Información sobre los permisos y roles de Microsoft Sentinel
Microsoft Sentinel usa control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure.
Utilice RBAC de Azure para crear y asignar roles dentro del equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control exhaustivo sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel, o bien en una suscripción o un grupo de recursos al que pertenece el área de trabajo, y que Microsoft Sentinel heredará.
Roles específicos de Microsoft Sentinel
Todos los roles integrados de Microsoft Sentinel conceden acceso de lectura a los datos del área de trabajo de Microsoft Sentinel:
Lector de Microsoft Sentinel: puede ver datos, incidentes, libros y otros recursos de Microsoft Sentinel.
Respondedor de Microsoft Sentinel: puede, además de lo anterior, administrar incidentes (asignarlos, descartarlos, etc.).
Colaborador de Microsoft Sentinel: puede, además de lo anterior, crear y editar libros, reglas de análisis y otros recursos de Microsoft Sentinel.
Colaborador de automatización de Microsoft Sentinel: permite que Microsoft Sentinel agregue cuadernos de estrategias a las reglas de automatización. No está diseñado para las cuentas de usuario.
Para obtener los mejores resultados, estos roles se deben asignar al grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. Luego, los roles se aplican a todos los recursos que se implementan para admitir Microsoft Sentinel, siempre que esos recursos se encuentren en el mismo grupo.
Roles y permisos adicionales
Es posible que sea necesario asignar otros roles o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas.
Trabajar con cuadernos de estrategias para automatizar respuestas a amenazas
Microsoft Sentinel usa cuadernos de estrategias para una respuesta automatizada ante amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son recursos independientes de Azure. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la posibilidad de usar Logic Apps para las operaciones de orquestación de seguridad, automatización y respuesta (SOAR). Puede usar el rol de Colaborador de Logic App para asignar permisos explícitos para el uso de cuadernos de estrategias.
Conceda permisos a Sentinel para ejecutar cuadernos de estrategias
Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio.
Para que una regla de automatización ejecute un cuaderno de estrategias, se deben conceder a esta cuenta permisos explícitos para acceder al grupo de recursos en el que se encuentra el cuaderno. En ese momento, cualquier regla de automatización podrá ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. Para conceder estos permisos a esta cuenta de servicio, la cuenta debe tener permisos de propietario en los grupos de recursos que contienen los cuadernos de estrategias.
Conexión de orígenes de datos a Microsoft Sentinel
Para que un usuario pueda agregar conectores de datos, debe asignar permisos de escritura a ese usuario en el área de trabajo de Microsoft Sentinel. Además, tenga en cuenta los otros permisos necesarios para cada conector, tal como se muestra en la página del conector correspondiente.
Los usuarios invitados asignan incidentes
Si un usuario invitado necesita poder asignar incidentes, además del rol Respondedor de Microsoft Sentinel, deberá tener asignado el rol Lector de directorios. Este no es un rol de Azure, sino de Microsoft Entra y los usuarios normales (no invitados) tienen este rol asignado de manera predeterminada.
Creación y eliminación de libros
Para crear y eliminar un libro de Microsoft Sentinel, el usuario requiere el rol Colaborador de Microsoft Sentinel o un rol menor de Microsoft Sentinel más el rol Colaborador de libros de Azure Monitor. Este rol no es necesario para usar los libros, solo para crearlos y eliminarlos.
Roles de Azure y roles de Log Analytics de Azure Monitor
Además de los roles RBAC de Azure dedicados a Microsoft Sentinel, otros roles RBAC de Log Analytics y Azure pueden conceder un conjunto más amplio de permisos. Estos roles incluyen el acceso al área de trabajo de Microsoft Sentinel y a otros recursos.
Los roles de Azure conceden acceso a todos los recursos de Azure. Incluyen áreas de trabajo de Log Analytics y recursos de Microsoft Sentinel:
Propietario
Colaborador
Lector
Los roles de Log Analytics conceden acceso a todas las áreas de trabajo de Log Analytics:
Colaborador de Log Analytics
Lector de Log Analytics
Por ejemplo, un usuario al que se le asignen los roles Lector de Microsoft Sentinel y Colaborador de Azure (no Colaborador de Microsoft Sentinel) puede editar datos en Microsoft Sentinel. Si solo quiere conceder permisos para Microsoft Sentinel, debe quitar detenidamente los permisos anteriores del usuario. Asegúrese de no interrumpir ningún rol de permisos necesario para otro recurso.
Roles de Microsoft Sentinel y acciones permitidas
En la tabla siguiente se resumen los roles y las acciones permitidas en Microsoft Sentinel.
| Roles | Creación y ejecución de cuadernos de estrategias | Creación y edición de libros, reglas analíticas y otros recursos de Microsoft Sentinel | Administración de incidentes como descartes y asignaciones | Visualización de incidentes de datos, libros y otros recursos de Microsoft Sentinel |
|---|---|---|---|---|
| Lector de Microsoft Sentinel | No | No | No | Sí |
| Respondedor de Microsoft Sentinel | No | No | Sí | Sí |
| Colaborador de Microsoft Sentinel | No | Sí | Sí | Sí |
| Colaborador de Microsoft Sentinel y Colaborador de Logic Apps | Sí | Sí | Sí | Sí |
Roles personalizados y Azure RBAC avanzado
Si los roles integrados de Azure no satisfacen las necesidades específicas de su organización, puede crear sus propios roles personalizados. Al igual que los roles integrados, puede asignar roles personalizados a usuarios, grupos y entidades de servicio en ámbitos de grupo de administración, suscripción y grupo de recursos.