Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья объясняет, как Microsoft Sentinel назначает разрешения пользователям и определяет разрешенные действия для каждой роли. Microsoft Sentinel использует управление доступом на основе ролей (Azure RBAC) для предоставления встроенных ролей, которые можно назначать пользователям, группам и службам в Azure. Эта статья является частью руководства по развертыванию Microsoft Sentinel.
С помощью Azure RBAC вы можете создавать и назначать роли в группе операций безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли позволяют точно контролировать, к чему пользователи Microsoft Sentinel имеют доступ и что они могут делать. Роли Azure можно назначать непосредственно в рабочей области Microsoft Sentinel или в подписке или группе ресурсов, к которой принадлежит рабочая область, к которой наследует Microsoft Sentinel.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительного просмотра Microsoft Sentinel доступен на портале Defender без Microsoft Defender XDR или лицензии E5. Для получения дополнительной информации см. Microsoft Sentinel на портале Microsoft Defender.
Роли и разрешения для работы в Microsoft Sentinel
Предоставьте соответствующий доступ к данным в рабочей области с помощью встроенных ролей. В зависимости от задач задания пользователя может потребоваться предоставить дополнительные роли или определенные разрешения.
Роли, относящиеся к Microsoft Sentinel
Все встроенные роли Microsoft Sentinel предоставляют доступ на чтение данных в рабочей области Microsoft Sentinel.
Роль читателя Microsoft Sentinel дает возможность просматривать данные, инциденты, рабочие книги и другие ресурсы Microsoft Sentinel.
Microsoft Sentinel Responder может в дополнение к разрешениям microsoft Sentinel Reader, управлять инцидентами, такими как назначение, увольнение и изменение инцидентов.
Участник Microsoft Sentinel может, помимо разрешений Microsoft Sentinel Responder, устанавливать и обновлять решения из концентратора содержимого, а также создавать и изменять ресурсы Microsoft Sentinel, такие как рабочие книги, правила аналитики и многое другое.
Оператор плейбуков Microsoft Sentinel может перечислять, просматривать и вручную запускать плейбуки.
Роль участника автоматизации Microsoft Sentinel позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Она не предназначена для учетных записей пользователей.
Для достижения наилучших результатов роли необходимо назначать группе ресурсов, которая содержит рабочую область Microsoft Sentinel. В результате роли применяются ко всем ресурсам, поддерживающим Microsoft Sentinel, так как эти ресурсы также должны размещаться в той же группе ресурсов.
Другой вариант предусматривает назначение ролей непосредственно рабочей области Microsoft Sentinel. В этом случае необходимо назначить те же самые роли для ресурса решения SecurityInsights в соответствующей рабочей области. Также может потребоваться назначить их другим ресурсам и постоянно управлять назначениями ролей на ресурсах.
Другие роли и разрешения
Для выполнения задач пользователям с определенными требованиями к заданию может потребоваться назначить другие роли или определенные разрешения.
Подключение источников данных к Microsoft Sentinel
Чтобы пользователь мог добавлять соединители данных, ему необходимо назначить разрешения на запись в рабочей области Microsoft Sentinel. Обратите внимание на необходимые дополнительные разрешения для каждого соединителя, как указано на соответствующей странице соединителя.
Установка и управление готовым содержимым
Найдите упакованные решения для комплексных продуктов или автономного содержимого из концентратора содержимого в Microsoft Sentinel. Чтобы установить и управлять содержимым из концентратора, необходимо назначить роль Microsoft Sentinel Contributor на уровне группы ресурсов.
Автоматизация ответов на угрозы с помощью сборников схем
Для автоматического реагирования на угрозу Microsoft Sentinel использует сборники схем. Плейбуки создаются на базе Azure Logic Apps и являются отдельным ресурсом Azure. Вы можете предоставить конкретным сотрудникам вашей команды безопасности возможность использовать Logic Apps для оркестрации, автоматизации и реагирования на события безопасности (SOAR). Вы можете использовать роль Microsoft Sentinel Playbook Operator для назначения явного, ограниченного разрешения на запуск плейбуков, и роль Logic App Contributor для создания и редактирования плейбуков.
Дайте Microsoft Sentinel разрешения для запуска плейбуков
Microsoft Sentinel использует специальную учетную запись службы для ручного запуска плейбуков, инициированных инцидентами, или их вызова из правил автоматизации. Использование этой учетной записи (в отличие от учетной записи пользователя) повышает уровень безопасности службы.
Чтобы правило автоматизации могло выполнять сборник схем, этой учетной записи необходимо предоставить явные разрешения для группы ресурсов, в которой находится сборник схем. На этом этапе любое правило автоматизации может выполнить любой сборник схем в этой группе ресурсов. Чтобы предоставить такие разрешения этой учетной записи службы, у вашей учетной записи должны быть разрешения владельца для групп ресурсов, содержащих плейбуки.
Разрешить гостевым пользователям назначать инциденты
Если гостевой пользователь должен иметь возможность назначать инциденты, необходимо назначить роль читателя каталогов пользователю в дополнение к роли Microsoft Sentinel Responder. Роль "Читателя каталогов" не является ролью Azure, это роль Microsoft Entra, и она назначается обычным (негостевым) пользователям по умолчанию.
Создание и удаление рабочих книг
Чтобы создать и удалить книгу Microsoft Sentinel, пользователю требуется роль Участника Microsoft Sentinel или менее привилегированная роль в Microsoft Sentinel вместе с ролью Участника книги Azure Monitor. Эта роль не является обязательной для использования книг, но необходима для их создания и удаления.
Роли, которые могут быть назначены в Azure и Log Analytics
При назначении ролей Azure, относящихся к Microsoft Sentinel, вы можете столкнуться с другими ролями Azure и Log Analytics, которые могут быть назначены пользователям в других целях. Эти роли предоставляют более широкий набор разрешений, включая доступ к рабочей области Microsoft Sentinel и другим ресурсам:
Роли Azure могут быть следующими: владелец, участник и читатель. Роли Azure обеспечивают доступ ко всем ресурсам Azure, включая рабочие области Log Analytics и ресурсы Microsoft Sentinel.
Роли Log Analytics могут быть следующими:участник Log Analytics и читатель Log Analytics. Роли Log Analytics предоставляют доступ к рабочим областям Log Analytics.
Например, пользователь, которому назначена роль читателя Microsoft Sentinel, но не участника Microsoft Sentinel, может изменять элементы в Microsoft Sentinel, если также обладает ролью участника на уровне Azure. Таким образом, если вы хотите предоставить разрешения пользователю только в Microsoft Sentinel, тщательно удалите предыдущие разрешения этого пользователя, убедившись, что вы не прерываете доступ к другому ресурсу.
Роли Microsoft Sentinel, разрешения и разрешенные действия
В этой таблице перечислены роли и связанные с ними разрешенные действия в Microsoft Sentinel.
| Роль | Просмотр и запуск плейбуков | Создание и изменение сценариев | Создание и изменение правил аналитики, книг и других ресурсов Microsoft Sentinel | Управление инцидентами (отклонение, назначение и т. д.) | Просмотр данных, инцидентов, рабочих тетрадей и других ресурсов Microsoft Sentinel | Установка содержимого из концентратора содержимого и управление ими |
|---|---|---|---|---|---|---|
| Читатель Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Респондент Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Участник Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Оператор плейбуков Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Создатель приложений логики | ✓ | ✓ | -- | -- | -- | -- |
* Пользователи с этими ролями могут создавать и удалять книги при наличии роли Участник рабочего журнала. См. раздел Другие роли и разрешения.
Ознакомьтесь с рекомендациями по использованию ролей, чтобы узнать, какие роли назначать тем или иным пользователям в SOC.
Пользовательские роли и расширенные роли Azure RBAC
Настраиваемые роли. В дополнение к встроенным ролям Azure (или вместо них) вы можете создать настраиваемые роли Azure для Microsoft Sentinel. Настраиваемые роли Azure для Microsoft Sentinel создаются так же, как и другие настраиваемые роли Azure, на основе особых разрешений в Microsoft Sentinel и ресурсах Azure Log Analytics.
RBAC для Log Analytics. Вы можете использовать распределенное управление доступом на основе ролей Azure в Log Analytics для работы с данными в рабочей области Microsoft Sentinel. Сюда входят как Azure RBAC на основе типов данных, так и Azure RBAC на основе ресурсов. Чтобы узнать больше
- Управление данными журналов и рабочими областями в Azure Monitor
- Ресурсно-контекстный RBAC для Microsoft Sentinel
- RBAC уровня таблицы
Управление доступом на основе ролей в контексте ресурсов и на уровне таблиц — это два способа предоставления доступа к определенным данным в рабочей области Microsoft Sentinel без доступ ко всей среде Microsoft Sentinel.
Рекомендации, касающиеся ролей и разрешений
Чтобы понять, как работают роли и разрешения в Microsoft Sentinel, вы можете воспользоваться следующими рекомендациями по применению ролей к пользователям:
| Тип пользователя | Роль | Группа ресурсов | Описание |
|---|---|---|---|
| Аналитики безопасности | Microsoft Sentinel Responder | Группа ресурсов Microsoft Sentinel | Просматривайте данные, инциденты, рабочие книги и другие ресурсы Microsoft Sentinel. Управление инцидентами, в том числе назначение или отклонение инцидентов. |
| Оператор плейбуков Microsoft Sentinel | Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши плейбуки | Подключите сборники схем к правилам аналитики и автоматизации. Запустите плейбуки. |
|
| Инженеры по безопасности | Участник Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Просмотр данных, инцидентов, рабочих книг и других ресурсов Microsoft Sentinel. Управление инцидентами, в том числе назначение или отклонение инцидентов. Создание и изменение книг, правил аналитики и других ресурсов Microsoft Sentinel. Установка и обновление решений из концентратора содержимого. |
| Участник Logic Apps | Группа ресурсов Microsoft Sentinel или группа ресурсов, в которой хранятся ваши плейбуки | Подключите сборники схем к правилам аналитики и автоматизации. Запускайте и изменяйте плейбуки. |
|
| Субъект-служба | Вкладчик Microsoft Sentinel | Группа ресурсов Microsoft Sentinel | Автоматическая настройка задач управления |
Дополнительные роли могут потребоваться в зависимости от данных, которые вы принимаете или отслеживаете. Например, могут понадобиться роли Microsoft Entra, такие как роль администратора безопасности, для управления несколькими рабочими областями или для настройки соединителей данных для служб на других порталах Microsoft.
Управление доступом на основе ресурсов
У вас могут быть некоторые пользователи, которым требуется доступ только к определенным данным в рабочей области Microsoft Sentinel, но не должны иметь доступ ко всей среде Microsoft Sentinel. Например, может потребоваться предоставить команде, не связанной с операциями безопасности, доступ к данным событий Windows для серверов, которые им принадлежат.
В таких случаях рекомендуется настроить управление доступом на основе ролей (RBAC), указав разрешенные для пользователей ресурсы, а не предоставлять им полный доступ к рабочей области Microsoft Sentinel или функциям Microsoft Sentinel. Этот метод также известен как организация RBAC в контексте ресурсов. Дополнительные сведения см. в статье Управление доступом к данным Microsoft Sentinel по ресурсам.
Следующие шаги
Из этой статьи вы узнали о работе с ролями для пользователей Microsoft Sentinel и о том, что каждая из них разрешает делать пользователям.