Role i uprawnienia w usłudze Microsoft Sentinel
W tym artykule wyjaśniono, jak usługa Microsoft Sentinel przypisuje uprawnienia do ról użytkowników i identyfikuje dozwolone akcje dla każdej roli. Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych ról , które można przypisać do użytkowników, grup i usług na platformie Azure. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Użyj kontroli dostępu opartej na rolach platformy Azure, aby utworzyć i przypisać role w zespole ds. operacji zabezpieczeń w celu udzielenia odpowiedniego dostępu do usługi Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym usługi Microsoft Sentinel lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który dziedziczy usługa Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Role i uprawnienia do pracy w usłudze Microsoft Sentinel
Udziel odpowiedniego dostępu do danych w obszarze roboczym przy użyciu wbudowanych ról. W zależności od zadań użytkownika może być konieczne przyznanie większej liczby ról lub określonych uprawnień.
Role specyficzne dla usługi Microsoft Sentinel
Wszystkie wbudowane role usługi Microsoft Sentinel zapewniają dostęp do odczytu do danych w obszarze roboczym usługi Microsoft Sentinel.
Czytelnik usługi Microsoft Sentinel może wyświetlać dane, incydenty, skoroszyty i inne zasoby usługi Microsoft Sentinel.
Osoba odpowiadająca w usłudze Microsoft Sentinel może oprócz uprawnień czytelnika usługi Microsoft Sentinel zarządzać zdarzeniami, takimi jak przypisywanie, odrzucanie i zmienianie zdarzeń.
Współautor usługi Microsoft Sentinel może oprócz uprawnień osoby odpowiadającej usłudze Microsoft Sentinel instalować i aktualizować rozwiązania z centrum zawartości oraz tworzyć i edytować zasoby usługi Microsoft Sentinel, takie jak skoroszyty, reguły analizy i inne.
Operator podręcznika usługi Microsoft Sentinel może wyświetlać, wyświetlać i ręcznie uruchamiać podręczniki.
Rola Współautor automatyzacji usługi Microsoft Sentinel umożliwia usłudze Microsoft Sentinel dodawanie elementów playbook do reguł automatyzacji. Nie jest przeznaczona dla kont użytkowników.
Aby uzyskać najlepsze wyniki, przypisz te role do grupy zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. W ten sposób role mają zastosowanie do wszystkich zasobów, które obsługują usługę Microsoft Sentinel, ponieważ te zasoby powinny być również umieszczane w tej samej grupie zasobów.
W ramach innej opcji przypisz role bezpośrednio do samego obszaru roboczego usługi Microsoft Sentinel. Jeśli to zrobisz, musisz przypisać te same role do zasobu rozwiązania SecurityInsights w tym obszarze roboczym. Może być również konieczne przypisanie ich do innych zasobów i ciągłe zarządzanie przypisaniami ról do zasobów.
Inne role i uprawnienia
Aby wykonać swoje zadania, użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień.
Instalowanie gotowej zawartości i zarządzanie nią
Znajdź spakowane rozwiązania dla produktów end-to-end lub zawartości autonomicznej z centrum zawartości w usłudze Microsoft Sentinel. Aby zainstalować zawartość z centrum zawartości i zarządzać nią, przypisz rolę Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
Automatyzowanie odpowiedzi na zagrożenia za pomocą podręczników
Usługa Microsoft Sentinel używa podręczników do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem platformy Azure. W przypadku określonych członków zespołu ds. operacji zabezpieczeń możesz przypisać możliwość używania operacji SoAR (Logic Apps for Security Orchestration, Automation i Response). Rolę Operator podręcznika usługi Microsoft Sentinel można użyć do przypisywania jawnych, ograniczonych uprawnień do uruchamiania podręczników oraz roli Współautor aplikacji logiki w celu tworzenia i edytowania podręczników.
Przyznawanie uprawnień usługi Microsoft Sentinel do uruchamiania podręczników
Usługa Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania podręczników wyzwalania zdarzeń lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi.
Aby reguła automatyzacji uruchamiała podręcznik, to konto musi mieć jawne uprawnienia do grupy zasobów, w której znajduje się podręcznik. W tym momencie każda reguła automatyzacji może uruchamiać dowolny podręcznik w tej grupie zasobów. Aby przyznać te uprawnienia do tego konta usługi, twoje konto musi mieć uprawnienia właściciela do grup zasobów zawierających podręczniki.
Łączenie źródeł danych z usługą Microsoft Sentinel
Aby użytkownik dodał łączniki danych, należy przypisać użytkownikowi uprawnienia do zapisu w obszarze roboczym usługi Microsoft Sentinel. Zwróć uwagę na wymagane dodatkowe uprawnienia dla każdego łącznika, jak pokazano na odpowiedniej stronie łącznika.
Zezwalaj użytkownikom-gościom na przypisywanie zdarzeń
Jeśli użytkownik-gość musi mieć możliwość przypisywania zdarzeń, musisz przypisać użytkownikowi rolę Czytelnik katalogu oprócz roli osoby odpowiadającej usłudze Microsoft Sentinel. Rola Czytelnik katalogu nie jest rolą platformy Azure, ale rolą Firmy Microsoft Entra, a domyślnie przypisaną tą rolą jest zwykła (nietypowa).
Tworzenie i usuwanie skoroszytów
Aby utworzyć i usunąć skoroszyt usługi Microsoft Sentinel, użytkownik musi mieć rolę współautora usługi Microsoft Sentinel lub mniejszą rolę usługi Microsoft Sentinel wraz z rolą Współautor skoroszytu w usłudze Azure Monitor. Ta rola nie jest niezbędna do używania skoroszytów tylko do tworzenia i usuwania.
Przypisane role platformy Azure i usługi Log Analytics
Podczas przypisywania ról platformy Azure specyficznych dla usługi Microsoft Sentinel możesz napotkać inne role platformy Azure i usługi Log Analytics, które mogą być przypisane do użytkowników w innych celach. Te role zapewniają szerszy zestaw uprawnień, które obejmują dostęp do obszaru roboczego usługi Microsoft Sentinel i innych zasobów:
Role platformy Azure: Właściciel, Współautor i Czytelnik. Role platformy Azure zapewniają dostęp do wszystkich zasobów platformy Azure, włącznie z obszarami roboczymi usługi Log Analytics i zasobami usługi Microsoft Sentinel.
Role usługi Log Analytics: Współautor usługi Log Analytics i Czytelnik usługi Log Analytics. Role usługi Log Analytics zapewniają dostęp do obszarów roboczych usługi Log Analytics.
Na przykład użytkownik przypisał rolę Czytelnik usługi Microsoft Sentinel, ale nie rolę współautora usługi Microsoft Sentinel, nadal może edytować elementy w usłudze Microsoft Sentinel, jeśli ten użytkownik ma również przypisaną rolę Współautor na poziomie platformy Azure. W związku z tym, jeśli chcesz udzielić uprawnień użytkownikowi tylko w usłudze Microsoft Sentinel, dokładnie usuń wcześniejsze uprawnienia tego użytkownika, upewniając się, że nie przerywasz dostępu do innego zasobu.
Role, uprawnienia i dozwolone akcje usługi Microsoft Sentinel
Ta tabela zawiera podsumowanie ról usługi Microsoft Sentinel i ich dozwolonych akcji w usłudze Microsoft Sentinel.
Rola | Wyświetlanie i uruchamianie podręczników | Tworzenie i edytowanie podręczników | Tworzenie i edytowanie reguł analizy, skoroszytów i innych zasobów usługi Microsoft Sentinel | Zarządzanie zdarzeniami (odrzucanie, przypisywanie itp.) | Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel | Instalowanie zawartości z centrum zawartości i zarządzanie nią |
---|---|---|---|---|---|---|
Czytelnik usługi Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
Obiekt odpowiadający usługi Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
Współautor usługi Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
Operator podręcznika usługi Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
Współautor aplikacji logiki | ✓ | ✓ | -- | -- | -- | -- |
* Użytkownicy z tymi rolami mogą tworzyć i usuwać skoroszyty z rolą Współautor skoroszytu. Dowiedz się więcej o innych rolach i uprawnieniach.
Zapoznaj się z zaleceniami dotyczącymi ról, dla których ról należy przypisać użytkowników w usłudze SOC.
Niestandardowe i zaawansowane role RBAC platformy Azure
Role niestandardowe. Oprócz funkcji wbudowanych ról platformy Azure lub zamiast ich można tworzyć role niestandardowe platformy Azure dla usługi Microsoft Sentinel. Role niestandardowe platformy Azure dla usługi Microsoft Sentinel są tworzone w taki sam sposób, jak role niestandardowe platformy Azure, na podstawie określonych uprawnień do usługi Microsoft Sentinel i zasobów usługi Azure Log Analytics.
Kontrola dostępu oparta na rolach usługi Log Analytics. Możesz użyć zaawansowanej kontroli dostępu opartej na rolach platformy Azure usługi Log Analytics w danych w obszarze roboczym usługi Microsoft Sentinel. Dotyczy to zarówno kontroli dostępu opartej na rolach platformy Azure, jak i kontroli dostępu opartej na zasobach na podstawie ról platformy Azure. Dodatkowe informacje:
- Zarządzanie danymi dziennika i obszarami roboczymi w usłudze Azure Monitor
- Kontrola dostępu oparta na rolach kontekstu zasobów dla usługi Microsoft Sentinel
- Kontrola dostępu oparta na rolach na poziomie tabeli
Kontrola dostępu oparta na rolach na poziomie zasobów i na poziomie tabeli to dwa sposoby udzielenia dostępu do określonych danych w obszarze roboczym usługi Microsoft Sentinel bez zezwalania na dostęp do całego środowiska usługi Microsoft Sentinel.
Zalecenia dotyczące ról i uprawnień
Po zrozumieniu sposobu działania ról i uprawnień w usłudze Microsoft Sentinel możesz zapoznać się z tymi najlepszymi rozwiązaniami dotyczącymi stosowania ról do użytkowników:
Typ użytkownika | Rola | Grupa zasobów | opis |
---|---|---|---|
Analitycy zabezpieczeń | Osoba odpowiadająca w usłudze Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel. Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń. |
Operator podręcznika usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki | Dołączanie podręczników do reguł analizy i automatyzacji. Uruchamianie podręczników. |
|
Inżynierowie zabezpieczeń | Współautor usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel. Zarządzanie zdarzeniami, takimi jak przypisywanie lub odrzucanie zdarzeń. Tworzenie i edytowanie skoroszytów, reguł analizy i innych zasobów usługi Microsoft Sentinel. Instalowanie i aktualizowanie rozwiązań z centrum zawartości. |
Współautor usługi Logic Apps | Grupa zasobów usługi Microsoft Sentinel lub grupa zasobów, w której są przechowywane podręczniki | Dołączanie podręczników do reguł analizy i automatyzacji. Uruchamianie i modyfikowanie podręczników. |
|
Jednostka usługi | Współautor usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Automatyczna konfiguracja zadań zarządzania |
W zależności od pozyskiwanych lub monitorujących danych może być wymaganych więcej ról. Na przykład role Firmy Microsoft Entra mogą być wymagane, takie jak rola administratora zabezpieczeń, aby skonfigurować łączniki danych dla usług w innych portalach firmy Microsoft.
Kontrola dostępu oparta na zasobach
Niektórzy użytkownicy mogą mieć dostęp tylko do określonych danych w obszarze roboczym usługi Microsoft Sentinel, ale nie powinni mieć dostępu do całego środowiska usługi Microsoft Sentinel. Na przykład możesz udostępnić zespołowi poza operacjami zabezpieczeń dostęp do danych zdarzeń systemu Windows dla serwerów, których są właścicielami.
W takich przypadkach zalecamy skonfigurowanie kontroli dostępu opartej na rolach (RBAC) na podstawie zasobów, które są dozwolone dla użytkowników, zamiast udostępniać im dostęp do obszaru roboczego usługi Microsoft Sentinel lub określonych funkcji usługi Microsoft Sentinel. Ta metoda jest również nazywana konfigurowaniem kontroli dostępu opartej na rolach w kontekście zasobów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobu.
Następne kroki
W tym artykule pokazano, jak pracować z rolami użytkowników usługi Microsoft Sentinel i jak każda rola umożliwia użytkownikom wykonywanie zadań.