Rollen und Berechtigungen in Microsoft Sentinel
In diesem Artikel wird beschrieben, wie Microsoft Sentinel Berechtigungen an Benutzerrollen zuweist und die zulässigen Aktionen für jede Rolle identifiziert. Microsoft Sentinel verwendet die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Dabei werden integrierte Rollen bereitgestellt, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können. Dieser Artikel gehört zum Bereitstellungsleitfaden für Microsoft Sentinel.
Verwenden Sie Azure RBAC, um Rollen innerhalb Ihres Security Operations-Teams zu erstellen und zuzuweisen und damit angemessenen Zugriff auf Microsoft Sentinel zu ermöglichen. Mithilfe der verschiedenen Rollen können Sie präzise steuern, was Benutzer von Microsoft Sentinel anzeigen und welche Aktionen sie ausführen können. Azure-Rollen können direkt im Microsoft Sentinel-Arbeitsbereich oder in einem Abonnement oder einer Ressourcengruppe zugewiesen werden, zu dem bzw. der der Arbeitsbereich gehört, der von Microsoft Sentinel geerbt wird.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Rollen und Berechtigungen für die Arbeit in Microsoft Sentinel
Gewähren Sie den entsprechenden Zugriff auf die Daten in Ihrem Arbeitsbereich mithilfe integrierter Rollen. Je nach Auftragsaufgaben eines Benutzers müssen Sie möglicherweise weitere Rollen oder bestimmte Berechtigungen erteilen.
Microsoft Sentinel-spezifische Rollen
Alle in Microsoft Sentinel integrierten Rollen gewähren Lesezugriff auf die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich.
Microsoft Sentinel-Leser können Daten, Incidents, Arbeitsmappen und andere Microsoft Sentinel-Ressourcen anzeigen.
Microsoft Sentinel-Responder können, zusätzlich zu den Berechtigungen für Microsoft Sentinel Reader, Incidents verwalten – zum Beispiel zuweisen, schließen oder ändern.
Microsoft Sentinel-Mitwirkende können, zusätzlich zu den Berechtigungen für Microsoft Sentinel Responder, Lösungen aus dem Inhaltshub installieren und aktualisieren sowie Microsoft Sentinel-Ressourcen wie Arbeitsmappen, Analyseregeln und vieles mehr erstellen und bearbeiten.
Microsoft Sentinel-Playbookoperatoren können Playbooks auflisten, anzeigen und manuell ausführen.
Die Rolle Mitwirkender für Microsoft Sentinel-Automatisierung ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht.
Um optimale Ergebnisse zu erzielen, weisen Sie der Ressourcengruppe Rollen zu, die den Microsoft Sentinel-Arbeitsbereich enthält. Auf diese Weise gelten die Rollen für alle Ressourcen, die zur Unterstützung von Microsoft Sentinel bereitgestellt werden, da diese Ressourcen auch in derselben Ressourcengruppe platziert werden sollten.
Eine andere Möglichkeit besteht darin, die Rollen direkt für den Microsoft Sentinel-Arbeitsbereich selbst zuzuweisen. Wenn Sie so vorgehen, müssen Sie die gleichen Rollen für die SecurityInsights-Lösungsressource in diesem Arbeitsbereich zuweisen. Möglicherweise müssen Sie sie auch anderen Ressourcen zuweisen und Rollenzuweisungen kontinuierlich für die Ressourcen verwalten.
Benutzer, Rollen und Berechtigungen
Benutzer*innen mit besonderen Aufträgen müssen möglicherweise weitere Rollen oder spezifische Berechtigungen zugewiesen werden, damit sie ihre Aufgaben erfüllen können.
Installieren und Verwalten von sofort einsatzbereiten Inhalten
Im Content Hub in Microsoft Sentinel finden Sie Paketlösungen für End-to-End-Produkte oder eigenständige Inhalte. Zum Installieren und Verwalten von Inhalten aus dem Inhaltshub ist die Rolle Microsoft Sentinel-Mitwirkender auf Ressourcengruppenebene notwendig.
Reaktionen auf Bedrohungen mit Playbooks automatisieren
Microsoft Sentinel verwendet Playbooks für automatische Reaktionen auf Bedrohungen. Playbooks nutzen Azure Logic Apps und sind eine separate Azure-Ressource. Sie können bestimmten Mitgliedern Ihres Security Operations-Teams die Option zuweisen, Logic Apps für SOAR-Vorgänge (Sicherheitsorchestrierung, Automatisierung und Reaktion) zu verwenden. Sie können die Rolle Microsoft Sentinel-Playbookoperator verwenden, um explizite, eingeschränkte Berechtigungen für die Ausführung von Playbooks sowie die Rolle Logik-App-Mitwirkender zum Erstellen und Bearbeiten von Playbooks zuzuweisen.
Microsoft Sentinel-Berechtigungen zum Ausführen von Playbooks erteilen
Microsoft Sentinel verwendet ein spezielles Dienstkonto, um Playbooks manuell auszuführen oder sie aus Automatisierungsregeln aufzurufen. Die Verwendung dieses Kontos (im Gegensatz zu Ihrem Benutzerkonto) erhöht die Sicherheitsstufe des Diensts.
Damit eine Automatisierungsregel ein Playbook ausführen kann, muss diesem Konto explizit die Berechtigung für die Ressourcengruppe erteilt werden, in der sich das Playbook befindet. An diesem Punkt kann jede Automatisierungsregel jedes beliebige Playbook in dieser Ressourcengruppe ausführen. Um diese Berechtigungen für dieses Dienstkonto zu gewähren, muss Ihr Konto über Besitzer-Berechtigungen für die Ressourcengruppen verfügen, die die Playbooks enthalten.
Datenquellen mit MicroSentinel verbinden
Damit ein Benutzer Daten-Konnektoren hinzufügen kann, müssen Sie ihm Schreibrechte für den Microsoft Sentinel-Arbeitsbereich zuweisen. Beachten Sie die erforderlichen zusätzlichen Berechtigung für jeden Connector, die aus der entsprechenden Connector-Seite zu entnehmen sind.
Zulassen, dass Gastbenutzer Vorfälle zuweisen können
Wenn ein Gastbenutzer in der Lage sein soll, Vorfälle zuzuweisen, muss ihm zusätzlich zur Rolle Microsoft Sentinel-Responder auch die Rolle Verzeichnisleseberechtigter zugewiesen werden. Die Rolle „Verzeichnisleseberechtigter“ ist keine Azure-Rolle, sondern eine Microsoft Entra-Rolle, und Standardbenutzern (keine Gäste) ist diese Rolle standardmäßig zugewiesen.
Erstellen und Löschen von Arbeitsmappen
Zum Erstellen und Löschen einer Microsoft Sentinel-Arbeitsmappe benötigt der Benutzer entweder die Rolle Microsoft Sentinel-Mitwirkender oder eine niedrigere Microsoft Sentinel-Rolle zusammen mit der Azure Monitor-Rolle Arbeitsmappenmitwirkender. Diese Rolle ist nur zum Erstellen und Löschen von Arbeitsmappen erforderlich, nicht aber für ihre Verwendung.
Azure- und Log Analytics-Rollen, die Sie möglicherweise zugewiesen haben
Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzern für andere Zwecke zugewiesen wurden. Sie sollten sich bewusst sein, dass diese Rollen eine breitere Palette von Berechtigungen erteilen, die auch den Zugriff auf Ihren Microsoft Sentinel-Arbeitsbereich und andere Ressourcen umfasst:
Azure-Rollen: Besitzer, Mitwirkender und Leser Azure-Rollen gewähren Zugriff auf alle Ihre Azure-Ressourcen, einschließlich Log Analytics-Arbeitsbereiche und Microsoft Sentinel-Ressourcen.
Log Analytics-Rollen: Log Analytics-Mitwirkender und Log Analytics-Leser Log Analytics-Rollen gewähren Zugriff auf Ihre Log Analytics-Arbeitsbereiche.
Beispielsweise kann ein Benutzer, dem die Rolle Microsoft Sentinel-Leser, aber nicht die Rolle Microsoft Sentinel-Mitwirkender zugewiesen wurde, immer noch Ressourcen in Microsoft Sentinel bearbeiten, wenn ihm die Rolle Mitwirkender auf Azure-Ebene zugewiesen wurde. Wenn Sie daher Benutzer*innen nur in Microsoft Sentinel Berechtigungen gewähren möchten, entfernen Sie die bisherigen Berechtigungen dieser Benutzer*innen. Gehen Sie dabei umsichtig vor, und stellen Sie sicher, dass Sie keinen benötigten Zugriff auf eine andere Ressource aufheben.
Microsoft Sentinel-Rollen, Berechtigungen und zulässige Aktionen
In der folgenden Tabelle sind die Microsoft Sentinel-Rollen und die jeweils zulässigen Aktionen in Microsoft Sentinel zusammengefasst.
Role | Playbooks anzeigen und ausführen | Playbooks erstellen und bearbeiten | Erstellen und Bearbeiten von Analyseregeln, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen | Incidents verwalten (verwerfen, zuweisen usw.) | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen | Installieren und Verwalten von Inhalten aus dem Content Hub |
---|---|---|---|---|---|---|
Microsoft Sentinel-Leser | -- | -- | --* | -- | ✓ | -- |
Microsoft Sentinel-Antwortberechtigter | -- | -- | --* | ✓ | ✓ | -- |
Microsoft Sentinel-Mitwirkender | -- | -- | ✓ | ✓ | ✓ | ✓ |
Microsoft Sentinel-Playbookoperator | ✓ | -- | -- | -- | -- | -- |
Mitwirkender für Logik-Apps | ✓ | ✓ | -- | -- | -- | -- |
* Benutzer mit diesen Rollen und der zusätzlichen Rolle Arbeitsmappenmitwirkender können Arbeitsmappen erstellen und löschen. Erfahren Sie mehr über weitere Rollen und Berechtigungen.
Im Abschnitt Rollenempfehlungen finden Sie bewährte Methoden dazu, welche Rollen welchen Benutzern in Ihrem SOC zugewiesen werden sollen.
Benutzerdefinierte Rollen und erweiterte Azure RBAC-Rollen
Benutzerdefinierte Rollen. Zusätzlich zu integrierten Azure-Rollen oder anstelle von diesen können Sie benutzerdefinierte Azure-Rollen für Microsoft Sentinel erstellen. Benutzerdefinierte Azure-Rollen für Microsoft Sentinel werden genauso wie andere benutzerdefinierte Azure-Rollen basierend auf bestimmten Berechtigungen für Microsoft Sentinel und für Azure Log Analytics-Ressourcen erstellt.
RBAC in Log Analytics. Sie können die erweiterte rollenbasierte Zugriffssteuerung in Azure von Log Analytics für die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich verwenden. Dies umfasst sowohl auf dem Datentyp basierendes Azure RBAC als auch Azure RBAC im Ressourcenkontext. Weitere Informationen:
- Verwalten von Protokolldaten und Arbeitsbereichen in Azure Monitor
- Ressourcenkontext-RBAC für Microsoft Sentinel
- Table-level RBAC (RBAC auf Tabellenebene)
Die rollenbasierte Zugriffssteuerung (RBAC) im Ressourcenkontext und RBAC auf Tabellenebene sind zwei Methoden der Bereitstellung von Zugriff auf bestimmte Daten im Microsoft Sentinel-Arbeitsbereich, ohne Zugriff auf die gesamte Microsoft Sentinel-Erfahrung zu gewähren.
Empfehlungen zum Zugriff und zu Berechtigungen
Nachdem Sie verstanden haben, wie Rollen und Berechtigungen in Microsoft Sentinel funktionieren, empfiehlt sich die folgende Anleitung mit bewährten Methoden zur Zuweisung von Rollen zu Ihren Benutzern:
Benutzertyp | Rolle | Resource group | BESCHREIBUNG |
---|---|---|---|
Sicherheitsanalysten | Microsoft Sentinel-Antwortdienst | Ressourcengruppe von Microsoft Sentinel | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents |
Microsoft Sentinel-Playbookoperator | Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind | Anfügen von Playbooks an Analyse- und Automatisierungsregeln Ausführen von Playbooks |
|
Sicherheitstechniker | Microsoft Sentinel-Mitwirkender | Ressourcengruppe von Microsoft Sentinel | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents Erstellen und Bearbeiten von Arbeitsmappen, Analyseregeln und anderen Microsoft Sentinel-Ressourcen Installieren und Aktualisieren von Lösungen aus dem Inhaltshub. |
Logic Apps-Mitwirkender | Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind | Anfügen von Playbooks an Analyse- und Automatisierungsregeln Ausführen und Ändern von Playbooks |
|
Dienstprinzipal | Microsoft Sentinel-Mitwirkender | Ressourcengruppe von Microsoft Sentinel | Automatisierte Konfiguration für Verwaltungsaufgaben |
Abhängig von den erfassten oder überwachten Daten werden möglicherweise zusätzliche Rollen benötigt. Beispielsweise können Microsoft Entra-Rollen wie „Sicherheitsadministrator“ erforderlich sein, um Datenconnectors für Dienste in anderen Microsoft-Portalen einzurichten.
Ressourcenbasierte Zugriffssteuerung
Möglicherweise verfügen Sie über einige Benutzer*innen, die nur auf bestimmte Daten in Ihrem Microsoft Sentinel-Arbeitsbereich zugreifen müssen, aber keinen Zugriff auf die gesamte Microsoft Sentinel-Umgebung erhalten sollen. Beispiel: Sie möchten einem nicht für Sicherheitsvorgänge zuständigen Team Zugriff auf die Windows-Ereignisdaten für die eigenen Server gewähren.
Für Fälle dieser Art empfehlen wir Ihnen, Ihre rollenbasierte Zugriffssteuerung (RBAC) basierend auf den Ressourcen zu konfigurieren, die für Ihre Benutzer zulässig sind – anstelle des Zugriffs auf den Microsoft-Sentinel-Arbeitsbereich oder bestimmte Microsoft-Sentinel-Features. Diese Methode wird auch als die Einrichtung der rollenbasierten Zugriffssteuerung (RBAC) im Ressourcenkontext bezeichnet. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mit Rollen für Microsoft Sentinel-Benutzer arbeiten und was die einzelnen Rollen den Benutzern ermöglichen.