共用方式為


Microsoft Sentinel 中的角色與權限

本文說明 Microsoft Sentinel 如何指派權限給使用者角色,並識別每個角色的允許動作。 Microsoft Sentinel 使用 Azure 角色型存取控制 (Azure RBAC),以提供可在 Azure 中指派給使用者、群組與服務的內建角色。 本文是 Microsoft Sentinel 部署指南的一部分。

您可以使用 Azure RBAC 來建立和指派安全性作業小組中的角色,以授與 Microsoft Sentinel 的適當存取權。 不同角色可讓您精細控制 Microsoft Sentinel 使用者所能查看和執行的項目。 Microsoft Sentinel 工作區,或 Microsoft Sentinel 繼承工作區所屬的訂閱或資源群組,可以直接指派 Azure 角色。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

Microsoft Sentinel 中使用的角色和權限

使用內建角色授與對工作區中資料的適當存取權。 您可能需要根據使用者的工作任務來授與更多角色或特定權限。

Microsoft Sentinel 特定角色

所有 Microsoft Sentinel 內建角色會授與 Microsoft Sentinel 工作區中資料的讀取存取權。

為獲得最佳結果,請指派這些角色給包含 Microsoft Sentinel 工作區的資源群組。 如此一來,角色會套用至支援 Microsoft Sentinel 的所有資源,因為這些資源也應放入相同的資源群組。

另一個選項是直接指派角色給 Microsoft Sentinel 工作區。 如果您這樣做,您必須在該工作區中的 SecurityInsights 解決方案資源中指派相同的角色。 您可能還需要將它們指派給其他資源,並持續管理資源的角色指派。

其他角色和權限

具有特定作業需求的使用者可能需要獲指派其他的角色或特定權限,才能完成其工作。

  • 安裝和管理現成可用的內容

    從 Microsoft Sentinel 的內容中樞尋找端對端產品的封裝解決方案或獨立內容。 若要安裝和管理內容中樞的內容,請在資源群組層級指派 Microsoft Sentinel 參與者角色。

  • 使用劇本自動回應威脅

    Microsoft Sentinel 使用劇本將對威脅的回應自動化。 劇本是以 Azure Logic Apps 為基礎所建置,而且是獨立的 Azure 資源。 對於特定的安全性作業小組成員,建議指派可供使用適用於 Security Orchestration、Automation 和 Response (SOAR) 作業的 Logic Apps 能力。 您可以使用 Microsoft Sentinel 劇本操作員角色來為執行劇本指派明確的有限權限,並使用邏輯應用程式參與者角色來建立和編輯劇本。

  • 授與 Microsoft Sentinel 執行劇本的權限

    Microsoft Sentinel 會使用特殊服務帳戶手動執行事件觸發程序劇本,或透過自動化規則呼叫劇本。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。

    對於用來執行劇本的自動化規則,請務必將劇本所在資源群組的明確權限授與此帳戶。 這時,所有自動化規則即可在該資源群組中執行任何劇本。 若要授與此服務帳戶這些權限,您的帳戶必須有包含劇本的資源群組擁有者權限。

  • 將資料來源連接至 Microsoft Sentinel

    對於要新增資料連接器的使用者,您必須為該使用者指派 Microsoft Sentinel 工作區的寫入權限。 請注意每個連接器所需的額外權限,如相關連接器頁面上所列。

  • 允許來賓使用者指派事件

    如果來賓使用者需要能夠指派事件,除了 Microsoft Sentinel 回應者角色之外,您還需要為該使用者指派目錄讀取者角色。 目錄讀取者角色不是 Azure 角色,而是 Microsoft Entra 角色,依預設一般 (非來賓) 使用者會被指派此角色。

  • 建立和刪除活頁簿

    若要建立或刪除 Microsoft Sentinel 活頁簿,使用者需要 Microsoft Sentinel 參與者角色或較小的 Microsoft Sentinel 角色,以及活頁簿參與者 Azure 監視器角色。 「使用」活頁簿不需要此角色,只有建立或刪除活頁簿時需要。

可能會看到獲指派的 Azure 和 Log Analytics 角色

當您指派 Microsoft Sentinel 特定的 Azure 角色時,您可能會遇到出於其他目的而可能被指派給使用者的其他 Azure 和 Log Analytics 角色。 這些角色會授與更廣泛的權限,包括 Microsoft Sentinel 工作區和其他資源的存取權:

例如,指派 Microsoft Sentinel 讀者角色,而不是 Microsoft Sentinel 參與者角色給使用者後,如果同時指派 Azure 層級參與者角色,使用者仍可編輯 Microsoft Sentinel 中的項目。 因此,如果您只要授與使用者 Microsoft Sentinel 中的權限,請謹慎移除此使用者之前的權限,並確定您不會破壞其他資源任何必要的存取權。

Microsoft Sentinel 角色和允許的動作

此資料表會摘要介紹 Microsoft Sentinel 角色和這些角色在 Microsoft Sentinel 中的允許動作。

角色 檢視和執行劇本 建立和編輯劇本 建立和編輯分析規則、活頁簿和其他 Microsoft Sentinel 資源 管理事件 (關閉、指派等) 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源 從內容中樞安裝和管理內容
Microsoft Sentinel 讀者 -- -- --* -- --
Microsoft Sentinel 回應程式 -- -- --* --
Microsoft Sentinel 參與者 -- --
Microsoft Sentinel 劇本操作員 -- -- -- -- --
邏輯應用程式參與者 -- -- -- --

* 使用者有這些角色時,可以使用活頁簿參與者角色建立或刪除活頁簿。 了解其他角色和權限

請參閱角色建議,了解 SOC 中要指派給個別使用者的角色。

自訂角色和進階 Azure RBAC

角色和權限建議

了解 Microsoft Sentinel 中角色和權限的使用方式後,您可以參閱下列套用角色至使用者的最佳做法:

使用者類型 角色 資源群組 描述
安全性分析師 Microsoft Sentinel 回應程式 Microsoft Sentinel 的資源群組 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。

管理事件,例如指派或關閉事件。
Microsoft Sentinel 劇本操作員 Microsoft Sentinel 的資源群組,或您劇本儲存所在的資源群組 將劇本附加至分析和自動化規則。
執行劇本。
安全性工程師 Microsoft Sentinel 參與者 Microsoft Sentinel 的資源群組 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。

管理事件,例如指派或關閉事件。

建立和編輯活頁簿、分析規則和其他 Microsoft Sentinel 資源。

從內容中樞安裝及更新解決方案。
Logic Apps 參與者 Microsoft Sentinel 的資源群組,或您劇本儲存所在的資源群組 將劇本附加至分析和自動化規則。
執行和修改劇本。
服務主體 Microsoft Sentinel 參與者 Microsoft Sentinel 的資源群組 管理工作的自動化設定

根據您內嵌或監視的資料,可能需要其他角色。 例如,可能需要Microsoft Entra 角色,例如安全性系統管理員角色,以在其他Microsoft入口網站中設定服務的數據連接器。

資源型存取控制

您可能有一些使用者,他們只需要存取您的 Microsoft Sentinel 工作區中的特定資料,但不應存取整個 Microsoft Sentinel 環境。 例如,您可能想要為安全性作業以外的小組提供對其擁有的伺服器的 Windows 事件資料的存取權。

在這種情況下,建議您根據允許使用者的資源來設定角色型存取控制 (RBAC),而非讓他們存取 Microsoft Sentinel 工作區或特定的 Microsoft Sentinel 功能。 此方法也稱為設定資源內容 RBAC。 如需詳細資訊,請參閱利用資源管理 Microsoft Sentinel 資料的存取權

下一步

在本文中,您已了解如何使用 Microsoft Sentinel 使用者的角色,及每個角色允許使用者執行的動作。