Funções e permissões no Microsoft Azure Sentinel
Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário e identifica as ações permitidas para cada função. O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (RBAC do Azure) ,para fornecer funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Use o RBAC do Azure para criar e atribuir funções na sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As funções diferentes oferecem um controle otimizado sobre o que os usuários do Microsoft Sentinel podem acessar e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho do Microsoft Sentinel ou em uma assinatura ou grupo de recursos ao qual o espaço de trabalho pertence e que o Microsoft Sentinel herda.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Funções e permissões para trabalhar no Microsoft Azure Sentinel
Conceda o acesso apropriado aos dados no espaço de trabalho usando funções internas. Talvez seja necessário conceder mais funções ou permissões específicas, dependendo das tarefas de trabalho de um usuário.
Funções específicas do Microsoft Sentinel
Todas as funções integradas no Microsoft Sentinel concedem acesso a leitura de dados no seu espaço de trabalho do Microsoft Sentinel.
A função Leitor do Microsoft Sentinel pode visualizar dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.
O Respondente do Microsoft Sentinel pode, além das permissões para o Leitor do Microsoft Sentinel, gerenciar incidentes como atribuir, descartar e alterar incidentes.
O Colaborador do Microsoft Sentinel pode, além das permissões para o Respondente do Microsoft Sentinel, instalar e atualizar soluções do hub de conteúdo e criar e editar recursos do Microsoft Sentinel, como pastas de trabalho, regras de análise e muito mais.
O Operador de guia estratégico do Microsoft Sentinel pode listar, exibir e executar manualmente guias estratégicos.
O Colaborador de Automação do Microsoft Sentinel permite que o Microsoft Sentinel adicione guias estratégicos às regras de automação. Não é destinado a contas de usuário.
Para obter melhores resultados, atribua essas funções ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Dessa forma, as funções se aplicam a todos os recursos que dão suporte ao Microsoft Sentinel, pois esses recursos também devem ser colocados no mesmo grupo de recursos.
Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Caso faça isto, deverá atribuir as mesmas funções ao recurso da solução SecurityInsights neste espaço de trabalho. Talvez você também precise atribuí-los a outros recursos e gerenciar continuamente as atribuições de função aos recursos.
Outras funções e permissões
Os usuários com exigências específicas de trabalho poderão precisar ser designados a outras funções ou permissões específicas para realizar tarefas.
Instalar e gerenciar conteúdo pronto para uso
Encontre soluções empacotadas para produtos de ponta a ponta ou conteúdo autônomo do hub de conteúdo no Microsoft Sentinel. Para instalar e gerenciar o conteúdo do hub de conteúdo, atribua a função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
Automatize as respostas a ameaças com guias estratégicos
O Microsoft Sentinel usa os guias estratégicos para resposta automatizada contra ameaças. Os guias estratégicos são criados em Aplicativos Lógicos do Azuree são um recurso do Azure separado. Para membros específicos de sua equipe de operações de segurança, talvez você queira atribuir a habilidade de usar os Aplicativos Lógicos para SOAR (Orquestração de Segurança, Automação e Resposta). É possível usar a função de Operador de guia estratégico do Microsoft Sentinel para atribuir uma permissão explícita e limitada para execução de guias estratégicos e a função Colaborador de aplicativo lógico para criar e editar guias estratégicos.
Dê permissões ao Microsoft Sentinel para executar guias estratégicos
O Azure Sentinel usa uma conta de serviço especial para executar manualmente guias estratégicos de gatilho de incidentes ou para chamá-los por meio de regras de automação. O uso dessa conta (em vez da conta de usuário) aumenta o nível de segurança do serviço.
Para que uma regra de automação execute um guia estratégico, essa conta deve receber permissões explícitas para o grupo de recursos em que o guia estratégico reside. Nesse ponto, qualquer regra de automação poderá executar qualquer guia estratégico nesse grupo de recursos. Para conceder essas permissões à conta de serviço, é necessário que a sua tenha permissões de proprietário aos grupos de recursos que contêm os guias estratégicos.
Conectando fontes de dados ao Microsoft Sentinel
Para um usuário adicionar conectores de dados, você deve atribuir as permissões de Gravação ao usuário no espaço de trabalho do Microsoft Sentinel. Observe as permissões extras necessárias para cada conector, conforme listado na página do conector relevante.
Permitir que usuários convidados atribuam incidentes
Se um usuário convidado precisar atribuir incidentes, você precisará atribuir a função de Leitor de Diretório ao usuário, além da função de Respondente do Microsoft Sentinel. A função Leitor de Diretório não é uma função do Azure, mas uma função do Microsoft Entra e os usuários regulares (não convidados) têm esta função atribuída por padrão.
Criar e excluir pastas de trabalho
Para criar e excluir uma pasta de trabalho do Microsoft Sentinel, o usuário precisa da função de Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel, junto com a função de Colaborador da Pasta de Trabalho do Azure Monitor. Essa função não é necessária para usar as pastas de trabalho, apenas para a criação e a exclusão delas.
Funções do Azure e do Log Analytics que você pode ver atribuídas
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode encontrar outras funções do Azure e do Log Analytics que podem ser atribuídas aos usuários para outras finalidades. Estas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:
Funções do Azure: Proprietário, Colaboradore Leitor. As funções do Azure concedem acesso a todos os seus recursos do Azure, incluindo espaços de trabalho do Log Analytics e recursos do Microsoft Sentinel.
As funções do Log Analytics: do Colaborador do Log Analytics e do Leitor do log Analytics. As funções do Log Analytics concedem acesso em todos os seus espaços de trabalho do Log Analytics.
Por exemplo, um usuário atribuído à função de Leitor do Microsoft Sentinel , mas não à função de Colaborador do Microsoft Sentinel, ainda pode editar itens no Microsoft Sentinel, se esse usuário também tiver a função de Colaborador atribuída no nível do Azure. Desta forma, se você quiser conceder permissões a um usuário somente no Microsoft Sentinel, remova cuidadosamente as permissões anteriores do usuário, tomando a precaução de não interromper nenhum acesso necessário a outro recurso.
Funções, permissões e ações permitidas do Microsoft Sentinel
Esta tabela resume as funções do Microsoft Sentinel e as ações permitidas no Microsoft Sentinel.
Função | Exibir e executar guias estratégicos | Criar e editar guias estratégicos | Crie e edite regras analíticas, pastas de trabalho e outros recursos do Microsoft Sentinel | Gerencie incidentes (ignore, atribui, etc.) | Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel | Instalar e gerenciar conteúdo do hub de conteúdo |
---|---|---|---|---|---|---|
Leitor do Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
Respondente do Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
Colaborador do Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
Operador de Guia Estratégico do Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
Colaborador de aplicativo lógico | ✓ | ✓ | -- | -- | -- | -- |
* Os usuários com essas funções podem criar e excluir as pastas de trabalho com a função de Colaborador da Pasta de Trabalho. Saiba mais sobre Outras funções e permissões.
Revise as Recomendações de função para quais funções atribuir a quais usuários no seu SOC.
Funções personalizadas e RBAC avançado do Azure
Funções personalizadas. Além de, ou em vez de, usar as funções integradas do Azure, você pode criar funções personalizadas do Azure para o Microsoft Sentinel. Você cria funções personalizadas do Azure para o Microsoft Sentinel da mesma forma que as funções personalizadas do Azure, com base nas permissões específicas para o Microsoft Sentinel e para os recursos do Azure Log Analytics.
RBAC do Log Analytics. Use o RBAC do Azure avançado do Azure do Log Analytics em todos os dados no espaço de trabalho do Microsoft Sentinel. Isso inclui tanto o RBAC do Azure baseado no tipo de dados quanto o contexto de execução de recursos do RBAC do Azure. Para saber mais:
- Gerenciar dados de log e espaço de trabalho no Azure Monitor
- RBAC de contexto de recurso para Microsoft Sentinel
- RBAC no nível da tabela
O contexto de recurso e o RBAC em nível de tabela são duas maneiras de fornecer acesso a dados específicos em seu espaço de trabalho do Microsoft Sentinel, sem permitir acesso a toda a experiência do Microsoft Sentinel.
Recomendações de funções e permissões
Depois de entender como as funções e as permissões funcionam no Microsoft Sentinel, revise estas melhores práticas para aplicar funções aos seus usuários:
Tipo de usuário | Função | Grupo de recursos | Descrição |
---|---|---|---|
Analistas de segurança | Respondente do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. Gerencie incidentes, como atribuir ou descartar incidentes. |
Operador de Guia Estratégico do Microsoft Sentinel | Grupo de recursos do Azure Sentinel, ou o grupo de recursos em que os guias estratégicos são armazenados | Anexe guias estratégicos a regras de análise e automação. Execute guias estratégicos. |
|
Engenheiros de segurança | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. Gerencie incidentes, como atribuir ou descartar incidentes. Crie e edite pastas de trabalho, regras analíticas e outros recursos do Microsoft Sentinel. Instale e atualize soluções do hub de conteúdo. |
Colaborador dos Aplicativos Lógicos | Grupo de recursos do Azure Sentinel, ou o grupo de recursos em que os guias estratégicos são armazenados | Anexe guias estratégicos a regras de análise e automação. Execute e modifique guias estratégicos. |
|
Entidade de Serviço | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Configuração automatizada para tarefas de gerenciamento |
Mais funções poderão ser necessárias dependendo dos dados que você ingere ou monitora. Por exemplo, as funções do Microsoft Entra, como a de Administrador de Segurança, podem ser obrigatórias para configurar os conectores de dados para serviços em outros portais da Microsoft.
Controle de acesso baseado em recurso
É possível que alguns usuários precisem acessar apenas dados específicos no worspace do Microsoft Sentinel, mas não devem ter acesso a todo o ambiente do Microsoft Sentinel. Por exemplo, você pode desejar fornecer uma equipe fora das operações de segurança com acesso aos dados de eventos do Windows para os servidores dos quais eles são proprietários.
Nesses casos, recomendamos que você configure seu RBAC (controle de acesso baseado em função) com base nos recursos que são permitidos para seus usuários, em vez de fornecer acesso ao workspace do Microsoft Azure Sentinel ou a recursos específicos do Microsoft Azure Sentinel. Esse método também é conhecido como configuração do RBAC de contexto de recurso. Para saber mais, consulte Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Próximas etapas
Neste artigo, você aprendeu como trabalhar com funções de usuários do Microsoft Sentinel e o que cada função permite que os usuários façam.