Microsoft Sentinel のアクセス許可とロールについて理解する
Microsoft Azure Sentinel では、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure のユーザー、グループ、サービスに割り当てることができる組み込みロールが提供されています。
Azure RBAC を使用して、セキュリティ運用チーム内でロールを作成して割り当て、Microsoft Azure Sentinel への適切なアクセス権を付与します。 さまざまなロールを使用して、Microsoft Azure Sentinel のユーザーが表示および実行できることをきめ細かく制御できます。 Azure ロールは、Microsoft Azure Sentinel ワークスペースで直接割り当てるか、またはワークスペースが属しているサブスクリプションまたはリソース グループで割り当てることができます (これは、Microsoft Azure Sentinel が継承するものです)。
Microsoft Azure Sentinel 固有のロール
Microsoft Azure Sentinel のすべての組み込みロールでは、Microsoft Azure Sentinel ワークスペース内のデータに対して読み取りアクセス権が付与されます。
Microsoft Sentinel 閲覧者: データ、インシデント、ブック、その他の Microsoft Sentinel リソースを参照できます。
Microsoft Sentinel レスポンダー: 上記に加え、インシデントの管理 (割り当て、無視など) を行うことができます。
Microsoft Sentinel 共同作成者: 上記に加え、ブック、分析ルール、その他の Microsoft Sentinel リソースの作成と編集を行うことができます。
Microsoft Sentinel Automation 共同作成者: プレイブックに自動化ルールを追加することを Microsoft Azure Sentinel に許可します。 これはユーザー アカウント用ではありません。
最適な結果を得るには、Microsoft Sentinel ワークスペースが含まれるリソース グループにこれらのロールを割り当てる必要があります。 そうすれば、Microsoft Sentinel をサポートするためにデプロイされるすべてのリソースにそれらのロールが適用されます (それらのリソースが同じリソース グループ内にある場合)。
追加のロールとアクセス許可
特定のジョブ要件があるユーザーには、タスクを成し遂げるために、その他ロールまたは特定のアクセス許可を割り当てることが必要な場合があります。
プレイブックを使用して脅威への対応を自動化する
Microsoft Azure Sentinel では、自動化された脅威の対応にプレイブックを使用します。 プレイブックは、Azure Logic Apps に基づいて構築されている、別の Azure リソースです。 セキュリティ運用チームの特定のメンバーに、セキュリティ オーケストレーション、自動化、および対応 (SOAR) の操作に Logic Apps を使用する権能を割り当てることができます。 Logic App 共同作成者ロールを使用して、プレイブックを使用するための明示的なアクセス許可を割り当てることができます。
Microsoft Sentinel にプレイブックを実行するアクセス許可を付与する
Microsoft Sentinel は、特別なサービス アカウントを使用して、インシデントトリガー プレイブックを手動で実行したり、自動化ルールから呼び出したりします。 (ユーザー アカウントではなく) このアカウントを使用すると、サービスのセキュリティ レベルが向上します。
自動化ルールでプレイブックを実行するには、このアカウントに、プレイブックが存在するリソース グループに対する明示的なアクセス許可が付与されている必要があります。 その時点で、すべての自動化ルールでそのリソース グループ内のすべてのプレイブックを実行できるようになります。 これらのアクセス許可をこのサービス アカウントに付与するには、プレイブックを含むリソース グループに対する所有者アクセス許可が自分のアカウントにあることが必要です。
Microsoft Azure Sentinel へのデータ ソースの接続
ユーザーがデータ コネクタを追加するには、Microsoft Azure Sentinel ワークスペースへの書き込みアクセス許可をそのユーザーに割り当てる必要があります。 また、関連するコネクタのページで示されている、各コネクタに必要なその他のアクセス許可を確認してください。
インシデントを割り当てるゲスト ユーザー
ゲスト ユーザーによるインシデント割り当てを可能にする必要がある場合、ユーザーには、Microsoft Azure Sentinel レスポンダー ロールに加えて、ディレクトリ閲覧者のロールも割り当てられている必要があります。 このロールは、Azure のロールではなく、Microsoft Entra のロールであり、通常の (非ゲスト) ユーザーには既定でこのロールが割り当てられています。
ブックの作成と削除
Microsoft Sentinel ブックを作成および削除するには、Microsoft Sentinel 共同作成者ロールか、またはそれより下位の Microsoft Sentinel ロールに Workbook Contributor の Azure Monitor ロールが追加で必要です。 このロールは、ブックの "使用" には必要がなく、作成と削除用です。
Azure ロールと Azure Monitor Log Analytics ロール
Microsoft Sentinel 専用の Azure RBAC ロールに加えて、他の Azure および Log Analytics の Azure RBAC ロールでも、広範なアクセス許可のセットを付与できます。 これらのロールには、Microsoft Sentinel ワークスペースやその他のリソースへのアクセス権が含まれます。
Azure ロールは、すべての Azure リソースに対してアクセス権を付与します。 これには、Log Analytics ワークスペースと Microsoft Sentinel リソースが含まれます。
所有者
Contributor
Reader
Log Analytics ロールでは、すべての Log Analytics ワークスペースへのアクセス権を付与します。
Log Analytics 共同作成者
Log Analytics 閲覧者
たとえば、Microsoft Sentinel 閲覧者と Azure 共同作成者 (Microsoft Sentinel 共同作成者ではなく) のロールが割り当てられているユーザーは、Microsoft Sentinel のデータを編集できます。 Microsoft Sentinel へのアクセス許可のみを付与する場合は、ユーザーの以前のアクセス許可を慎重に削除する必要があります。 別のリソースに必要なアクセス許可ロールが妨げられないことを確認してください。
Microsoft Azure Sentinel ロールと許可されているアクション
次の表は、Microsoft Sentinel でのロールと許可されるアクションの概要を示しています。
| ロール | プレイブックを作成して実行する | ブック、分析ルール、およびその他の Microsoft Sentinel リソースを作成および編集する | インシデントの管理 (破棄や割り当てなど) | データ インシデント、ブック、およびその他の Microsoft Sentinel リソースを表示する |
|---|---|---|---|---|
| Microsoft Sentinel 閲覧者 | いいえ | いいえ | 番号 | はい |
| Microsoft Sentinel レスポンダー | いいえ | 番号 | イエス | はい |
| Microsoft Sentinel 共同作成者 | いいえ | イエス | イエス | はい |
| Microsoft Sentinel 共同作成者とロジック アプリの共同作成者 | はい | イエス | イエス | はい |
カスタム ロールと高度な Azure RBAC
Azure 組み込みロールが組織の特定のニーズを満たさない場合は、独自のカスタム ロールを作成することができます。 組み込みロールと同様に、管理グループ、サブスクリプション、リソース グループの各スコープに対して、ユーザー、グループ、およびサービス プリンシパルにカスタム ロールを割り当てることができます。