本文說明 Microsoft Sentinel 如何為 Microsoft Sentinel SIEM 與 Microsoft Sentinel 資料湖的使用者角色分配權限,並標示每個角色允許的動作。
Microsoft Sentinel 利用 RBAC) (Azure Azure 基於角色的存取控制,為 SIEM 提供內建且自訂的角色Microsoft Sentinel (Microsoft Entra ID) RBAC Microsoft Entra ID基於角色的存取控制,為資料湖提供內建且自訂的角色Microsoft Sentinel。
你可以在 Azure 或 Microsoft Entra ID 中為使用者、群組和服務指派角色。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
注意事項
如果您正在運行Microsoft Defender 全面偵測回應預覽計畫,現在可以體驗全新的 Microsoft Defender Unified Role-Based 存取控制 (URBAC) 模式。 欲了解更多資訊,請參閱 RBAC) Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
Built-in Azure roles for Microsoft Sentinel
以下內建的 Azure 角色用於 Microsoft Sentinel SIEM,並授權對工作空間資料的讀取權限,包括對 Microsoft Sentinel 資料湖的支援。 在資源群組層級分配這些角色,以達到最佳效果。
| 角色 | SIEM 支援 | 資料湖支援 |
|---|---|---|
| Microsoft Sentinel Reader | 查看數據、事件、工作手冊、建議及其他資源 | 僅在工作區上存取進階分析並執行互動式查詢。 |
| Microsoft Sentinel Responder | 所有讀者權限,並管理事件 | 不適用 |
| Microsoft Sentinel Contributor | 所有回應者權限,以及安裝/更新解決方案、建立/編輯資源 | 僅在工作區上存取進階分析並執行互動式查詢。 |
| Microsoft Sentinel Playbook Operator | 列出、檢視並手動執行 Playbook | 不適用 |
| Microsoft Sentinel 自動化貢獻者 | 允許 Microsoft Sentinel 將 playbook 加入自動化規則。 不用於使用者帳號。 | 不適用 |
例如,下表展示了每個角色在 Microsoft Sentinel 中可執行的任務範例:
| 角色 | 跑劇本 | 建立/編輯劇本 | 建立/編輯分析規則、工作簿等。 | 管理事件 | 查看數據、事件、工作手冊、建議 | 管理內容中心 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel Contributor | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook Operator | ✓ | -- | -- | -- | -- | -- |
| Logic App 貢獻者 | ✓ | ✓ | -- | -- | -- | -- |
*以 工作簿貢獻者 身份。
我們建議您將角色指派到包含 Microsoft Sentinel 工作空間的資源群組。 這確保所有相關資源,如邏輯應用程式和角色手冊,都由相同的角色指派涵蓋。
另一個選項是直接將角色指派到 Microsoft Sentinel 工作空間本身。 若如此,您必須將相同角色分配給該工作區中的 SecurityInsights 解決方案資源 。 你可能還需要把它們指派到其他資源,並持續管理這些資源的角色分配。
針對特定任務的額外角色
具有特定工作需求的使用者可能需要被指派其他角色或特定權限,才能完成他們的任務。 例如:
| 工作 | 必要角色/權限 |
|---|---|
| 連結資料來源 | 在工作區寫入權限。 請查看連接器文件,了解每個連接器需要額外權限。 |
| 管理內容中心的內容 | Microsoft Sentinel Contributor 在資源群組層級 |
| 用 Playbook 自動化回應 |
Microsoft Sentinel Playbook Operator 用來執行 Playbook,以及 Logic App Contributor 用來建立/編輯 Playbook。 Microsoft Sentinel 使用行動手冊進行自動化威脅回應。 Playbook 是建立在 Azure Logic Apps 上,並且是獨立的 Azure 資源。 對於資安營運團隊的特定成員,你可能想指定使用 Logic Apps 進行安全協調、自動化與回應 (SOAR) 作業的能力。 |
| 允許 Microsoft Sentinel 透過自動化執行 playbook | 服務帳號需要明確授權 Playbook 資源群組;你的帳號需要擁有 者 權限才能分配這些權限。 Microsoft Sentinel 使用特殊服務帳號手動執行事件觸發手冊,或從自動化規則中呼叫。 使用這個帳號 (而非使用使用者帳號) 提升了服務的安全性。 自動化規則要執行劇本,這個帳號必須明確授權給該手冊所在的資源群組。 此時,任何自動化規則都可以執行該資源群組中的任何 playbook。 |
| 訪客用戶負責指派事件 |
目錄閱讀器以及 Microsoft Sentinel 回應器 目錄閱讀器角色不是Azure角色,而是Microsoft Entra ID角色,一般非訪客) 使用者 (預設會被分配這個角色。 |
| 建立/刪除工作簿 | Microsoft Sentinel 貢獻者或較小的 Microsoft Sentinel 角色 AND Workbook Contributor |
其他 Azure 與日誌分析職務
當你指派 Microsoft Sentinel 專屬的 Azure 角色時,可能會遇到其他 Azure 和 Log Analytics 角色,這些角色可能被分配給使用者用於其他用途。 這些角色賦予更廣泛的權限,包括存取您的 Microsoft Sentinel 工作空間及其他資源:
- Azure roles:Owner、Contributor、Reader – 授權跨 Azure 資源的廣泛存取權。
- Log Analytics 職位:Log Analytics 貢獻者、 Log Analytics Reader – 授權存取 Log Analytics 工作區。
重要事項
角色分配是累積性的。 同時擁有 Microsoft Sentinel Reader 與 Contributor 角色的使用者,可能會擁有比預期更多的權限。
推薦給 Microsoft Sentinel 使用者的角色分配
| 使用者類型 | 角色 | 資源群組 | 描述 |
|---|---|---|---|
| 安全分析師 | Microsoft Sentinel Responder | Microsoft Sentinel resource group | 檢視/管理事件、資料、工作簿 |
| Microsoft Sentinel Playbook Operator | Microsoft Sentinel/playbook 資源群組 | 附加/執行操作手冊 | |
| 安全工程師 | Microsoft Sentinel Contributor | Microsoft Sentinel resource group | 管理事件、內容與資源 |
| Logic App 貢獻者 | Microsoft Sentinel/playbook 資源群組 | 執行/修改戰術手冊 | |
| 服務主任 | Microsoft Sentinel Contributor | Microsoft Sentinel resource group | 自動化管理任務 |
Microsoft Sentinel 資料湖的角色與權限
要使用 Microsoft Sentinel 資料湖,您的工作空間必須先接入 Defender 入口網站及 Microsoft Sentinel 資料湖。
Microsoft Sentinel data lake read permissions
Microsoft Entra ID 角色提供資料湖中所有內容的廣泛存取權限。 請使用以下角色提供對 Microsoft Sentinel 資料湖中所有工作區的讀取權限,例如用於執行查詢。
| 權限類型 | 支援角色 |
|---|---|
| 所有工作區的讀取權限 | 請使用以下任一 Microsoft Entra ID 角色: - 全球讀者 - 安全讀取器 - 保全操作員 - 資安管理員 - 全域管理員 |
或者,你也可以設定在特定工作區內讀取資料表的功能。 在這種情況下,請使用以下其中一種:
| 工作 | 權限 |
|---|---|
| 系統資料表上的讀取權限 | 使用自訂Microsoft Defender 全面偵測回應統一的 RBAC 角色,具備安全資料基礎 () Microsoft Sentinel資料收集的讀取權限。 |
| 在資料湖中為 Microsoft Sentinel 啟用的其他工作空間進行讀取權限 | 在 Azure RBAC 中,請使用以下內建角色之一來取得該工作區的權限: - 日誌分析讀取器 - 日誌分析貢獻者 - Microsoft Sentinel Contributor - Microsoft Sentinel Reader - 讀者 - 撰稿人 - 擁有者 |
Microsoft Sentinel data lake write permissions
Microsoft Entra ID 角色提供資料湖中所有工作空間的廣泛存取權限。 請使用以下角色提供對 Microsoft Sentinel 資料湖資料表的寫入權限:
| 權限類型 | 支援角色 |
|---|---|
| 用 KQL 工作或筆記本寫入分析層的資料表 | 請使用以下 Microsoft Entra ID 角色之一: - 保全操作員 - 資安管理員 - 全域管理員 |
| 寫入 Microsoft Sentinel data lake 中的表格 | 請使用以下 Microsoft Entra ID 角色之一: - 保全操作員 - 資安管理員 - 全域管理員 |
或者,你也可以把寫輸出的能力指定到特定工作區。 這可能包括設定該工作區的連接器、修改工作區中資料表的保留設定,或建立、更新及刪除該工作區中的自訂資料表。 在這種情況下,請使用以下其中一種:
| 工作 | 權限 |
|---|---|
| 更新資料湖中的系統資料表 | 使用自訂Microsoft Defender 全面偵測回應統一的 RBAC 角色來管理資料 (管理Microsoft Sentinel資料收集的) 權限。 |
| 對於資料湖中任何其他 Microsoft Sentinel 工作空間 | 請使用包含以下 Azure RBAC Microsoft 營運洞察權限的內建或自訂角色: - Microsoft.operationalinsights/workspaces/write - Microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete 例如,內建角色包含這些權限: Log Analytics 貢獻者、 擁有者和 貢獻者。 |
管理 Microsoft Sentinel 資料湖中的工作
要建立排程工作或管理 Microsoft Sentinel 資料湖中的工作,您必須具備以下 Microsoft Entra ID 角色之一:
自訂角色與進階 RBAC
若要限制對特定資料的存取,但不限制整個工作空間,請使用 資源上下文 RBAC 或 資料表層級 RBAC。 這對於需要只存取特定資料型態或資料表的團隊來說非常有用。
否則,請使用以下選項進行進階 RBAC:
- For Microsoft Sentinel SIEM access, use Azure custom roles.
- 對於 Microsoft Sentinel 資料湖,請使用 Defender 全面偵測回應統一的 RBAC 自訂角色。
相關內容
欲了解更多資訊,請參閱 Azure Monitor 中的日誌資料與工作區管理