Popis oprávnění a rolí služby Microsoft Sentinel
Pokud chcete nasadit prostředí pro testování konceptu, musíte porozumět oprávněním a rolím nezbytným pro úspěšné nasazení.
Přehled oprávnění v Microsoft Sentinelu
Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který spravuje přístup k prostředkům Azure. Je založená na Azure Resource Manageru, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.
Pomocí Azure RBAC můžete vytvářet a přiřazovat role v týmu SecOps. Azure RBAC umožňuje udělit odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují konkrétní kontrolu nad tím, k jakým uživatelům Služby Microsoft Sentinel mají přístup a co můžou dělat.
Role Azure RBAC můžete přiřadit:
- Přímo v pracovním prostoru Microsoft Sentinelu
- V předplatném
- Do skupiny prostředků, do které pracovní prostor patří, který Microsoft Sentinel dědí
Role specifické pro Microsoft Sentinel
Toto jsou vyhrazené předdefinované role Microsoft Sentinelu:
- Čtenář: Tato role může kontrolovat data, incidenty, sešity a další prostředky Microsoft Sentinelu.
- Respondér: Tato role má všechna oprávnění role Čtenář. Navíc může spravovat incidenty tím, že je přiřadíte nebo zavřete.
- Přispěvatel: Tato role má všechna oprávnění rolí Čtenář a Respondér. Může také vytvářet a upravovat sešity, analytická pravidla a další prostředky Microsoft Sentinelu. Pokud chcete nasadit Microsoft Sentinel ve vašem tenantovi, potřebujete oprávnění přispěvatele pro předplatné, ve kterém je nasazený pracovní prostor Microsoft Sentinelu.
- Operátor playbooku: Tato role může zobrazit, zobrazit a ručně spouštět playbooky.
- Přispěvatel automatizace: Tato role umožňuje Službě Microsoft Sentinel přidávat playbooky do pravidel automatizace. Není určená pro uživatelské účty.
Všechny předdefinované role Microsoft Sentinelu uděluje přístup pro čtení k datům v pracovním prostoru Microsoft Sentinelu. Nejlepších výsledků dosáhnete, když tyto role přiřadíte skupině prostředků, která obsahuje pracovní prostor Služby Microsoft Sentinel. Tyto role se pak vztahují na všechny prostředky, které se nasazují pro podporu služby Microsoft Sentinel, pokud jsou tyto prostředky ve stejné skupině prostředků.
Role Azure a role Log Analytics služby Azure Monitor
Kromě rolí Azure RBAC vyhrazených službou Microsoft Sentinel můžou další role Azure A Log Analytics Azure RBAC udělit širší sadu oprávnění. Mezi tyto role patří přístup k pracovnímu prostoru Microsoft Sentinelu a dalším prostředkům.
Role Azure uděluje přístup napříč všemi vašimi prostředky Azure. Patří mezi ně pracovní prostory Log Analytics a prostředky Microsoft Sentinelu:
- Vlastník
- Přispěvatel
- Čtenář
- Přispěvatel specifikací šablony
Role Log Analytics udělují přístup napříč všemi vašimi pracovními prostory služby Log Analytics:
- Přispěvatel Log Analytics
- Čtenář Log Analytics
Například uživatel, který je přiřazený k rolím Čtenář Microsoft Sentinelu a Přispěvatel Azure (nikoli Přispěvatel Microsoft Sentinelu), může upravovat data v Microsoft Sentinelu. Pokud chcete udělit oprávnění jenom službě Microsoft Sentinel, měli byste pečlivě odebrat předchozí oprávnění uživatele. Ujistěte se, že nezalomíte žádnou potřebnou roli oprávnění pro jiný prostředek.
Role Microsoft Sentinelu a povolené akce
Následující tabulka shrnuje role a povolené akce v Microsoft Sentinelu.
Role | Zobrazení a spouštění playbooků | Vytváření a úpravy playbooků | Vytváření a úpravy analytických pravidel, sešitů a dalších prostředků Microsoft Sentinelu | Správa incidentů, jako je zavření a přiřazení | Zobrazení datových incidentů, sešitů a dalších prostředků Microsoft Sentinelu | Instalace a správa obsahu z centra obsahu |
---|---|---|---|---|---|---|
Čtenář služby Microsoft Sentinel | Číslo | No | No | No | Ano | Ne |
Respondér služby Microsoft Sentinel | Číslo | No | No | Ano | Ano | Ne |
Přispěvatel služby Microsoft Sentinel | Číslo | No | Ano | Ano | Ano | Ne |
Operátor playbooku Microsoft Sentinel | Ano | No | No | No | No | Číslo |
Přispěvatel aplikace logiky | Ano | Ano | No | No | No | Číslo |
Přispěvatel specifikací šablony | Číslo | No | No | No | No | Ano |
Vlastní role a pokročilé role Azure RBAC
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role pro obory skupin pro správu, předplatného a skupiny prostředků.
Tip
Aplikace a služby používají identitu zabezpečení pro přístup ke konkrétním prostředkům Azure. Představte si ji jako identitu uživatele (uživatelské jméno a heslo nebo certifikát) pro aplikaci. Obor je sada prostředků, na které se vztahuje přístup.
Předplatná, která důvěřují stejnému adresáři Microsoft Entra, můžou sdílet vlastní role mezi nimi. Pro každý adresář platí limit 5 000 vlastních rolí. Vlastní role je možné vytvořit pomocí webu Azure Portal, Azure PowerShellu, Azure CLI nebo rozhraní REST API.
Poznámka
Pro Azure Germany a Azure China 21Vianet platí limit 2 000 vlastních rolí.
V této lekci jste se dozvěděli o předdefinovaných rolích pro uživatele Microsoft Sentinelu a o tom, co jednotlivé role umožňují uživatelům. Jakmile porozumíte rolím a oprávněním a tomu, jak se mapují na vaši organizaci, můžete s jistotou povolit Microsoft Sentinel.