Freigeben über


Rollen und Berechtigungen in Microsoft Sentinel

In diesem Artikel wird beschrieben, wie Microsoft Sentinel Berechtigungen an Benutzerrollen zuweist und die zulässigen Aktionen für jede Rolle identifiziert. Microsoft Sentinel verwendet die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Dabei werden integrierte Rollen bereitgestellt, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können. Dieser Artikel gehört zum Bereitstellungsleitfaden für Microsoft Sentinel.

Verwenden Sie Azure RBAC, um Rollen innerhalb Ihres Security Operations-Teams zu erstellen und zuzuweisen und damit angemessenen Zugriff auf Microsoft Sentinel zu ermöglichen. Mithilfe der verschiedenen Rollen können Sie präzise steuern, was Benutzer von Microsoft Sentinel anzeigen und welche Aktionen sie ausführen können. Azure-Rollen können direkt im Microsoft Sentinel-Arbeitsbereich oder in einem Abonnement oder einer Ressourcengruppe zugewiesen werden, zu dem bzw. der der Arbeitsbereich gehört, der von Microsoft Sentinel geerbt wird.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Rollen und Berechtigungen für die Arbeit in Microsoft Sentinel

Gewähren Sie den entsprechenden Zugriff auf die Daten in Ihrem Arbeitsbereich mithilfe integrierter Rollen. Je nach Auftragsaufgaben eines Benutzers müssen Sie möglicherweise weitere Rollen oder bestimmte Berechtigungen erteilen.

Microsoft Sentinel-spezifische Rollen

Alle in Microsoft Sentinel integrierten Rollen gewähren Lesezugriff auf die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich.

  • Microsoft Sentinel-Leser können Daten, Incidents, Arbeitsmappen und andere Microsoft Sentinel-Ressourcen anzeigen.

  • Microsoft Sentinel-Responder können, zusätzlich zu den Berechtigungen für Microsoft Sentinel Reader, Incidents verwalten – zum Beispiel zuweisen, schließen oder ändern.

  • Microsoft Sentinel-Mitwirkende können, zusätzlich zu den Berechtigungen für Microsoft Sentinel Responder, Lösungen aus dem Inhaltshub installieren und aktualisieren sowie Microsoft Sentinel-Ressourcen wie Arbeitsmappen, Analyseregeln und vieles mehr erstellen und bearbeiten.

  • Microsoft Sentinel-Playbookoperatoren können Playbooks auflisten, anzeigen und manuell ausführen.

  • Die Rolle Mitwirkender für Microsoft Sentinel-Automatisierung ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht.

Um optimale Ergebnisse zu erzielen, weisen Sie der Ressourcengruppe Rollen zu, die den Microsoft Sentinel-Arbeitsbereich enthält. Auf diese Weise gelten die Rollen für alle Ressourcen, die zur Unterstützung von Microsoft Sentinel bereitgestellt werden, da diese Ressourcen auch in derselben Ressourcengruppe platziert werden sollten.

Eine andere Möglichkeit besteht darin, die Rollen direkt für den Microsoft Sentinel-Arbeitsbereich selbst zuzuweisen. Wenn Sie so vorgehen, müssen Sie die gleichen Rollen für die SecurityInsights-Lösungsressource in diesem Arbeitsbereich zuweisen. Möglicherweise müssen Sie sie auch anderen Ressourcen zuweisen und Rollenzuweisungen kontinuierlich für die Ressourcen verwalten.

Benutzer, Rollen und Berechtigungen

Benutzer*innen mit besonderen Aufträgen müssen möglicherweise weitere Rollen oder spezifische Berechtigungen zugewiesen werden, damit sie ihre Aufgaben erfüllen können.

  • Installieren und Verwalten von sofort einsatzbereiten Inhalten

    Im Content Hub in Microsoft Sentinel finden Sie Paketlösungen für End-to-End-Produkte oder eigenständige Inhalte. Zum Installieren und Verwalten von Inhalten aus dem Inhaltshub ist die Rolle Microsoft Sentinel-Mitwirkender auf Ressourcengruppenebene notwendig.

  • Reaktionen auf Bedrohungen mit Playbooks automatisieren

    Microsoft Sentinel verwendet Playbooks für automatische Reaktionen auf Bedrohungen. Playbooks nutzen Azure Logic Apps und sind eine separate Azure-Ressource. Sie können bestimmten Mitgliedern Ihres Security Operations-Teams die Option zuweisen, Logic Apps für SOAR-Vorgänge (Sicherheitsorchestrierung, Automatisierung und Reaktion) zu verwenden. Sie können die Rolle Microsoft Sentinel-Playbookoperator verwenden, um explizite, eingeschränkte Berechtigungen für die Ausführung von Playbooks sowie die Rolle Logik-App-Mitwirkender zum Erstellen und Bearbeiten von Playbooks zuzuweisen.

  • Microsoft Sentinel-Berechtigungen zum Ausführen von Playbooks erteilen

    Microsoft Sentinel verwendet ein spezielles Dienstkonto, um Playbooks manuell auszuführen oder sie aus Automatisierungsregeln aufzurufen. Die Verwendung dieses Kontos (im Gegensatz zu Ihrem Benutzerkonto) erhöht die Sicherheitsstufe des Diensts.

    Damit eine Automatisierungsregel ein Playbook ausführen kann, muss diesem Konto explizit die Berechtigung für die Ressourcengruppe erteilt werden, in der sich das Playbook befindet. An diesem Punkt kann jede Automatisierungsregel jedes beliebige Playbook in dieser Ressourcengruppe ausführen. Um diese Berechtigungen für dieses Dienstkonto zu gewähren, muss Ihr Konto über Besitzer-Berechtigungen für die Ressourcengruppen verfügen, die die Playbooks enthalten.

  • Datenquellen mit MicroSentinel verbinden

    Damit ein Benutzer Daten-Konnektoren hinzufügen kann, müssen Sie ihm Schreibrechte für den Microsoft Sentinel-Arbeitsbereich zuweisen. Beachten Sie die erforderlichen zusätzlichen Berechtigung für jeden Connector, die aus der entsprechenden Connector-Seite zu entnehmen sind.

  • Zulassen, dass Gastbenutzer Vorfälle zuweisen können

    Wenn ein Gastbenutzer in der Lage sein soll, Vorfälle zuzuweisen, muss ihm zusätzlich zur Rolle Microsoft Sentinel-Responder auch die Rolle Verzeichnisleseberechtigter zugewiesen werden. Die Rolle „Verzeichnisleseberechtigter“ ist keine Azure-Rolle, sondern eine Microsoft Entra-Rolle, und Standardbenutzern (keine Gäste) ist diese Rolle standardmäßig zugewiesen.

  • Erstellen und Löschen von Arbeitsmappen

    Zum Erstellen und Löschen einer Microsoft Sentinel-Arbeitsmappe benötigt der Benutzer entweder die Rolle Microsoft Sentinel-Mitwirkender oder eine niedrigere Microsoft Sentinel-Rolle zusammen mit der Azure Monitor-Rolle Arbeitsmappenmitwirkender. Diese Rolle ist nur zum Erstellen und Löschen von Arbeitsmappen erforderlich, nicht aber für ihre Verwendung.

Azure- und Log Analytics-Rollen, die Sie möglicherweise zugewiesen haben

Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzern für andere Zwecke zugewiesen wurden. Sie sollten sich bewusst sein, dass diese Rollen eine breitere Palette von Berechtigungen erteilen, die auch den Zugriff auf Ihren Microsoft Sentinel-Arbeitsbereich und andere Ressourcen umfasst:

Beispielsweise kann ein Benutzer, dem die Rolle Microsoft Sentinel-Leser, aber nicht die Rolle Microsoft Sentinel-Mitwirkender zugewiesen wurde, immer noch Ressourcen in Microsoft Sentinel bearbeiten, wenn ihm die Rolle Mitwirkender auf Azure-Ebene zugewiesen wurde. Wenn Sie daher Benutzer*innen nur in Microsoft Sentinel Berechtigungen gewähren möchten, entfernen Sie die bisherigen Berechtigungen dieser Benutzer*innen. Gehen Sie dabei umsichtig vor, und stellen Sie sicher, dass Sie keinen benötigten Zugriff auf eine andere Ressource aufheben.

Microsoft Sentinel-Rollen, Berechtigungen und zulässige Aktionen

In der folgenden Tabelle sind die Microsoft Sentinel-Rollen und die jeweils zulässigen Aktionen in Microsoft Sentinel zusammengefasst.

Role Playbooks anzeigen und ausführen Playbooks erstellen und bearbeiten Erstellen und Bearbeiten von Analyseregeln, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Incidents verwalten (verwerfen, zuweisen usw.) Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen Installieren und Verwalten von Inhalten aus dem Content Hub
Microsoft Sentinel-Leser -- -- --* -- --
Microsoft Sentinel-Antwortberechtigter -- -- --* --
Microsoft Sentinel-Mitwirkender -- --
Microsoft Sentinel-Playbookoperator -- -- -- -- --
Mitwirkender für Logik-Apps -- -- -- --

* Benutzer mit diesen Rollen und der zusätzlichen Rolle Arbeitsmappenmitwirkender können Arbeitsmappen erstellen und löschen. Erfahren Sie mehr über weitere Rollen und Berechtigungen.

Im Abschnitt Rollenempfehlungen finden Sie bewährte Methoden dazu, welche Rollen welchen Benutzern in Ihrem SOC zugewiesen werden sollen.

Benutzerdefinierte Rollen und erweiterte Azure RBAC-Rollen

Empfehlungen zum Zugriff und zu Berechtigungen

Nachdem Sie verstanden haben, wie Rollen und Berechtigungen in Microsoft Sentinel funktionieren, empfiehlt sich die folgende Anleitung mit bewährten Methoden zur Zuweisung von Rollen zu Ihren Benutzern:

Benutzertyp Rolle Resource group BESCHREIBUNG
Sicherheitsanalysten Microsoft Sentinel-Antwortdienst Ressourcengruppe von Microsoft Sentinel Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen

Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents
Microsoft Sentinel-Playbookoperator Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind Anfügen von Playbooks an Analyse- und Automatisierungsregeln
Ausführen von Playbooks
Sicherheitstechniker Microsoft Sentinel-Mitwirkender Ressourcengruppe von Microsoft Sentinel Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen

Verwalten von Incidents, z. B. Zuweisen oder Schließen von Incidents

Erstellen und Bearbeiten von Arbeitsmappen, Analyseregeln und anderen Microsoft Sentinel-Ressourcen

Installieren und Aktualisieren von Lösungen aus dem Inhaltshub.
Logic Apps-Mitwirkender Ressourcengruppe von Microsoft Sentinel oder die Ressourcengruppe, in der Ihre Playbooks gespeichert sind Anfügen von Playbooks an Analyse- und Automatisierungsregeln
Ausführen und Ändern von Playbooks
Dienstprinzipal Microsoft Sentinel-Mitwirkender Ressourcengruppe von Microsoft Sentinel Automatisierte Konfiguration für Verwaltungsaufgaben

Abhängig von den erfassten oder überwachten Daten werden möglicherweise zusätzliche Rollen benötigt. Beispielsweise können Microsoft Entra-Rollen wie „Sicherheitsadministrator“ erforderlich sein, um Datenconnectors für Dienste in anderen Microsoft-Portalen einzurichten.

Ressourcenbasierte Zugriffssteuerung

Möglicherweise verfügen Sie über einige Benutzer*innen, die nur auf bestimmte Daten in Ihrem Microsoft Sentinel-Arbeitsbereich zugreifen müssen, aber keinen Zugriff auf die gesamte Microsoft Sentinel-Umgebung erhalten sollen. Beispiel: Sie möchten einem nicht für Sicherheitsvorgänge zuständigen Team Zugriff auf die Windows-Ereignisdaten für die eigenen Server gewähren.

Für Fälle dieser Art empfehlen wir Ihnen, Ihre rollenbasierte Zugriffssteuerung (RBAC) basierend auf den Ressourcen zu konfigurieren, die für Ihre Benutzer zulässig sind – anstelle des Zugriffs auf den Microsoft-Sentinel-Arbeitsbereich oder bestimmte Microsoft-Sentinel-Features. Diese Methode wird auch als die Einrichtung der rollenbasierten Zugriffssteuerung (RBAC) im Ressourcenkontext bezeichnet. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie mit Rollen für Microsoft Sentinel-Benutzer arbeiten und was die einzelnen Rollen den Benutzern ermöglichen.