Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как Microsoft Sentinel назначает разрешения для ролей пользователей как для Microsoft Sentinel SIEM, так и для озера данных Microsoft Sentinel, определяя допустимые действия для каждой роли.
Microsoft Sentinel использует управление доступом на основе ролей Azure (Azure RBAC) для предоставления встроенных и настраиваемых ролей для Microsoft Sentinel SIEM и управления доступом на основе ролей Microsoft Entra ID (Microsoft Entra ID RBAC) для предоставления встроенных и настраиваемых ролей для озера данных Microsoft Sentinel.
Роли можно назначать пользователям, группам и службам в Azure или в идентификаторе Microsoft Entra.
Important
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Important
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Встроенные роли Azure для Microsoft Sentinel
Следующие встроенные роли Azure используются для SIEM Microsoft Sentinel и предоставляют доступ на чтение к данным рабочей области, включая поддержку озера данных Microsoft Sentinel. Назначьте эти роли на уровне группы ресурсов для получения наилучших результатов.
| Role | Поддержка SIEM | Поддержка озера данных |
|---|---|---|
| Просмотрщик Microsoft Sentinel | Просмотр данных, инцидентов, книг, рекомендаций и других ресурсов | Доступ к расширенной аналитике и выполнение интерактивных запросов возможно только в рабочих областях. |
| Microsoft Sentinel Responder | Все права читателя, а также управление инцидентами | N/A |
| Автор Microsoft Sentinel | Все разрешения для Responders, а также: установка и обновление решений, создание и редактирование ресурсов | Доступ к расширенной аналитике и выполнение интерактивных запросов возможно только в рабочих областях. |
| Оператор плейбуков Microsoft Sentinel | Перечисление, просмотр и ручное выполнение сборников схем | N/A |
| Участник службы автоматизации Microsoft Sentinel | Позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Не используется для учетных записей пользователей. | N/A |
Например, в следующей таблице показаны примеры задач, которые каждая роль может выполнять в Microsoft Sentinel:
| Role | Запуск плейбуков | Создание и редактирование плейбуков | Создание/изменение правил аналитики, рабочих книг и т. д. | Управление инцидентами | Просмотр данных, инцидентов, рабочих книг, рекомендаций | Управление концентратором содержимого |
|---|---|---|---|---|---|---|
| Просмотрщик Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Автор Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Оператор плейбуков Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Участник приложения Logic | ✓ | ✓ | -- | -- | -- | -- |
С ролью участника рабочей книги.
Мы рекомендуем назначать роли в группе ресурсов, которая содержит рабочую область Microsoft Sentinel. Это гарантирует, что все связанные ресурсы, такие как Logic Apps и плейбуки, охватываются одинаковыми назначениями ролей.
Другой вариант предусматривает назначение ролей непосредственно рабочей области Microsoft Sentinel. В этом случае необходимо назначить те же самые роли для ресурса решения SecurityInsights в соответствующей рабочей области. Также может потребоваться назначить их другим ресурсам и постоянно управлять назначениями ролей на ресурсах.
Дополнительные роли для определенных задач
Для выполнения задач пользователям с определенными требованиями к заданию может потребоваться назначить другие роли или определенные разрешения. Рассмотрим пример.
| Task | Обязательные роли и разрешения |
|---|---|
| Подключение источников данных | Разрешение на запись в рабочей области. Проверьте документы соединителя для получения дополнительных разрешений, необходимых для каждого соединителя. |
| Управление содержимым из концентратора содержимого | Участник Microsoft Sentinel на уровне группы ресурсов |
| Автоматизируйте ответы с помощью плейбуков |
Оператор плейбуков Microsoft Sentinel для запуска плейбуков и участник Logic App для создания и редактирования плейбуков. Для автоматического реагирования на угрозу Microsoft Sentinel использует сборники схем. Плейбуки создаются на базе Azure Logic Apps и являются отдельным ресурсом Azure. Вы можете предоставить конкретным сотрудникам вашей команды безопасности возможность использовать Logic Apps для оркестрации, автоматизации и реагирования на события безопасности (SOAR). |
| Разрешить Microsoft Sentinel запускать сборники схем с помощью автоматизации | Для учетной записи службы требуются явные разрешения для группы ресурсов плейбука; вашей учетной записи требуются разрешения владельца для назначения этих разрешений. Microsoft Sentinel использует специальную учетную запись службы для ручного запуска плейбуков, инициированных инцидентами, или их вызова из правил автоматизации. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы. Чтобы правило автоматизации могло выполнять сборник схем, этой учетной записи необходимо предоставить явные разрешения для группы ресурсов, в которой находится сборник схем. На этом этапе любое правило автоматизации может выполнить любой сборник схем в этой группе ресурсов. |
| Гостевые пользователи назначают инциденты |
Средство чтения каталогов И Респондер Microsoft Sentinel Роль читателя каталогов не является ролью Azure, а ролью Microsoft Entra ID, и обычные (не гостевые) пользователи имеют эту роль по умолчанию. |
| Создание и удаление рабочих книг | Участник Microsoft Sentinel или меньшая роль Microsoft Sentinel И Участник Рабочей книги |
Другие роли Azure и Log Analytics
При назначении ролей Azure, относящихся к Microsoft Sentinel, вы можете столкнуться с другими ролями Azure и Log Analytics, которые могут быть назначены пользователям в других целях. Эти роли предоставляют более широкий набор разрешений, включая доступ к рабочей области Microsoft Sentinel и другим ресурсам:
- Роли Azure:владелец, участник, читатель — предоставляют широкий доступ к ресурсам Azure.
- Роли Log Analytics:Участник Log Analytics, Читатель Log Analytics — предоставляют доступ к рабочим областям Log Analytics.
Important
Назначения ролей являются накопительными. У пользователя с ролями читателя Microsoft Sentinel и участника может быть больше разрешений, чем это было предназначено.
Рекомендуемые назначения ролей для пользователей Microsoft Sentinel
| Тип пользователя | Role | Группа ресурсов | Description |
|---|---|---|---|
| Аналитики безопасности | Microsoft Sentinel Responder | Группа ресурсов Microsoft Sentinel | Просмотр и управление инцидентами, данными, рабочими книгами |
| Оператор плейбуков Microsoft Sentinel | Группа ресурсов Microsoft Sentinel/playbook | Запуск и подключение плейбуков | |
| Инженеры по безопасности | Участник Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Управление инцидентами, содержимым, ресурсами |
| Контрибьютор приложения Logic | Группа ресурсов Microsoft Sentinel/playbook | Запуск/изменение плейбуков | |
| Сервисный принципал | Участник Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Автоматизированные задачи управления |
Роли и разрешения для озера данных Microsoft Sentinel
Чтобы использовать озеро данных Microsoft Sentinel, рабочая область должна быть подключена к порталу Defender и озеру данных Microsoft Sentinel.
Разрешения на чтение озера данных Microsoft Sentinel
Роли Microsoft Entra ID предоставляют широкий доступ ко всему содержимому хранилища данных. Используйте следующие роли, чтобы предоставить доступ на чтение ко всем рабочим областям в озере данных Microsoft Sentinel, например для выполнения запросов.
| Тип разрешения | Поддерживаемые роли |
|---|---|
| Доступ на чтение во всех рабочих областях | Используйте любую из следующих ролей идентификатора Microsoft Entra ID: - Глобальный читатель - Сканер безопасности - Оператор безопасности - Администратор безопасности - Глобальный администратор |
Кроме того, может потребоваться назначить возможность чтения таблиц из определенной рабочей области. В таких случаях используйте один из следующих вариантов:
| Tasks | Permissions |
|---|---|
| Разрешения на чтение системных таблиц | Используйте пользовательскую унифицированную роль RBAC в Microsoft Defender XDR с разрешениями на доступ к основным данным безопасности (чтение) для коллекции данных Microsoft Sentinel. |
| Разрешения на чтение в любой другой рабочей области, в которой в озере данных включен Microsoft Sentinel | Используйте одну из следующих встроенных ролей в Azure RBAC для разрешений в этой рабочей области: - Читатель Log Analytics - Участник Log Analytics - Участник Microsoft Sentinel - Средство чтения Microsoft Sentinel - Читатель - Сотрудник - Владелец |
Разрешения на запись озера данных Microsoft Sentinel
Роли Microsoft Entra ID предоставляют широкий доступ ко всем рабочим областям в озере данных. Используйте следующие роли, чтобы предоставить доступ на запись к таблицам озера данных Microsoft Sentinel:
| Тип разрешения | Поддерживаемые роли |
|---|---|
| Записывайте в таблицы на аналитическом уровне с помощью задач KQL или записных книжек | Используйте одну из следующих ролей идентификатора Microsoft Entra: - Оператор безопасности - Администратор безопасности - Глобальный администратор |
| Запись данных в таблицы в озере данных Microsoft Sentinel | Используйте одну из следующих ролей идентификатора Microsoft Entra: - Оператор безопасности - Администратор безопасности - Глобальный администратор |
Кроме того, может потребоваться назначить возможность записи выходных данных в определенную рабочую область. Это может включать возможность настраивать соединители для этой рабочей области, изменять параметры хранения для таблиц в рабочей области или создавать, обновлять и удалять пользовательские таблицы в этой рабочей области. В таких случаях используйте один из следующих вариантов:
| Tasks | Permissions |
|---|---|
| Обновление системных таблиц в хранилище данных | Используйте настраиваемую роль RBAC в Microsoft Defender XDR с разрешениями на сбор данных Microsoft Sentinel (управление). |
| Для любой другой рабочей области Microsoft Sentinel в Data Lake | Используйте любую встроенную или настраиваемую роль, которая включает следующие разрешения Microsoft RBAC для операционной аналитики в этой рабочей области: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Например, встроенные роли, включающие эти разрешения Log Analytics Contributor, Owner и Contributor. |
Управление заданиями в озере данных Microsoft Sentinel
Чтобы создать запланированные задания или управлять заданиями в озере данных Microsoft Sentinel, необходимо иметь одну из следующих ролей идентификатора Microsoft Entra ID:
Пользовательские роли и расширенные модели контроля доступа на основе ролей (RBAC)
Чтобы ограничить доступ к определённым данным, но не ко всей рабочей области, используйте RBAC на уровне контекста ресурса или RBAC на уровне таблицы. Это полезно для команд, требующих доступа только к определенным типам данных или таблицам.
В противном случае используйте один из следующих параметров для расширенного RBAC:
- Для доступа к SIEM Microsoft Sentinel используйте пользовательские роли Azure.
- Для озера данных Microsoft Sentinel используйте единые пользовательские роли RBAC в Defender XDR.
Связанный контент
Дополнительные сведения см. в статье "Управление данными журнала и рабочими областями" в Azure Monitor