Grundlegendes zu Microsoft Sentinel-Berechtigungen und -Rollen
Microsoft Sentinel verwendet die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Dabei werden integrierte Rollen bereitgestellt, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können.
Verwenden Sie Azure RBAC, um Rollen innerhalb Ihres Security Operations-Teams zu erstellen und zuzuweisen und damit angemessenen Zugriff auf Microsoft Sentinel zu ermöglichen. Mithilfe der verschiedenen Rollen können Sie präzise steuern, was Benutzer von Microsoft Sentinel anzeigen und welche Aktionen sie ausführen können. Azure-Rollen können direkt im Microsoft Sentinel-Arbeitsbereich zugewiesen werden oder in einem Abonnement oder einer Ressourcengruppe, zu dem bzw. der der Arbeitsbereich gehört, der von Microsoft Sentinel geerbt wird.
Microsoft Sentinel-spezifische Rollen
Alle in Microsoft Sentinel integrierten Rollen gewähren Lesezugriff auf die Daten in Ihrem Microsoft Sentinel-Arbeitsbereich:
Microsoft Sentinel-Leser: können Daten, Incidents, Arbeitsmappen und andere Microsoft Sentinel-Ressourcen anzeigen.
Microsoft Sentinel-Antwortberechtigte: können zusätzlich zu den oben genannten Aktionen auch Incidents verwalten (zuweisen, verwerfen usw.).
Microsoft Sentinel-Mitwirkende: können zusätzlich zu den oben aufgeführten Aktionen Arbeitsmappen, Analyseregeln und andere Microsoft Sentinel-Ressourcen erstellen und bearbeiten.
Microsoft Sentinel Automation Contributor: ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht.
Diese Rollen sollten der Ressourcengruppe zugewiesen werden, die den Microsoft Sentinel-Arbeitsbereich enthält, um optimale Ergebnisse zu erzielen. Die Rollen gelten dann für alle Ressourcen, die zur Unterstützung von Microsoft Sentinel bereitgestellt werden, wenn sich diese Ressourcen in derselben Ressourcengruppe befinden.
Weitere Rollen und Berechtigungen
Benutzern mit besonderen Arbeitsanforderungen müssen möglicherweise andere Rollen oder spezifische Berechtigungen zugewiesen werden, um ihre Aufgaben erfüllen zu können.
Arbeiten mit Playbooks zur Automatisierung von Reaktionen auf Bedrohungen
Microsoft Sentinel verwendet Playbooks für automatische Reaktionen auf Bedrohungen. Playbooks nutzen Azure Logic Apps und sind eine separate Azure-Ressource. Sie können bestimmten Mitgliedern Ihres Security Operations-Teams die Option zuweisen, Logic Apps für SOAR-Vorgänge (Sicherheitsorchestrierung, Automatisierung und Reaktion) zu verwenden. Sie können die Rolle Mitwirkender für Logik-Apps verwenden, um eine explizite Berechtigung für die Verwendung von Playbooks zu erteilen.
Microsoft Sentinel-Berechtigungen zum Ausführen von Playbooks erteilen
Microsoft Sentinel verwendet ein spezielles Dienstkonto, um Playbooks manuell auszuführen oder sie aus Automatisierungsregeln aufzurufen. Die Verwendung dieses Kontos (im Gegensatz zu Ihrem Benutzerkonto) erhöht die Sicherheitsstufe des Diensts.
Damit eine Automatisierungsregel ein Playbook ausführen kann, muss diesem Konto explizit die Berechtigung für die Ressourcengruppe erteilt werden, in der sich das Playbook befindet. An diesem Punkt kann jede Automatisierungsregel jedes beliebige Playbook in dieser Ressourcengruppe ausführen. Um diese Berechtigungen für dieses Dienstkonto zu gewähren, muss Ihr Konto über Besitzer-Berechtigungen für die Ressourcengruppen verfügen, die die Playbooks enthalten.
Verbinden von Datenquellen mit Microsoft Sentinel
Damit ein Benutzer Data Connectorshinzufügen kann, müssen Sie dem Benutzer Schreibberechtigungen im Microsoft Sentinel-Arbeitsbereich zuweisen. Beachten Sie außerdem die erforderlichen anderen Berechtigungen für jeden Connector, die auf der Seite zum jeweiligen Connector aufgeführt werden.
Gastbenutzer, die Incidents zuweisen
Wenn ein Gastbenutzer in der Lage sein muss, Incidents zuzuweisen, muss dem Benutzer zusätzlich zur Rolle „Microsoft Sentinel-Antwortberechtigter“ auch die Rolle Verzeichnisleseberechtigte zugewiesen werden. Es handelt sich bei dieser Rolle nicht um eine Azure-Rolle, sondern um eine Microsoft Entra-Rolle, und regulären Benutzer*innen (keine Gastbenutzer*innen) ist diese Rolle standardmäßig zugewiesen.
Erstellen und Löschen von Arbeitsmappen
Zum Erstellen und Löschen einer Microsoft Sentinel-Arbeitsmappe benötigt der Benutzer entweder die Rolle „Microsoft Sentinel-Mitwirkender“ oder eine niedrigere Microsoft Sentinel-Rolle mit der Azure Monitor-Rolle Arbeitsmappenmitwirkender. Diese Rolle ist nur zum Erstellen und Löschen von Arbeitsmappen erforderlich, nicht aber für ihre Verwendung.
Azure-Rollen und Azure Monitor Log Analytics-Rollen
Zusätzlich zu den für Microsoft Sentinel dedizierten Azure RBAC-Rollen können andere RBAC-Rollen für Log Analytics und Azure weitere Berechtigungen bieten. Diese Rollen umfassen den Zugriff auf Ihren Microsoft Sentinel-Arbeitsbereich und andere Ressourcen.
Azure-Rollen können den Zugriff auf all Ihre Azure-Ressourcen gewähren. Dazu gehören Log Analytics-Arbeitsbereiche und Microsoft Sentinel-Ressourcen:
Besitzer
Mitwirkender
Leser
Log Analytics-Rollen gewähren Zugriff auf alle Log Analytics-Arbeitsbereiche:
Log Analytics-Mitwirkender
Log Analytics-Leser
Beispielsweise kann ein Benutzer, der über die Microsoft Sentinel-Rolle „Leser“ und die Azure-Rolle „Mitwirkender“ (nicht die Microsoft Sentinel-Rolle „Mitwirkender“) verfügt, Daten in Microsoft Sentinel bearbeiten. Wenn Sie nur Berechtigungen für Microsoft Sentinel gewähren möchten, sollten Sie die vorherigen Berechtigungen der Benutzers sorgfältig entfernen. Stellen Sie sicher, dass Sie dabei keine erforderliche Berechtigungsrolle für eine andere Ressource ändern.
Microsoft Sentinel-Rollen und zulässige Aktionen
In der folgenden Tabelle sind die Rollen und zulässigen Aktionen in Microsoft Sentinel zusammengefasst.
| Rollen | Playbooks erstellen und ausführen | Erstellen und Bearbeiten von Arbeitsmappen, Analyseregeln und anderen Microsoft Sentinel-Ressourcen | Verwalten von Incidents (z. B. Verwerfen und Zuweisen) | Anzeigen von Datenincidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen |
|---|---|---|---|---|
| Microsoft Sentinel-Leser | Nein | Nr. | Nein | Ja |
| Microsoft Sentinel-Antwortberechtigter | Nein | Nein | Ja | Ja |
| Microsoft Sentinel-Mitwirkender | Nein | Ja | Ja | Ja |
| Microsoft Sentinel-Rolle „Mitwirkender“ und Logik-App-Rolle „Mitwirkender“ | Ja | Ja | Ja | Ja |
Benutzerdefinierte Rollen und erweiterte Azure RBAC-Rollen
Wenn die integrierten Azure-Rollen den besonderen Ansprüchen Ihrer Organisation nicht genügen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen. Sie können Benutzern, Gruppen und Dienstprinzipalen neben integrierten Rollen auch benutzerdefinierte Rollen für Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereiche zuweisen.