Informatie over Microsoft Sentinel-machtigingen en -rollen

5 minuten

Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen te bieden die kunnen worden toegewezen aan gebruikers, groepen en services in Azure.

Gebruik Azure RBAC om rollen te maken en toe te wijzen binnen uw beveiligingsteam om de juiste toegang te verlenen tot Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat gebruikers van Microsoft Sentinel kunnen zien en doen. Azure-rollen kunnen rechtstreeks in de Microsoft Sentinel-werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, waartoe Microsoft Sentinel wordt overgenomen.

Microsoft Sentinel-specifieke rollen

Alle ingebouwde Microsoft Sentinel-rollen verlenen leestoegang tot de gegevens in uw Microsoft Sentinel-werkruimte:

Microsoft Sentinel Reader: kan gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources bekijken.
Microsoft Sentinel Responder: kan, naast het bovenstaande, incidenten beheren (toewijzen, sluiten, enzovoort)
Microsoft Sentinel-inzender: kan, naast het bovenstaande, werkmappen, analyseregels en andere Microsoft Sentinel-resources maken en bewerken.
Inzender voor Microsoft Sentinel Automation: hiermee kan Microsoft Sentinel playbooks toevoegen aan automatiseringsregels. Het is niet bedoeld voor gebruikersaccounts.

Voor de beste resultaten moeten deze rollen worden toegewezen aan de resourcegroep die de Microsoft Sentinel-werkruimte bevat. De rollen zijn vervolgens van toepassing op alle resources die worden geïmplementeerd ter ondersteuning van Microsoft Sentinel, als deze resources zich in dezelfde resourcegroep bevinden.

Aanvullende rollen en machtigingen

Gebruikers met bepaalde taakvereisten moeten mogelijk andere rollen of specifieke machtigingen toewijzen om hun taken uit te voeren.

Werken met playbooks om reacties op bedreigingen te automatiseren

Microsoft Sentinel maakt gebruik van playbooks voor geautomatiseerde reactie op bedreigingen. Playbooks zijn gebaseerd op Azure Logic Apps en zijn een afzonderlijke Azure-resource. Mogelijk wilt u specifieke leden van uw beveiligingsbewerkingenteam toewijzen aan de mogelijkheid om SOAR-bewerkingen (Logic Apps for Security Orchestration, Automation en Response) te gebruiken. U kunt de rol Inzender voor logische apps gebruiken om expliciete machtigingen toe te wijzen voor het gebruik van playbooks.
Microsoft Sentinel-machtigingen geven om playbooks uit te voeren

Microsoft Sentinel gebruikt een speciaal serviceaccount om playbooks met incidenttriggers handmatig uit te voeren of om ze aan te roepen vanuit automatiseringsregels. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service.

Als u een automatiseringsregel wilt gebruiken om een playbook uit te voeren, moet u aan dit account expliciete machtigingen verlenen voor de resourcegroep waarin het playbook zich bevindt. Elke automatiseringsregel kan dan elk playbook in die resourcegroep uitvoeren. Als u deze machtigingen aan dit serviceaccount wilt verlenen, moet uw account eigenaarsmachtigingen hebben voor de resourcegroepen die de playbooks bevatten.
Gegevensbronnen verbinden met Microsoft Sentinel

Als een gebruiker gegevensconnectors wil toevoegen, moet u de schrijfmachtigingen van de gebruiker toewijzen aan de Microsoft Sentinel-werkruimte. Let ook op de vereiste andere machtigingen voor elke connector, zoals vermeld op de relevante connectorpagina.
Gastgebruikers die incidenten toewijzen

Als een gastgebruiker incidenten moet kunnen toewijzen, moet naast de rol Microsoft Sentinel Responder ook de rol van directorylezer aan de gebruiker worden toegewezen. Deze rol is geen Azure-rol, maar een Microsoft Entra-rol en dat gewone (niet-gast)gebruikers deze rol standaard hebben toegewezen.
Werkmappen maken en verwijderen

Als u een Microsoft Sentinel-werkmap wilt maken en verwijderen, heeft de gebruiker de rol Microsoft Sentinel-inzender of een mindere Microsoft Sentinel-rol nodig, plus de Azure Monitor-rol werkmapbijdrager. Deze rol is niet nodig voor het gebruik van werkmappen, maar alleen voor het maken en verwijderen.

Rollen in Azure en in Azure Monitor Log Analytics

Naast toegewezen Azure RBAC-rollen van Microsoft Sentinel kunnen andere Azure- en Log Analytics Azure RBAC-rollen een bredere set machtigingen verlenen. Deze rollen omvatten toegang tot uw Microsoft Sentinel-werkruimte en andere resources.

Azure-rollen verlenen toegang tot alle Azure-resources. Ze omvatten Log Analytics-werkruimten en Microsoft Sentinel-resources:
- Eigenaar
- Inzender
- Lezer
Log Analytics-rollen bieden toegang tot alle Log Analytics-werkruimten:
- Inzender van Log Analytics
- Lezer van Log Analytics

Een gebruiker die is toegewezen met de rollen Microsoft Sentinel Reader en Azure-inzender (niet Microsoft Sentinel-inzender) kan bijvoorbeeld gegevens bewerken in Microsoft Sentinel. Als u alleen machtigingen wilt verlenen aan Microsoft Sentinel, moet u de voorafgaande machtigingen van de gebruiker zorgvuldig verwijderen. Zorg ervoor dat u de benodigde machtiging voor een andere resource niet intrekt.

Microsoft Sentinel-rollen en toegestane acties

De volgende tabel bevat een overzicht van de rollen en toegestane acties in Microsoft Sentinel.

Rollen	Playbooks maken en uitvoeren	Werkmappen, analyseregels en andere Microsoft Sentinel-resources maken en bewerken	Incidenten beheren, bijvoorbeeld sluiten en toewijzen	Gegevensincidenten, werkmappen en andere Microsoft Sentinel-resources weergeven
Microsoft Sentinel Reader	Nee	Nee	No	Ja
Microsoft Sentinel Responder	Nee	No	Ja	Ja
Microsoft Sentinel-inzender	Nr.	Ja	Ja	Ja
Inzender voor Microsoft Sentinel en Inzender voor logische apps	Ja	Ja	Ja	Ja

Aangepaste rollen en geavanceerde Azure RBAC