Roller och behörigheter i Microsoft Sentinel
Den här artikeln beskriver hur Microsoft Sentinel tilldelar behörigheter till användarroller och identifierar de tillåtna åtgärderna för varje roll. Microsoft Sentinel använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tillhandahålla inbyggda roller som kan tilldelas till användare, grupper och tjänster i Azure. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Använd Azure RBAC för att skapa och tilldela roller i ditt säkerhetsåtgärdsteam för att bevilja lämplig åtkomst till Microsoft Sentinel. De olika rollerna ger dig detaljerad kontroll över vad Microsoft Sentinel-användare kan se och göra. Azure-roller kan tilldelas direkt på Microsoft Sentinel-arbetsytan, eller i en prenumeration eller resursgrupp som arbetsytan tillhör, som Microsoft Sentinel ärver.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Roller och behörigheter för att arbeta i Microsoft Sentinel
Bevilja lämplig åtkomst till data på din arbetsyta med hjälp av inbyggda roller. Du kan behöva bevilja fler roller eller specifika behörigheter beroende på en användares jobbuppgifter.
Microsoft Sentinel-specifika roller
Alla inbyggda Microsoft Sentinel-roller ger läsåtkomst till data på din Microsoft Sentinel-arbetsyta.
Microsoft Sentinel-rollen Läsare kan visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser.
Microsoft Sentinel Responder kan utöver behörigheterna för Microsoft Sentinel Reader hantera incidenter som tilldela, avvisa och ändra incidenter.
Microsoft Sentinel-deltagare kan, förutom behörigheterna för Microsoft Sentinel Responder, installera och uppdatera lösningar från innehållshubben och skapa och redigera Microsoft Sentinel-resurser som arbetsböcker, analysregler med mera.
Microsoft Sentinel Playbook Operator kan visa, visa och köra spelböcker manuellt.
Microsoft Sentinel Automation-deltagare gör att Microsoft Sentinel kan lägga till spelböcker i automatiseringsregler. Det är inte avsett för användarkonton.
För bästa resultat kan du tilldela dessa roller till den resursgrupp som innehåller Microsoft Sentinel-arbetsytan. På så sätt gäller rollerna för alla resurser som stöder Microsoft Sentinel, eftersom dessa resurser också ska placeras i samma resursgrupp.
Som ett annat alternativ tilldelar du rollerna direkt till själva Microsoft Sentinel-arbetsytan. Om du gör det måste du tilldela samma roller till SecurityInsights-lösningsresursen på den arbetsytan. Du kan också behöva tilldela dem till andra resurser och kontinuerligt hantera rolltilldelningar till resurserna.
Andra roller och behörigheter
Användare med särskilda jobbkrav kan behöva tilldelas andra roller eller specifika behörigheter för att kunna utföra sina uppgifter.
Installera och hantera out-of-the-box-innehåll
Hitta paketerade lösningar för produkter från slutpunkt till slutpunkt eller fristående innehåll från innehållshubben i Microsoft Sentinel. Om du vill installera och hantera innehåll från innehållshubben tilldelar du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
Automatisera svar på hot med spelböcker
Microsoft Sentinel använder spelböcker för automatiserat hotsvar. Spelböcker bygger på Azure Logic Apps och är en separat Azure-resurs. För specifika medlemmar i ditt säkerhetsteam kanske du vill tilldela möjligheten att använda Logic Apps för åtgärder för säkerhetsorkestrering, automatisering och svar (SOAR). Du kan använda rollen Microsoft Sentinel-spelboksoperatör för att tilldela explicit, begränsad behörighet för att köra spelböcker och rollen Logic App-deltagare för att skapa och redigera spelböcker.
Ge Microsoft Sentinel behörighet att köra spelböcker
Microsoft Sentinel använder ett särskilt tjänstkonto för att köra spelböcker för incidentutlösare manuellt eller för att anropa dem från automatiseringsregler. Användningen av det här kontot (i motsats till ditt användarkonto) ökar säkerhetsnivån för tjänsten.
För att en automatiseringsregel ska kunna köra en spelbok måste det här kontot beviljas explicita behörigheter till resursgruppen där spelboken finns. Då kan alla automatiseringsregler köra valfri spelbok i resursgruppen. Om du vill bevilja dessa behörigheter till det här tjänstkontot måste ditt konto ha ägarbehörighet till de resursgrupper som innehåller spelböckerna.
Ansluta datakällor till Microsoft Sentinel
För att en användare ska kunna lägga till dataanslutningsprogram måste du tilldela användaren skrivbehörigheter på Microsoft Sentinel-arbetsytan. Observera de extra behörigheter som krävs för varje anslutningsapp, enligt listan på den relevanta anslutningssidan.
Tillåt gästanvändare att tilldela incidenter
Om en gästanvändare behöver kunna tilldela incidenter måste du tilldela rollen Katalogläsare till användaren, förutom rollen Som Microsoft Sentinel-svarare. Katalogläsarrollen är inte en Azure-roll utan en Microsoft Entra-roll, och vanliga (icke-användare) har den här rollen tilldelad som standard.
Skapa och ta bort arbetsböcker
För att skapa och ta bort en Microsoft Sentinel-arbetsbok behöver användaren antingen rollen Microsoft Sentinel-deltagare eller en mindre Microsoft Sentinel-roll, tillsammans med rollen Arbetsboksdeltagare i Azure Monitor. Den här rollen är inte nödvändig för att använda arbetsböcker, bara för att skapa och ta bort.
Azure- och Log Analytics-roller som du kan se tilldelade
När du tilldelar Microsoft Sentinel-specifika Azure-roller kan du stöta på andra Azure- och Log Analytics-roller som kan tilldelas till användare i andra syften. Dessa roller ger en bredare uppsättning behörigheter som omfattar åtkomst till din Microsoft Sentinel-arbetsyta och andra resurser:
Azure-roller: Ägare, Deltagare och Läsare. Azure-roller beviljar åtkomst över alla dina Azure-resurser, inklusive Log Analytics-arbetsytor och Microsoft Sentinel-resurser.
Log Analytics-roller: Log Analytics-deltagare och Log Analytics-läsare. Log Analytics-roller beviljar åtkomst till alla dina Log Analytics-arbetsytor.
En användare som har tilldelats rollen Microsoft Sentinel-läsare, men inte rollen Microsoft Sentinel-deltagare, kan till exempel fortfarande redigera objekt i Microsoft Sentinel, om användaren också tilldelas rollen Deltagare på Azure-nivå. Om du endast vill bevilja behörigheter till en användare i Microsoft Sentinel bör du därför noggrant ta bort användarens tidigare behörigheter och se till att du inte bryter någon nödvändig åtkomst till en annan resurs.
Microsoft Sentinel-roller, behörigheter och tillåtna åtgärder
Den här tabellen sammanfattar Microsoft Sentinel-rollerna och deras tillåtna åtgärder i Microsoft Sentinel.
| Roll | Visa och köra spelböcker | Skapa och redigera spelböcker | Skapa och redigera analysregler, arbetsböcker och andra Microsoft Sentinel-resurser | Hantera incidenter (avvisa, tilldela osv.) | Visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser | Installera och hantera innehåll från innehållshubben |
|---|---|---|---|---|---|---|
| Microsoft Sentinel-läsare | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel-svarare | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel-deltagare | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel-spelboksoperator | ✓ | -- | -- | -- | -- | -- |
| Logic App-deltagare | ✓ | ✓ | -- | -- | -- | -- |
* Användare med dessa roller kan skapa och ta bort arbetsböcker med rollen Arbetsboksdeltagare . Läs mer om Andra roller och behörigheter.
Granska rollrekommendationerna för vilka roller som ska tilldelas till vilka användare i din SOC.
Anpassade roller och avancerad Azure RBAC
Anpassade roller. Förutom eller i stället för att använda inbyggda Azure-roller kan du skapa anpassade Azure-roller för Microsoft Sentinel. Du skapar anpassade Azure-roller för Microsoft Sentinel på samma sätt som anpassade Azure-roller, baserat på specifika behörigheter för Microsoft Sentinel och Till Azure Log Analytics-resurser.
Log Analytics RBAC. Du kan använda Log Analytics avancerade Azure RBAC för data på din Microsoft Sentinel-arbetsyta. Detta omfattar både datatypsbaserad Azure RBAC och resurskontext för Azure RBAC. Mer information:
- Hantera loggdata och arbetsytor i Azure Monitor
- Resurskontext-RBAC för Microsoft Sentinel
- RBAC på tabellnivå
RBAC på resurskontext och tabellnivå är två sätt att ge åtkomst till specifika data på din Microsoft Sentinel-arbetsyta, utan att ge åtkomst till hela Microsoft Sentinel-upplevelsen.
Rekommendationer för roll och behörigheter
När du har lärt dig hur roller och behörigheter fungerar i Microsoft Sentinel kan du granska dessa metodtips för att tillämpa roller på dina användare:
| Användartyp | Roll | Resursgrupp | beskrivning |
|---|---|---|---|
| Säkerhetsanalytiker | Microsoft Sentinel-svarare | Microsoft Sentinels resursgrupp | Visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser. Hantera incidenter, till exempel tilldela eller avvisa incidenter. |
| Microsoft Sentinel-spelboksoperator | Microsoft Sentinels resursgrupp eller resursgruppen där dina spelböcker lagras | Koppla spelböcker till analys- och automatiseringsregler. Kör spelböcker. |
|
| Säkerhetstekniker | Microsoft Sentinel-deltagare | Microsoft Sentinels resursgrupp | Visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser. Hantera incidenter, till exempel tilldela eller avvisa incidenter. Skapa och redigera arbetsböcker, analysregler och andra Microsoft Sentinel-resurser. Installera och uppdatera lösningar från innehållshubben. |
| Logic Apps-deltagare | Microsoft Sentinels resursgrupp eller resursgruppen där dina spelböcker lagras | Koppla spelböcker till analys- och automatiseringsregler. Kör och ändra spelböcker. |
|
| Tjänsthuvudnamn | Microsoft Sentinel-deltagare | Microsoft Sentinels resursgrupp | Automatiserad konfiguration för hanteringsuppgifter |
Fler roller kan krävas beroende på vilka data du matar in eller övervakar. Microsoft Entra-roller kan till exempel krävas, till exempel rollen Säkerhetsadministratör, för att konfigurera dataanslutningar för tjänster i andra Microsoft-portaler.
Resursbaserad åtkomstkontroll
Du kan ha vissa användare som bara behöver komma åt specifika data på din Microsoft Sentinel-arbetsyta, men som inte bör ha åtkomst till hela Microsoft Sentinel-miljön. Du kanske till exempel vill ge ett team utanför säkerhetsåtgärder åtkomst till Windows-händelsedata för de servrar som de äger.
I sådana fall rekommenderar vi att du konfigurerar din rollbaserade åtkomstkontroll (RBAC) baserat på de resurser som tillåts för dina användare, i stället för att ge dem åtkomst till Microsoft Sentinel-arbetsytan eller specifika Microsoft Sentinel-funktioner. Den här metoden kallas även för att konfigurera RBAC för resurskontext. Mer information finns i Hantera åtkomst till Microsoft Sentinel-data efter resurs.
Nästa steg
I den här artikeln har du lärt dig hur du arbetar med roller för Microsoft Sentinel-användare och vad varje roll gör det möjligt för användare att göra.