Microsoft Sentinel 中的角色與權限
本文說明 Microsoft Sentinel 如何指派權限給使用者角色,並識別每個角色的允許動作。 Microsoft Sentinel 使用 Azure 角色型存取控制 (Azure RBAC),以提供可在 Azure 中指派給使用者、群組與服務的內建角色。 本文是 Microsoft Sentinel 部署指南的一部分。
您可以使用 Azure RBAC 來建立和指派安全性作業小組中的角色,以授與 Microsoft Sentinel 的適當存取權。 不同角色可讓您精細控制 Microsoft Sentinel 使用者所能查看和執行的項目。 Microsoft Sentinel 工作區,或 Microsoft Sentinel 繼承工作區所屬的訂閱或資源群組,可以直接指派 Azure 角色。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Sentinel 中使用的角色和權限
使用內建角色授與對工作區中資料的適當存取權。 您可能需要根據使用者的工作任務來授與更多角色或特定權限。
Microsoft Sentinel 特定角色
所有 Microsoft Sentinel 內建角色會授與 Microsoft Sentinel 工作區中資料的讀取存取權。
Microsoft Sentinel 讀者可檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。
除了 Microsoft Sentinel 回應者的權限之外,Microsoft Sentinel 回應者還可以管理指派、關閉和變更事件等事件。
除了 Microsoft Sentinel 回應者的權限之外,Microsoft Sentinel 參與者還可以從內容中樞安裝和更新解決方案,以及建立和編輯 Microsoft Sentinel 資源 (例如活頁簿、分析規則等)。
Microsoft Sentinel 劇本操作員可以列出、檢視及手動執行劇本。
Microsoft Sentinel 自動化參與者可讓 Microsoft Sentinel 將劇本新增至自動化規則。 但不適用於使用者帳戶。
為獲得最佳結果,請指派這些角色給包含 Microsoft Sentinel 工作區的資源群組。 如此一來,角色會套用至支援 Microsoft Sentinel 的所有資源,因為這些資源也應放入相同的資源群組。
另一個選項是直接指派角色給 Microsoft Sentinel 工作區。 如果您這樣做,您必須在該工作區中的 SecurityInsights 解決方案資源中指派相同的角色。 您可能還需要將它們指派給其他資源,並持續管理資源的角色指派。
其他角色和權限
具有特定作業需求的使用者可能需要獲指派其他的角色或特定權限,才能完成其工作。
安裝和管理現成可用的內容
從 Microsoft Sentinel 的內容中樞尋找端對端產品的封裝解決方案或獨立內容。 若要安裝和管理內容中樞的內容,請在資源群組層級指派 Microsoft Sentinel 參與者角色。
使用劇本自動回應威脅
Microsoft Sentinel 使用劇本將對威脅的回應自動化。 劇本是以 Azure Logic Apps 為基礎所建置,而且是獨立的 Azure 資源。 對於特定的安全性作業小組成員,建議指派可供使用適用於 Security Orchestration、Automation 和 Response (SOAR) 作業的 Logic Apps 能力。 您可以使用 Microsoft Sentinel 劇本操作員角色來為執行劇本指派明確的有限權限,並使用邏輯應用程式參與者角色來建立和編輯劇本。
授與 Microsoft Sentinel 執行劇本的權限
Microsoft Sentinel 會使用特殊服務帳戶手動執行事件觸發程序劇本,或透過自動化規則呼叫劇本。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。
對於用來執行劇本的自動化規則,請務必將劇本所在資源群組的明確權限授與此帳戶。 這時,所有自動化規則即可在該資源群組中執行任何劇本。 若要授與此服務帳戶這些權限,您的帳戶必須有包含劇本的資源群組擁有者權限。
將資料來源連接至 Microsoft Sentinel
對於要新增資料連接器的使用者,您必須為該使用者指派 Microsoft Sentinel 工作區的寫入權限。 請注意每個連接器所需的額外權限,如相關連接器頁面上所列。
允許來賓使用者指派事件
如果來賓使用者需要能夠指派事件,除了 Microsoft Sentinel 回應者角色之外,您還需要為該使用者指派目錄讀取者角色。 目錄讀取者角色不是 Azure 角色,而是 Microsoft Entra 角色,依預設一般 (非來賓) 使用者會被指派此角色。
建立和刪除活頁簿
若要建立或刪除 Microsoft Sentinel 活頁簿,使用者需要 Microsoft Sentinel 參與者角色或較小的 Microsoft Sentinel 角色,以及活頁簿參與者 Azure 監視器角色。 「使用」活頁簿不需要此角色,只有建立或刪除活頁簿時需要。
可能會看到獲指派的 Azure 和 Log Analytics 角色
當您指派 Microsoft Sentinel 特定的 Azure 角色時,您可能會遇到出於其他目的而可能被指派給使用者的其他 Azure 和 Log Analytics 角色。 這些角色會授與更廣泛的權限,包括 Microsoft Sentinel 工作區和其他資源的存取權:
Azure 角色: 擁有者、參與者和讀取者。 Azure 角色會授與所有 Azure 資源的存取權,包括 Log Analytics 工作區和 Microsoft Sentinel 資源。
Log Analytics 角色: Log Analytics 參與者和 Log Analytics 讀取者。 Log Analytics 角色會授與您 Log Analytics 工作區的存取權。
例如,指派 Microsoft Sentinel 讀者角色,而不是 Microsoft Sentinel 參與者角色給使用者後,如果同時指派 Azure 層級參與者角色,使用者仍可編輯 Microsoft Sentinel 中的項目。 因此,如果您只要授與使用者 Microsoft Sentinel 中的權限,請謹慎移除此使用者之前的權限,並確定您不會破壞其他資源任何必要的存取權。
Microsoft Sentinel 角色和允許的動作
此資料表會摘要介紹 Microsoft Sentinel 角色和這些角色在 Microsoft Sentinel 中的允許動作。
| 角色 | 檢視和執行劇本 | 建立和編輯劇本 | 建立和編輯分析規則、活頁簿和其他 Microsoft Sentinel 資源 | 管理事件 (關閉、指派等) | 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源 | 從內容中樞安裝和管理內容 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 讀者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 回應程式 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 參與者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel 劇本操作員 | ✓ | -- | -- | -- | -- | -- |
| 邏輯應用程式參與者 | ✓ | ✓ | -- | -- | -- | -- |
* 使用者有這些角色時,可以使用活頁簿參與者角色建立或刪除活頁簿。 了解其他角色和權限。
請參閱角色建議,了解 SOC 中要指派給個別使用者的角色。
自訂角色和進階 Azure RBAC
自訂角色。 除了使用 Azure 內建角色之外,您還可以為 Microsoft Sentinel 建立 Azure 自訂角色。 需以建立 Azure 自訂角色的相同方式,根據 Microsoft Sentinel 的特定權限和 Azure Log Analytics 資源,建立適用於 Microsoft Sentinel 的 Azure 自訂角色。
Log Analytics RBAC。 您可以在 Microsoft Sentinel 工作區中的資料上,使用 Log Analytics 的進階 Azure RBAC。 這同時包括以資料類型為基礎的 Azure RBAC 和資源內容 Azure RBAC。 若要深入了解:
資源內容和資料表層級 RBAC 是兩種方法,可以提供 Microsoft Sentinel 工作區中特定資料的存取權,而不允許存取整個 Microsoft Sentinel 體驗。
角色和權限建議
了解 Microsoft Sentinel 中角色和權限的使用方式後,您可以參閱下列套用角色至使用者的最佳做法:
| 使用者類型 | 角色 | 資源群組 | 描述 |
|---|---|---|---|
| 安全性分析師 | Microsoft Sentinel 回應程式 | Microsoft Sentinel 的資源群組 | 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。 管理事件,例如指派或關閉事件。 |
| Microsoft Sentinel 劇本操作員 | Microsoft Sentinel 的資源群組,或您劇本儲存所在的資源群組 | 將劇本附加至分析和自動化規則。 執行劇本。 |
|
| 安全性工程師 | Microsoft Sentinel 參與者 | Microsoft Sentinel 的資源群組 | 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。 管理事件,例如指派或關閉事件。 建立和編輯活頁簿、分析規則和其他 Microsoft Sentinel 資源。 從內容中樞安裝及更新解決方案。 |
| Logic Apps 參與者 | Microsoft Sentinel 的資源群組,或您劇本儲存所在的資源群組 | 將劇本附加至分析和自動化規則。 執行和修改劇本。 |
|
| 服務主體 | Microsoft Sentinel 參與者 | Microsoft Sentinel 的資源群組 | 管理工作的自動化設定 |
根據您內嵌或監視的資料,可能需要其他角色。 例如,可能需要Microsoft Entra 角色,例如安全性系統管理員角色,以在其他Microsoft入口網站中設定服務的數據連接器。
資源型存取控制
您可能有一些使用者,他們只需要存取您的 Microsoft Sentinel 工作區中的特定資料,但不應存取整個 Microsoft Sentinel 環境。 例如,您可能想要為安全性作業以外的小組提供對其擁有的伺服器的 Windows 事件資料的存取權。
在這種情況下,建議您根據允許使用者的資源來設定角色型存取控制 (RBAC),而非讓他們存取 Microsoft Sentinel 工作區或特定的 Microsoft Sentinel 功能。 此方法也稱為設定資源內容 RBAC。 如需詳細資訊,請參閱利用資源管理 Microsoft Sentinel 資料的存取權。
下一步
在本文中,您已了解如何使用 Microsoft Sentinel 使用者的角色,及每個角色允許使用者執行的動作。