Compreender as permissões e funções do Microsoft Sentinel

5 minutos

O Microsoft Sentinel utiliza o controlo de acesso baseado em funções do Azure (RBAC do Azure) para proporcionar funções incorporadas que podem ser atribuídas a utilizadores, grupos e serviços no Azure.

Use o RBAC do Azure para criar e atribuir funções em sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As diferentes funções oferecem controle refinado sobre o que os usuários do Microsoft Sentinel podem ver e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho do Microsoft Sentinel ou em uma assinatura ou grupo de recursos ao qual o espaço de trabalho pertence, ao qual o Microsoft Sentinel herdará.

Funções específicas do Microsoft Sentinel

Todas as funções internas do Microsoft Sentinel concedem acesso de leitura aos dados em seu espaço de trabalho do Microsoft Sentinel:

Microsoft Sentinel Reader: pode exibir dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.
Microsoft Sentinel Responder: pode, além do acima mencionado, gerenciar incidentes (atribuir, dispensar, etc.)
Microsoft Sentinel Contributor: pode, além dos itens acima, criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel.
Microsoft Sentinel Automation Contributor: permite que o Microsoft Sentinel adicione playbooks às regras de automação. Não se destina a contas de utilizador.

Para obter melhores resultados, essas funções devem ser atribuídas ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Em seguida, as funções se aplicam a todos os recursos implantados para dar suporte ao Microsoft Sentinel, se esses recursos estiverem no mesmo grupo de recursos.

Funções e permissões adicionais

Os usuários com requisitos de trabalho específicos podem precisar receber outras funções ou permissões específicas para realizar suas tarefas.

Trabalhar com manuais para automatizar respostas a ameaças

O Microsoft Sentinel usa manuais para resposta automatizada a ameaças. Os playbooks são criados em Aplicativos Lógicos do Azure e são um recurso separado do Azure. Talvez você queira atribuir a membros específicos da sua equipe de operações de segurança a capacidade de usar Aplicativos Lógicos para operações de Orquestração, Automação e Resposta de Segurança (SOAR). Você pode usar a função de Colaborador do Aplicativo Lógico para atribuir permissão explícita para usar playbooks.
Conceder permissões ao Microsoft Sentinel para executar playbooks

O Microsoft Sentinel usa uma conta de serviço especial para executar playbooks de acionamento de incidentes manualmente ou para chamá-los a partir de regras de automação. A utilização desta conta (por oposição à sua conta de utilizador) aumenta o nível de segurança do serviço.

Para que uma regra de automatização execute um manual de procedimentos, esta conta tem de ter permissões explícitas para o grupo de recursos no qual o manual de procedimentos reside. Nessa altura, qualquer regra de automatização poderá executar qualquer manual de procedimentos nesse grupo de recursos. Para conceder estas permissões a esta conta de serviço, a sua conta tem de ter permissões de Proprietário nos grupos de recursos que contêm os manuais de procedimentos.
Conectando fontes de dados ao Microsoft Sentinel

Para que um usuário adicione conectores de dados, você deve atribuir permissões de gravação ao usuário no espaço de trabalho do Microsoft Sentinel. Além disso, observe as outras permissões necessárias para cada conector, conforme listado na página do conector relevante.
Usuários convidados atribuindo incidentes

Se um usuário convidado precisar ser capaz de atribuir incidentes, além da função Microsoft Sentinel Responder, o usuário também precisará receber a função de Leitor de Diretório. Essa função não é uma função do Azure, mas uma função do Microsoft Entra, e que os usuários regulares (não convidados) têm essa função atribuída por padrão.
Criando e excluindo pastas de trabalho

Para criar e excluir uma pasta de trabalho do Microsoft Sentinel, o usuário requer a função de Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel mais a função do Azure Monitor de Colaborador da Pasta de Trabalho. Essa função não é necessária para usar pastas de trabalho, mas apenas para criar e excluir.

Funções do Azure e funções do Log Analytics do Azure Monitor

Além das funções RBAC do Azure dedicadas ao Microsoft Sentinel, outras funções do Azure e do Log Analytics do Azure RBAC podem conceder um conjunto mais amplo de permissões. Essas funções incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos.

As funções do Azure concedem acesso a todos os recursos do Azure. Eles incluem espaços de trabalho do Log Analytics e recursos do Microsoft Sentinel:
- Proprietário
- Contribuinte
- Leitor
As funções do Log Analytics concedem acesso em todas as áreas de trabalho do Log Analytics:
- Contribuidor do Log Analytics
- Leitor do Log Analytics

Por exemplo, um usuário atribuído com as funções Microsoft Sentinel Reader e Azure Contributor (não Microsoft Sentinel Contributor) pode editar dados no Microsoft Sentinel. Se você quiser conceder permissões apenas ao Microsoft Sentinel, remova cuidadosamente as permissões anteriores do usuário. Certifique-se de que não interrompe qualquer função necessária para outro recurso.

Funções do Microsoft Sentinel e ações permitidas

A tabela a seguir resume as funções e ações permitidas no Microsoft Sentinel.

Funções	Criar e executar manuais de procedimentos	Criar e editar pastas de trabalho, regras analíticas e outros recursos do Microsoft Sentinel	Gerir incidentes como dispensar e atribuir	Exibir incidentes de dados, pastas de trabalho e outros recursos do Microsoft Sentinel
Leitor do Microsoft Sentinel	No	No	No	Sim
Respondedor do Microsoft Sentinel	No	No	Sim	Sim
Contribuidor do Microsoft Sentinel	Não	Sim	Sim	Sim
Colaborador do Microsoft Sentinel e Colaborador do Aplicativo Lógico	Sim	Sim	Sim	Sim

Funções personalizadas e RBAC do Azure avançadas