Omówienie uprawnień i ról usługi Microsoft Sentinel
Usługa Microsoft Sentinel używa kontroli dostępu na podstawie ról platformy Azure (Azure RBAC) w celu zapewniania wbudowanych ról, które można przypisywać do użytkowników, grup i usług na platformie Azure.
Użyj kontroli dostępu opartej na rolach platformy Azure, aby utworzyć i przypisać role w zespole ds. operacji zabezpieczeń w celu udzielenia odpowiedniego dostępu do usługi Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym usługi Microsoft Sentinel lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który będzie dziedziczony przez usługę Microsoft Sentinel.
Role specyficzne dla usługi Microsoft Sentinel
Wszystkie wbudowane role usługi Microsoft Sentinel zapewniają dostęp do odczytu do danych w obszarze roboczym usługi Microsoft Sentinel:
Czytelnik usługi Microsoft Sentinel: może wyświetlać dane, zdarzenia, skoroszyty i inne zasoby usługi Microsoft Sentinel.
Osoba odpowiadająca usłudze Microsoft Sentinel: może oprócz powyższych zarządzać zdarzeniami (przypisywać, odrzucać itp.)
Współautor usługi Microsoft Sentinel: oprócz powyższych elementów można tworzyć i edytować skoroszyty, reguły analizy i inne zasoby usługi Microsoft Sentinel.
Współautor automatyzacji usługi Microsoft Sentinel: umożliwia usłudze Microsoft Sentinel dodawanie podręczników do reguł automatyzacji. Nie jest przeznaczona dla kont użytkowników.
Aby uzyskać najlepsze wyniki, te role powinny być przypisane do grupy zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Następnie role mają zastosowanie do wszystkich zasobów wdrażanych w celu obsługi usługi Microsoft Sentinel, jeśli te zasoby znajdują się w tej samej grupie zasobów.
Dodatkowe role i uprawnienia
Użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień w celu wykonania swoich zadań.
Praca z podręcznikami w celu zautomatyzowania odpowiedzi na zagrożenia
Usługa Microsoft Sentinel używa podręczników do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem platformy Azure. Możesz przypisać do określonych członków zespołu ds. operacji zabezpieczeń możliwość używania operacji usługi Logic Apps for Security Orchestration, Automation i Response (SOAR). Możesz użyć roli Współautor aplikacji logiki, aby przypisać jawne uprawnienia do korzystania z podręczników.
Nadawanie uprawnień usługi Microsoft Sentinel do uruchamiania podręczników
Usługa Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania podręczników wyzwalania zdarzeń lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi.
Aby reguła automatyzacji uruchamiała element playbook, to konto musi mieć jawnie przydzielone uprawnienia do grupy zasobów, w której znajduje się element playbook. W tym momencie każda reguła automatyzacji będzie mogła uruchamiać dowolny element playbook w tej grupie zasobów. Aby przydzielić uprawnienia do tego konta usługi, Twoje konto musi mieć uprawnienia właściciela w grupach zasobów zawierających elementy playbook.
Połączenie źródeł danych do usługi Microsoft Sentinel
Aby użytkownik dodał łączniki danych, należy przypisać uprawnienia do zapisu użytkownika w obszarze roboczym usługi Microsoft Sentinel. Należy również pamiętać o wymaganych innych uprawnieniach dla każdego łącznika, jak pokazano na odpowiedniej stronie łącznika.
Użytkownicy-goście przypisujący zdarzenia
Jeśli użytkownik-gość musi mieć możliwość przypisywania zdarzeń, oprócz roli osoby odpowiadającej w usłudze Microsoft Sentinel użytkownik musi również mieć przypisaną rolę Czytelnik katalogu. Ta rola nie jest rolą platformy Azure, ale rolą firmy Microsoft Entra i że domyślnie przypisana ta rola jest domyślnie przypisana przez zwykłych użytkowników (innych niż gości).
Tworzenie i usuwanie skoroszytów
Aby utworzyć i usunąć skoroszyt usługi Microsoft Sentinel, użytkownik musi mieć rolę współautora usługi Microsoft Sentinel lub mniejszą rolę usługi Microsoft Sentinel oraz rolę Współautor skoroszytu w usłudze Azure Monitor. Ta rola nie jest niezbędna do używania skoroszytów, ale tylko do tworzenia i usuwania.
Role platformy Azure i role usługi Azure Monitor Log Analytics
Oprócz ról RBAC platformy Azure dedykowanych przez usługę Microsoft Sentinel inne role kontroli dostępu opartej na rolach platformy Azure i usługi Log Analytics mogą udzielać szerszego zestawu uprawnień. Te role obejmują dostęp do obszaru roboczego usługi Microsoft Sentinel i innych zasobów.
Role platformy Azure zapewniają dostęp do wszystkich zasobów platformy Azure. Obejmują one obszary robocze usługi Log Analytics i zasoby usługi Microsoft Sentinel:
Właściciel
Współautor
Czytelnik
Role usługi Log Analytics zapewniają dostęp do wszystkich obszarów roboczych usługi Log Analytics:
Współautor usługi Log Analytics
Czytelnik usługi Log Analytics
Na przykład użytkownik, któremu przypisano role czytelnika usługi Microsoft Sentinel i współautora platformy Azure (a nie współautora usługi Microsoft Sentinel), mogą edytować dane w usłudze Microsoft Sentinel. Jeśli chcesz udzielić uprawnień tylko usłudze Microsoft Sentinel, należy dokładnie usunąć wcześniejsze uprawnienia użytkownika. Upewnij się jednak, że nie naruszasz jego wymaganych uprawnień do innych zasobów.
Role usługi Microsoft Sentinel i dozwolone akcje
Poniższa tabela zawiera podsumowanie ról i dozwolonych akcji w usłudze Microsoft Sentinel.
Role | Tworzenie i uruchamianie podręczników | Tworzenie i edytowanie skoroszytów, reguł analitycznych i innych zasobów usługi Microsoft Sentinel | Zarządzanie zdarzeniami, na przykład odrzucanie i przypisywanie | Wyświetlanie zdarzeń danych, skoroszytów i innych zasobów usługi Microsoft Sentinel |
---|---|---|---|---|
Czytelnik usługi Microsoft Sentinel | Nie. | Nie. | Nie | Tak |
Obiekt odpowiadający usługi Microsoft Sentinel | Nie. | Nie | Tak | Tak |
Współautor usługi Microsoft Sentinel | Nie. | Tak | Tak | Tak |
Współautor aplikacji usługi Microsoft Sentinel i współautor aplikacji logiki | Tak | Tak | Tak | Tak |
Niestandardowe i zaawansowane role RBAC platformy Azure
Jeśli wbudowane role platformy Azure nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe. Podobnie jak role wbudowane, role niestandardowe można przypisywać użytkownikom, grupom i jednostkom usługi, a ich zakres może obejmować grupę zarządzania, subskrypcję lub grupę zasobów.