Partilhar via


Funções e permissões no Microsoft Sentinel

Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário e identifica as ações permitidas para cada função. O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure. Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Use o RBAC do Azure para criar e atribuir funções em sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As diferentes funções oferecem controle refinado sobre o que os usuários do Microsoft Sentinel podem ver e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho do Microsoft Sentinel ou em uma assinatura ou grupo de recursos ao qual o espaço de trabalho pertence, que o Microsoft Sentinel herda.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Funções e permissões para trabalhar no Microsoft Sentinel

Conceda o acesso apropriado aos dados em seu espaço de trabalho usando funções internas. Talvez seja necessário conceder mais funções ou permissões específicas, dependendo das tarefas de trabalho de um usuário.

Funções específicas do Microsoft Sentinel

Todas as funções internas do Microsoft Sentinel concedem acesso de leitura aos dados em seu espaço de trabalho do Microsoft Sentinel.

Para obter melhores resultados, atribua essas funções ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Dessa forma, as funções se aplicam a todos os recursos que oferecem suporte ao Microsoft Sentinel, pois esses recursos também devem ser colocados no mesmo grupo de recursos.

Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Se você fizer isso, deverá atribuir as mesmas funções ao recurso de solução SecurityInsights nesse espaço de trabalho. Também pode ser necessário atribuí-los a outros recursos e gerenciar continuamente as atribuições de função aos recursos.

Outras funções e permissões

Os usuários com requisitos de trabalho específicos podem precisar receber outras funções ou permissões específicas para realizar suas tarefas.

  • Instalar e gerenciar conteúdo pronto para uso

    Encontre soluções empacotadas para produtos de ponta a ponta ou conteúdo autônomo do hub de conteúdo no Microsoft Sentinel. Para instalar e gerenciar conteúdo do hub de conteúdo, atribua a função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.

  • Automatize as respostas a ameaças com playbooks

    O Microsoft Sentinel usa manuais para resposta automatizada a ameaças. Os playbooks são criados em Aplicativos Lógicos do Azure e são um recurso separado do Azure. Para membros específicos da sua equipe de operações de segurança, convém atribuir a capacidade de usar Aplicativos Lógicos para operações de Orquestração, Automação e Resposta de Segurança (SOAR). Você pode usar a função Operador de Playbook do Microsoft Sentinel para atribuir permissão explícita e limitada para executar playbooks e a função de Colaborador de Aplicativo Lógico para criar e editar playbooks.

  • Conceder permissões ao Microsoft Sentinel para executar playbooks

    O Microsoft Sentinel usa uma conta de serviço especial para executar playbooks de acionamento de incidentes manualmente ou para chamá-los a partir de regras de automação. A utilização desta conta (por oposição à sua conta de utilizador) aumenta o nível de segurança do serviço.

    Para que uma regra de automação execute um playbook, essa conta deve receber permissões explícitas para o grupo de recursos onde o playbook reside. Nesse ponto, qualquer regra de automação pode executar qualquer manual nesse grupo de recursos. Para conceder essas permissões a essa conta de serviço, sua conta deve ter permissões de Proprietário para os grupos de recursos que contêm os playbooks.

  • Conectar fontes de dados ao Microsoft Sentinel

    Para um usuário adicionar conectores de dados, você deve atribuir ao usuário permissões de gravação no espaço de trabalho do Microsoft Sentinel. Observe as permissões adicionais necessárias para cada conector, conforme listado na página do conector relevante.

  • Permitir que usuários convidados atribuam incidentes

    Se um usuário convidado precisar ser capaz de atribuir incidentes, você precisará atribuir a função Leitor de Diretório ao usuário, além da função Respondente do Microsoft Sentinel. A função Leitor de Diretório não é uma função do Azure, mas uma função do Microsoft Entra, e os usuários regulares (não convidados) têm essa função atribuída por padrão.

  • Criar e excluir pastas de trabalho

    Para criar e excluir uma pasta de trabalho do Microsoft Sentinel, o usuário precisa da função de Colaborador do Microsoft Sentinel ou de uma função menor do Microsoft Sentinel, juntamente com a função de Monitor do Azure de Colaborador da Pasta de Trabalho. Essa função não é necessária para usar pastas de trabalho, apenas para criar e excluir.

Funções do Azure e do Log Analytics que você pode ver atribuídas

Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode se deparar com outras funções do Azure e do Log Analytics que podem ser atribuídas aos usuários para outros fins. Essas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:

  • Funções do Azure: Proprietário, Colaborador e Leitor. As funções do Azure concedem acesso em todos os recursos do Azure, incluindo áreas de trabalho do Log Analytics e recursos do Microsoft Sentinel.

  • Funções do Log Analytics: Colaborador do Log Analytics e Leitor do Log Analytics. As funções do Log Analytics concedem acesso às suas áreas de trabalho do Log Analytics.

Por exemplo, um usuário atribuído à função Microsoft Sentinel Reader, mas não à função de Colaborador do Microsoft Sentinel, ainda pode editar itens no Microsoft Sentinel, se esse usuário também estiver atribuído à função de Colaborador no nível do Azure. Portanto, se você quiser conceder permissões a um usuário somente no Microsoft Sentinel, remova cuidadosamente as permissões anteriores desse usuário, certificando-se de não interromper nenhum acesso necessário a outro recurso.

Funções, permissões e ações permitidas do Microsoft Sentinel

Esta tabela resume as funções do Microsoft Sentinel e suas ações permitidas no Microsoft Sentinel.

Role Ver e executar playbooks Criar e editar playbooks Criar e editar regras de análise, pastas de trabalho e outros recursos do Microsoft Sentinel Gerir incidentes (despedir, atribuir, etc.) Exibir dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel Instalar e gerenciar conteúdo do hub de conteúdo
Leitor do Microsoft Sentinel -- -- --* -- --
Respondedor do Microsoft Sentinel -- -- --* --
Contribuidor do Microsoft Sentinel -- --
Operador do Microsoft Sentinel Playbook -- -- -- -- --
Colaborador do Aplicativo Lógico -- -- -- --

* Os usuários com essas funções podem criar e excluir pastas de trabalho com a função de Colaborador da Pasta de Trabalho . Saiba mais sobre Outras funções e permissões.

Analise as recomendações de função para quais funções atribuir a quais usuários em seu SOC.

Funções personalizadas e RBAC do Azure avançadas

Recomendações de funções e permissões

Depois de entender como as funções e permissões funcionam no Microsoft Sentinel, você pode revisar estas práticas recomendadas para aplicar funções aos seus usuários:

Tipo de utilizador Role Grupo de recursos Description
Analistas de segurança Respondente do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Gerencie incidentes, como atribuir ou descartar incidentes.
Operador do Microsoft Sentinel Playbook Grupo de recursos do Microsoft Sentinel ou o grupo de recursos onde os playbooks estão armazenados Anexe playbooks a regras de análise e automação.
Execute playbooks.
Engenheiros de segurança Colaborador do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Gerencie incidentes, como atribuir ou descartar incidentes.

Crie e edite pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel.

Instale e atualize soluções a partir do hub de conteúdo.
Contribuidor de aplicativos lógicos Grupo de recursos do Microsoft Sentinel ou o grupo de recursos onde os playbooks estão armazenados Anexe playbooks a regras de análise e automação.
Execute e modifique playbooks.
Principal de Serviço Colaborador do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Configuração automatizada para tarefas de gerenciamento

Mais funções podem ser necessárias, dependendo dos dados que você ingere ou monitora. Por exemplo, as funções do Microsoft Entra podem ser necessárias, como a função de Administrador de Segurança, para configurar conectores de dados para serviços em outros portais da Microsoft.

Controle de acesso baseado em recursos

Você pode ter alguns usuários que precisam acessar apenas dados específicos em seu espaço de trabalho do Microsoft Sentinel, mas não devem ter acesso a todo o ambiente do Microsoft Sentinel. Por exemplo, talvez você queira fornecer a uma equipe fora das operações de segurança acesso aos dados de eventos do Windows para os servidores de sua propriedade.

Nesses casos, recomendamos que você configure seu controle de acesso baseado em função (RBAC) com base nos recursos permitidos aos usuários, em vez de fornecer-lhes acesso ao espaço de trabalho do Microsoft Sentinel ou a recursos específicos do Microsoft Sentinel. Esse método também é conhecido como configuração de RBAC de contexto de recurso. Para obter mais informações, consulte Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.

Próximos passos

Neste artigo, você aprendeu como trabalhar com funções para usuários do Microsoft Sentinel e o que cada função permite que os usuários façam.