要为用户分配 Directory 读取器角色。 此角色不是 Azure 角色,而是 Microsoft Entra 角色,并且默认情况下会为常规(非来宾)用户分配此角色。
创建和删除工作簿
若要创建和删除 Microsoft Sentinel 工作簿,用户需要 Microsoft Sentinel 参与者角色或更低的 Microsoft Sentinel 角色以及工作簿参与者的 Azure Monitor 角色。 此角色不是使用工作簿所必需的,但仅用于创建和删除。
Azure 角色和 Azure Monitor Log Analytics 角色
除了 Microsoft Sentinel 专用 Azure RBAC 角色,其他 Azure 和 Log Analytics Azure RBAC 角色还可以授予一组更广泛的权限。 这些角色包括对 Microsoft Sentinel 工作区和其他资源的访问权限。
Azure 角色授予对所有 Azure 资源的访问权限。 它们包括 Log Analytics 工作区和 Microsoft Sentinel 资源:
“所有者”
参与者
读取器
Log Analytics 角色授予所有 Log Analytics 工作区的访问权限:
Log Analytics 参与者
Log Analytics 读者
例如,与 Microsoft Sentinel 读者和 Azure 参与者(不是 Microsoft Sentinel 参与者)角色一起分配的用户可以在 Microsoft Sentinel 中编辑数据。 如果只想授予 Microsoft Sentinel 权限,则应小心删除用户以前的权限。 确保不会破环其他资源的任何所需的权限角色。
Microsoft Sentinel 角色和允许的操作
下表总结了 Microsoft Sentinel 中的角色和允许的操作。
| 角色 | 创建和运行 Playbook | 创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源 | 管理事件,如消除和分配 | 查看数据事件、工作簿和其他 Microsoft Sentinel 资源 |
|---|---|---|---|---|
| Microsoft Sentinel 读取者 | 否 | No | No | 是 |
| Microsoft Sentinel 响应者 | 否 | No | 是 | 是 |
| Microsoft Sentinel 参与者 | 否 | 是 | 是 | 是 |
| Microsoft Sentinel 参与者和逻辑应用参与者 | 是 | 是 | 是 | 是 |
自定义角色和高级 Azure RBAC
如果内置 Azure 角色不能满足组织的特定需求,则你可自行创建自定义角色。 与内置角色一样,可以将自定义角色配置给管理组、订阅和资源组范围的用户、组和服务主体。