Présentation des autorisations et des rôles Microsoft Sentinel
Microsoft Sentinel utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des rôles intégrés susceptibles d’être attribués à des utilisateurs, des groupes et des services dans Azure.
Utilisez RBAC Azure pour créer et attribuer des rôles au sein de votre équipe en charge des opérations de sécurité afin d’accorder l’accès approprié à Microsoft Sentinel. Les différents rôles vous donnent un contrôle précis sur ce que les utilisateurs de Microsoft Sentinel peuvent voir et faire. Les rôles Azure peuvent être attribués directement dans l’espace de travail Microsoft Sentinel ou dans un abonnement ou un groupe de ressources auquel appartient l’espace de travail, dont Microsoft Sentinel héritera.
Rôles spécifiques à Microsoft Sentinel
Tous les rôles intégrés de Microsoft Sentinel accordent un accès en lecture aux données de votre espace de travail Microsoft Sentinel :
Lecteur Microsoft Sentinel : peut voir les données, les incidents, les workbooks et d’autres ressources Microsoft Sentinel.
Répondeur Microsoft Sentinel : peut, en plus des éléments ci-dessus, gérer les incidents (affecter, ignorer, etc.)
Contributeur Microsoft Sentinel : peut, en plus des éléments ci-dessus, créer et modifier des workbooks, des règles d’analytique et d’autres ressources Microsoft Sentinel.
Contributeur d’automatisation Microsoft Sentinel : permet à Microsoft Sentinel d’ajouter des playbooks aux règles d’automatisation. Il n’est pas destiné aux comptes d’utilisateur.
Pour obtenir de meilleurs résultats, ces rôles doivent être attribués au groupe de ressources qui contient l’espace de travail Microsoft Sentinel. Les rôles s’appliquent ensuite à toutes les ressources déployées pour prendre en charge Microsoft Sentinel si ces ressources se trouvent dans le même groupe de ressources.
Rôles et autorisations supplémentaires
Il peut être nécessaire d’attribuer d’autres rôles ou des autorisations spécifiques aux utilisateurs avec des besoins métier particuliers pour accomplir leurs tâches.
Utilisation de playbooks pour automatiser les réponses aux menaces
Microsoft Sentinel utilise des playbooks pour automatiser la réponse aux menaces. Les playbooks sont basés sur Azure Logic Apps et constituent une ressource Azure distincte. Vous pouvez attribuer à des membres spécifiques de votre équipe en charge des opérations de sécurité la possibilité d’utiliser Logic Apps pour les opérations SOAR (Security Orchestration, Automation, and Response). Vous pouvez utiliser le rôle Contributeur d’application logique pour attribuer une autorisation explicite pour l’utilisation des playbooks.
Accorder à Microsoft Sentinel des autorisations pour exécuter les playbooks
Microsoft Sentinel utilise un compte de service spécial pour exécuter manuellement des playbooks de déclencheurs d’incident ou les appeler à partir de règles d’automatisation. L’utilisation de ce compte (par opposition à votre compte d’utilisateur) augmente le niveau de sécurité du service.
Pour qu’une règle d’automatisation exécute un playbook, ce compte doit disposer d’autorisations explicites sur le groupe de ressources dans lequel se trouve le playbook. À ce stade, toute règle d’automatisation sera en mesure d’exécuter n’importe quel playbook dans ce groupe de ressources. Pour accorder ces autorisations à ce compte de service, votre compte doit disposer d’autorisations Propriétaire sur les groupes de ressources contenant les playbooks.
Connexion de sources de données à Microsoft Sentinel
Pour qu’un utilisateur ajoute des connecteurs de données, vous devez attribuer les autorisations d’accès en écriture à l’utilisateur sur l’espace de travail Microsoft Sentinel. Notez également les autres autorisations nécessaires pour chaque connecteur, comme indiqué dans la page du connecteur approprié.
Utilisateurs invités attribuant des incidents
Si un utilisateur invité doit être en mesure d’attribuer des incidents, il doit se voir attribuer le rôle Lecteur de répertoire en plus du rôle Répondeur Microsoft Sentinel. Ce rôle n’est pas un rôle Azure, mais un rôle Microsoft Entra attribué par défaut aux utilisateurs standard (non invités).
Création et suppression de classeurs
Pour créer et supprimer un classeur Microsoft Sentinel, l’utilisateur a besoin du rôle Contributeur Microsoft Sentinel ou d’un rôle Microsoft Sentinel moins important jumelé au rôle Contributeur de classeur Azure Monitor. Ce rôle n’est pas nécessaire pour utiliser des workbooks, seulement pour les créer et les supprimer.
Rôles Azure et rôles Azure Monitor Log Analytics
Outre les rôles Azure RBAC dédiés à Microsoft Sentinel, d’autres rôles RBAC Azure et Log Analytics peuvent accorder un ensemble plus étendu d’autorisations. Ces rôles incluent l’accès à votre espace de travail Microsoft Sentinel et à d’autres ressources.
Les rôles Azure accordent l’accès à toutes vos ressources Azure. Celles-ci comprennent les espaces de travail Log Analytics et les ressources Microsoft Sentinel :
Propriétaire
Contributeur
Lecteur
Les rôles Log Analytics accordent l’accès à tous vos espaces travail Log Analytics :
Contributeur Log Analytics
Lecteur Log Analytics
Par exemple, un utilisateur qui se voit attribuer les rôles Lecteur Microsoft Sentinel et Contributeur Azure (pas le rôle Contributeur Microsoft Sentinel) peut modifier des données dans Microsoft Sentinel. Si vous souhaitez uniquement accorder des autorisations à Microsoft Sentinel, supprimez soigneusement les autorisations préalables de l’utilisateur. Veillez à ne pas rompre le rôle d’autorisation nécessaire pour une autre ressource.
Rôles Microsoft Sentinel et actions autorisées
Le tableau suivant récapitule les rôles et les actions autorisées dans Microsoft Sentinel.
| Rôles | Créer et exécuter des playbooks | Créer et modifier des workbooks, des règles d’analytique et d’autres ressources Microsoft Sentinel | Gérer des incidents tels que le rejet et l’affectation | Consulter les incidents de données, workbooks et autres ressources de Microsoft Sentinel |
|---|---|---|---|---|
| Lecteur Microsoft Sentinel | Non | Non | Non | Oui |
| Répondeur Microsoft Sentinel | Non | Non | Oui | Oui |
| Contributeur Microsoft Sentinel | Non | Oui | Oui | Oui |
| Contributeur Microsoft Sentinel et Contributeur d’application logique | Oui | Oui | Oui | Oui |
Rôles personnalisés et RBAC Azure avancé
Si les rôles Azure intégrés ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles. À l’instar des rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, groupes et principaux de service au niveau de l’étendue d’un groupe de gestion, d’un abonnement et d’un groupe de ressources.