Compreender as permissões e funções do Microsoft Sentinel
O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (RBAC do Azure) ,para fornecer funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.
Use o RBAC do Azure para criar e atribuir funções na sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As funções diferentes oferecem um controle otimizado sobre o que os usuários do Microsoft Sentinel podem acessar e fazer. As funções do Azure podem ser atribuídas diretamente no workspace do Microsoft Sentinel ou em uma assinatura ou grupo de recursos ao qual o workspace pertence, e ele será herdado pelo Microsoft Sentinel.
Funções específicas do Microsoft Sentinel
Todas as funções internas do Microsoft Sentinel concedem acesso de leitura aos dados no workspace do Microsoft Sentinel:
Leitor do Microsoft Sentinel: pode exibir dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.
Respondente do Microsoft Sentinel: pode gerenciar incidentes (atribuir, ignorar etc.), além de ter permissão para o mencionado acima.
Colaborador do Microsoft Sentinel: pode criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel, além de ter permissão para o mencionado acima.
Colaborador de Automação do Microsoft Sentinel: permite que o Microsoft Sentinel adicione guias estratégicos às regras de automação. Não é destinado a contas de usuário.
Para obter melhores resultados, essas funções devem ser atribuídas ao grupo de recursos que contém o workspace do Microsoft Azure Sentinel. As funções serão aplicadas a todos os recursos implantados para serem compatíveis com o Microsoft Azure Sentinel, caso eles estejam no mesmo grupo de recursos.
Funções e permissões adicionais
Os usuários com exigências de trabalho específicas podem precisar receber outras funções ou permissões específicas para realizar suas tarefas.
Trabalhando com guias estratégicos para automatizar as respostas às ameaças
O Microsoft Sentinel usa os guias estratégicos para resposta automatizada contra ameaças. Os guias estratégicos são criados em Aplicativos Lógicos do Azuree são um recurso do Azure separado. Talvez você queira atribuir a membros específicos de sua equipe de operações de segurança a habilidade de usar os Aplicativos Lógicos para Orquestração de Segurança, Automação e Resposta (SOAR). Você pode usar a função Colaborador do Aplicativo Lógicopara atribuir permissão explícita para o uso de guias estratégicos.
Dê permissões ao Azure Sentinel para executar guias estratégicos
O Azure Sentinel usa uma conta de serviço especial para executar manualmente guias estratégicos de gatilho de incidentes ou para chamá-los por meio de regras de automação. O uso dessa conta (em vez da conta de usuário) aumenta o nível de segurança do serviço.
Para que uma regra de automação execute um guia estratégico, essa conta deve receber permissões explícitas para o grupo de recursos em que o guia estratégico reside. Nesse ponto, qualquer regra de automação poderá executar qualquer guia estratégico nesse grupo de recursos. Para conceder essas permissões à conta de serviço especial, é necessário que a sua tenha permissões de proprietário nos grupos de recursos que contêm os guias estratégicos.
Conectando fontes de dados ao Microsoft Sentinel
Para que um usuário adicioneconectores de dados, você deve atribuir as permissões de gravação do usuário no espaço de trabalho do Microsoft Sentinel. Além disso, observe as permissões adicionais necessárias para cada conector, conforme listado na página do conector relevante.
Usuários convidados atribuem incidentes
Se um usuário convidado precisa ser capaz de atribuir incidentes, então, além da função de Respondente do Microsoft Sentinel, também será necessário atribuir ao usuário a função deLeitor de Diretório. Essa função não é uma função do Azure, mas uma função do Microsoft Entra, e os usuários comuns (não convidados) têm essa função atribuída por padrão.
Criar e excluir pastas de trabalho
Para criar e excluir uma guia de trabalho do Microsoft Sentinel, o usuário requer a função Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel mais a função de do Azure Monitor de Colaborador da Pasta de trabalho. Essa função não é necessária para usar pastas de trabalho, mas apenas para a criação e a exclusão delas.
Funções do Azure e funções do Log Analytics do Azure Monitor
Além das funções do Azure RBAC dedicadas ao Microsoft Azure Sentinel, outras funções do Azure RBAC, do Log Analytics e do Azure poderão conceder um conjunto mais amplo de permissões. Essas funções incluem acesso ao workspace do Microsoft Azure Sentinel e a outros recursos.
As funções do Azure concedem acesso a todos os recursos do Azure. Eles incluem workspaces do Log Analytics e recursos do Microsoft Azure Sentinel:
Proprietário
Colaborador
Leitor
As funções do Log Analytics concedem acesso em todos os seus workspaces do Log Analytics:
Colaborador do Log Analytics
Leitor do Log Analytics
Por exemplo, um usuário atribuído com as funções de Leitor do Microsoft Azure Sentinel e Colaborador do Azure (não como Colaborador do Microsoft Azure Sentinel) poderá editar dados no Microsoft Azure Sentinel. Caso queira conceder permissões somente ao Microsoft Azure Sentinel, você deverá remover cuidadosamente as permissões anteriores do usuário. Certifique-se de não interromper nenhuma função de permissão necessária para outro recurso.
Ações permitidas e funções do Microsoft Sentinel
A tabela a seguir resume as funções e as ações permitidas no Microsoft Azure Sentinel.
| Funções | Criar e executar guias estratégicos | Crie e edite pastas de trabalho, regras analíticas e outros recursos do Microsoft Azure Sentinel | Gerenciar incidentes, como ignorar e atribuir | Exiba incidentes de dados, pastas de trabalho e outros recursos do Microsoft Azure Sentinel |
|---|---|---|---|---|
| Leitor do Microsoft Sentinel | Não | No | No | Sim |
| Respondente do Microsoft Sentinel | Não | No | Sim | Sim |
| Colaborador do Microsoft Sentinel | Não | Sim | Sim | Sim |
| Colaborador do Microsoft Azure Sentinel e Colaborador do Aplicativo Lógico | Sim | Sim | Sim | Sim |
Funções personalizadas e RBAC avançado do Azure
Se as funções internas do Azure não atenderem às necessidades específicas da sua organização, você poderá criar as próprias funções personalizadas. Do mesmo modo que as funções internas, você poderá atribuir funções personalizadas a usuários, grupos e entidades de serviço para acessarem escopos de grupos de gerenciamento, assinaturas e grupos de recursos.