描述 Microsoft Sentinel 權限和角色
若要部署概念證明環境,您必須了解成功部署的必要權限與角色。
Microsoft Sentinel 中的權限概觀
Azure 角色型存取控制 (Azure RBAC) 是管理 Azure 資源存取權的授權系統。 其以 Azure Resource Manager 為基礎,提供更細緻的 Azure 資源存取管理。
使用 Azure RBAC 來建立及指派您 SecOps 小組中的角色。 Azure RBAC 可讓您將適當的存取權授與 Microsoft Sentinel。 不同角色可讓您確切掌控 Microsoft Sentinel 使用者能夠存取什麼內容,以及執行什麼動作。
您可以在以下位置指派 Azure RBAC 角色:
- 直接在 Microsoft Sentinel 工作區中
- 在訂用帳戶中
- 工作區所屬的資源群組,Microsoft Sentinel 會繼承
Microsoft Sentinel 特定角色
下列是專用的內建 Microsoft Sentinel 角色:
- 讀者:此角色可以檢閱資料、事件、活頁簿與其他 Microsoft Sentinel 資源。
- 回應者:此角色擁有「讀者」角色的所有權限。 此外,其可以透過指派或解除事件來進行管理。
- 參與者:此角色擁有讀者與回應者角色的所有權限。 此外,其可以建立及編輯活頁簿、分析規則與其他 Microsoft Sentinel 資源。 若要將 Microsoft Sentinel 部署到租用戶,則需要 Microsoft Sentinel 工作區部署所在訂用帳戶的參與者權限。
- 劇本操作員:此角色可以列出、檢視及手動執行劇本。
- 自動化參與者:此角色可讓 Microsoft Sentinel 將劇本新增至自動化規則。 但不適用於使用者帳戶。
所有內建 Microsoft Sentinel 角色都會授與 Microsoft Sentinel 工作區中資料的讀取存取。 為了獲得最佳結果,請務必將這些角色指派給包含 Microsoft Sentinel 工作區的資源群組。 接著,這些角色會套用至部署的所有資源以支援 Microsoft Sentinel (若這些資源位於相同的資源群組中)。
Azure 角色和 Azure 監視器 Log Analytics 角色
除了 Microsoft Sentinel 專用的 Azure RBAC 角色以外,其他 Azure 與 Log Analytics Azure RBAC 角色可以授與一組更廣泛的權限。 這些角色包括 Microsoft Sentinel 工作區及其他資源的存取權。
Azure 角色會授與所有 Azure 資源的存取權。 其中包括 Log Analytics 工作區與 Microsoft Sentinel 資源:
- 擁有者
- 參與者
- 讀取者
- 範本規格參與者
Log Analytics 角色會授與所有 Log Analytics 工作區的存取權:
- Log Analytics 參與者
- Log Analytics 讀者
舉例來說,獲派 Microsoft Sentinel 讀者與 Azure 參與者 (並非 Microsoft Sentinel 參與者) 角色的使用者,可以在 Microsoft Sentinel 中編輯資料。 若您只想要將權限授與 Microsoft Sentinel,請謹慎移除使用者先前的權限。 並確定不會中斷另一個資源所需的任何權限角色。
Microsoft Sentinel 角色和允許的動作
下表對 Microsoft Sentinel 中的角色和允許的動作提供了摘要說明。
| Roles | 檢視和執行劇本 | 建立和編輯劇本 | 建立和編輯分析規則、活頁簿和其他 Microsoft Sentinel 資源 | 管理事件,例如關閉和指派 | 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源 | 從內容中樞安裝和管理內容 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 讀者 | No | No | No | 否 | 是 | No |
| Microsoft Sentinel 回應程式 | No | No | 否 | 是 | 是 | No |
| Microsoft Sentinel 參與者 | No | 否 | 是 | Yes | 是 | No |
| Microsoft Sentinel 劇本操作員 | 是 | 無 | No | No | No | No |
| 邏輯應用程式參與者 | Yes | 是 | 無 | No | No | No |
| 範本規格參與者 | No | No | No | No | 否 | Yes |
自訂角色和進階 Azure RBAC
如果內建 Azure 角色無法滿足組織的特定需求,則可建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶與資源群組範圍內的使用者、群組與服務主體。
提示
應用程式和服務會使用「安全性身分識別」來存取特定 Azure 資源。 請將其視為應用程式的使用者身分識別 (使用者名稱和密碼或憑證)。 「範圍」是要套用存取權的一組資源。
信任相同 Microsoft Entra 目錄的訂用帳戶彼此之間可共用自訂角色。 每個目錄有 5,000 個自訂角色的限制。 您可使用 Azure 入口網站、Azure PowerShell、Azure CLI 或 REST API 來建立自訂角色。
注意
針對 Azure 德國和 Azure 中國 21Vianet,此限制為 2,000 個自訂角色。
在本單元中,您已了解 Microsoft Sentinel 使用者的內建角色,以及每個角色可讓使用者進行的動作。 了解角色與權限,以及其如何對應到您的組織之後,您即可放心啟用 Microsoft Sentinel。