أذونات الوصول في Microsoft Sentinel
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
يستخدم Microsoft Sentinel التحكم في الوصول المستند إلى دور Azure (Azure RBAC) لتوفير أدوار مضمنة يمكن تعيينها للمستخدمين والمجموعات والخدمات في Azure.
استخدم Azure RBAC لإنشاء أدوار وتعيينها داخل فريق عمليات الأمان لديك لمنح حق الوصول المناسب إلى Microsoft Sentinel. تمنحك الأدوار المختلفة تحكما دقيقا في ما يمكن لمستخدمي Microsoft Sentinel رؤيته والقيام به. يمكن تعيين أدوار Azure في مساحة عمل Microsoft Sentinel مباشرة (انظر الملاحظة أدناه)، أو في اشتراك أو مجموعة موارد تنتمي إليها مساحة العمل، والتي سيرثها Microsoft Sentinel.
أدوار العمل في Microsoft Sentinel
أدوار Microsoft Sentinel المحددة
تمنح جميع الأدوار المضمنة في Microsoft Sentinel حق الوصول للقراءة إلى البيانات الموجودة في مساحة عمل Microsoft Sentinel.
يمكن ل Microsoft Sentinel Reader عرض البيانات والحوادث والمصنفات وموارد Microsoft Sentinel الأخرى.
يمكن ل Microsoft Sentinel Responder ، بالإضافة إلى ما سبق ، إدارة الحوادث (التعيين ، الرفض ، إلخ.)
يمكن لمساهم Microsoft Sentinel ، بالإضافة إلى ما سبق ، إنشاء المصنفات وقواعد التحليلات وموارد Microsoft Sentinel الأخرى وتحريرها.
يسمح Microsoft Sentinel Automation Contributor ل Microsoft Sentinel بإضافة كتب تشغيل إلى قواعد التشغيل التلقائي. وهي ليست مخصصة لحسابات المستخدمين.
ملاحظة
للحصول على أفضل النتائج، يجب تعيين هذه الأدوار في مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel. وبهذه الطريقة، سيتم تطبيق الأدوار على كافة الموارد التي يتم نشرها لدعم Microsoft Sentinel، حيث يجب أيضا وضع هذه الموارد في نفس مجموعة الموارد.
خيار آخر هو تعيين الأدوار مباشرة على مساحة عمل Microsoft Sentinel نفسها. إذا قمت بذلك، يجب عليك أيضا تعيين نفس الأدوار على مورد حل SecurityInsights في مساحة العمل هذه. قد تحتاج إلى تعيينها على موارد أخرى أيضا ، وستحتاج إلى إدارة تعيينات الأدوار باستمرار على الموارد.
أدوار وأذونات إضافية
قد يحتاج المستخدمون الذين لديهم متطلبات وظيفية معينة إلى تعيين أدوار إضافية أو أذونات محددة من أجل إنجاز مهامهم.
العمل مع قواعد اللعب لأتمتة الاستجابات للتهديدات
يستخدم Microsoft Sentinel كتب التشغيل للاستجابة التلقائية للتهديدات. تم إنشاء كتب التشغيل على تطبيقات Azure Logic ، وهي مورد Azure منفصل. قد ترغب في تعيين أعضاء محددين في فريق عمليات الأمان لديك القدرة على استخدام التطبيقات المنطقية لعمليات تنسيق الأمان والأتمتة والاستجابة (SOAR). يمكنك استخدام دور المساهم في تطبيق Logic لتعيين إذن صريح لاستخدام كتب التشغيل.
توصيل مصادر البيانات ب Microsoft Sentinel
لكي يتمكن المستخدم من إضافة موصلات بيانات، يجب تعيين أذونات كتابة المستخدم على مساحة عمل Microsoft Sentinel. لاحظ أيضا الأذونات الإضافية المطلوبة لكل موصل، كما هو موضح في صفحة الموصل ذات الصلة.
المستخدمون الضيوف الذين يقومون بتعيين الحوادث
إذا كان المستخدم الضيف بحاجة إلى أن يكون قادرا على تعيين الحوادث، فبالإضافة إلى دور Microsoft Sentinel Responder، سيحتاج المستخدم أيضا إلى تعيين دور قارئ الدليل. لاحظ أن هذا الدور ليس دور Azure ولكنه دور Azure Active Directory ، وأن المستخدمين العاديين (غير الضيوف) لديهم هذا الدور المعين بشكل افتراضي.
إنشاء مصنفات وحذفها
لإنشاء مصنف Microsoft Sentinel وحذفه، يتطلب المستخدم إما دور مساهم Microsoft Sentinel أو دور Microsoft Sentinel أقل بالإضافة إلى دور Azure Monitor الخاص بمساهم المصنف. هذا الدور ليس ضروريا لاستخدام المصنفات، ولكن فقط لإنشاء وحذف.
الأدوار الأخرى التي قد ترى تعيينها
عند تعيين أدوار Azure الخاصة ب Microsoft Sentinel، قد تصادف أدوار Azure و Log Analytics Azure الأخرى التي ربما تم تعيينها للمستخدمين لأغراض أخرى. يجب أن تدرك أن هذه الأدوار تمنح مجموعة أوسع من الأذونات التي تتضمن الوصول إلى مساحة عمل Microsoft Sentinel والموارد الأخرى:
أدوار Azure:المالكوالمساهموالقارئ. تمنح أدوار Azure حق الوصول عبر جميع موارد Azure الخاصة بك، بما في ذلك مساحات عمل Log Analytics وموارد Microsoft Sentinel.
أدوار Log Analytics:مساهم Log Analytics وقارئ Log Analytics. تمنح أدوار Log Analytics حق الوصول إلى مساحات عمل Log Analytics.
على سبيل المثال، سيظل المستخدم الذي تم تعيينه لدور Microsoft Sentinel Reader، ولكن ليس دور مساهم Microsoft Sentinel، قادرا على تحرير العناصر في Microsoft Sentinel إذا تم تعيين دور المساهم على مستوى Azure. لذلك، إذا كنت ترغب في منح أذونات لمستخدم فقط في Microsoft Sentinel، فيجب عليك إزالة الأذونات السابقة لهذا المستخدم بعناية، مع التأكد من عدم كسر أي وصول مطلوب إلى مورد آخر.
أدوار Microsoft Sentinel والإجراءات المسموح بها
يلخص الجدول التالي أدوار Microsoft Sentinel والإجراءات المسموح بها في Microsoft Sentinel.
| الدور | إنشاء أدلة المبادئ وتشغيلها | إنشاء قواعد التحليلات والمصنفات وموارد Microsoft Sentinel الأخرى وتحريرها | إدارة الحوادث (الفصل، التعيين، إلخ.) | عرض البيانات والحوادث والمصنفات وموارد Microsoft Sentinel الأخرى |
|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | --* | -- | ✓ |
| Microsoft Sentinel Responder | -- | --* | ✓ | ✓ |
| Microsoft Sentinel Contributor | -- | ✓ | ✓ | ✓ |
| مساهم Microsoft Sentinel + مساهم في تطبيق Logic | ✓ | ✓ | ✓ | ✓ |
* يمكن للمستخدمين الذين لديهم هذه الأدوار إنشاء مصنفات وحذفها باستخدام دور "مساهم المصنف" الإضافي . لمزيد من المعلومات، راجع الأدوار والأذونات الإضافية.
راجع قسم توصيات الدور للحصول على أفضل الممارسات التي يجب تعيين الأدوار التي يجب تعيين المستخدمين لها في SOC الخاص بك.
الأدوار المخصصة والمتقدمة في Azure RBAC
أدوار مخصصة. بالإضافة إلى استخدام أدوار Azure المضمنة أو بدلا منها، يمكنك إنشاء أدوار Azure مخصصة ل Microsoft Sentinel. يتم إنشاء أدوار Azure المخصصة ل Microsoft Sentinel بنفس الطريقة التي تنشئ بها أدوارا مخصصة أخرى في Azure، استنادا إلى أذونات محددة ل Microsoft Sentinelوموارد Azure Log Analytics.
سجل تحليلات RBAC. يمكنك استخدام عنصر تحكم الوصول المتقدم المستند إلى دور Azure في Log Analytics عبر البيانات في مساحة عمل Microsoft Sentinel. يتضمن ذلك كلا من Azure RBAC المستند إلى نوع البيانات وAzure RBAC لسياق الموارد. لمزيد من المعلومات، انظر:
يعد سياق الموارد وRBAC على مستوى الجدول طريقتين لتوفير الوصول إلى بيانات محددة في مساحة عمل Microsoft Sentinel دون السماح بالوصول إلى تجربة Microsoft Sentinel بأكملها.
توصيات الدور
بعد فهم كيفية عمل الأدوار والأذونات في Microsoft Sentinel، قد تحتاج إلى استخدام إرشادات أفضل الممارسات التالية لتطبيق الأدوار على المستخدمين:
| نوع المستخدم | الدور | مجموعة الموارد | الوصف |
|---|---|---|---|
| محللو الأمن | Microsoft Sentinel Responder | مجموعة موارد Microsoft Sentinel | عرض البيانات والحوادث والمصنفات وموارد Microsoft Sentinel الأخرى. إدارة الحوادث، مثل تعيين الحوادث أو رفضها. |
| مساهم التطبيقات المنطقية | مجموعة موارد Microsoft Sentinel أو مجموعة الموارد التي يتم تخزين دفاتر التشغيل الخاصة بك فيها | يمكنك إرفاق كتب التشغيل بقواعد التحليلات والأتمتة وتشغيل كتب التشغيل. ملاحظة: يسمح هذا الدور أيضا للمستخدمين بتعديل كتب التشغيل. |
|
| مهندسو الأمن | Microsoft Sentinel Contributor | مجموعة موارد Microsoft Sentinel | عرض البيانات والحوادث والمصنفات وموارد Microsoft Sentinel الأخرى. إدارة الحوادث، مثل تعيين الحوادث أو رفضها. إنشاء المصنفات وقواعد التحليلات وموارد Microsoft Sentinel الأخرى وتحريرها. |
| مساهم التطبيقات المنطقية | مجموعة موارد Microsoft Sentinel أو مجموعة الموارد التي يتم تخزين دفاتر التشغيل الخاصة بك فيها | يمكنك إرفاق كتب التشغيل بقواعد التحليلات والأتمتة وتشغيل كتب التشغيل. ملاحظة: يسمح هذا الدور أيضا للمستخدمين بتعديل كتب التشغيل. |
|
| كيان الخدمة | Microsoft Sentinel Contributor | مجموعة موارد Microsoft Sentinel | التكوين التلقائي لمهام الإدارة |
تلميح
قد تكون هناك حاجة إلى أدوار إضافية اعتمادا على البيانات التي تستوعبها أو تراقبها. على سبيل المثال، قد تكون هناك حاجة إلى أدوار Azure AD، مثل أدوار المسؤول العمومي أو مسؤول الأمان، لإعداد موصلات البيانات للخدمات في مداخل Microsoft الأخرى.
الخطوات التالية
في هذا المستند، تعلمت كيفية العمل مع الأدوار لمستخدمي Microsoft Sentinel وما يمكن المستخدمين من القيام به كل دور.
ابحث عن مشاركات المدونة حول أمان Azure وتوافقه في مدونة Microsoft Sentinel.