Permisos en Microsoft Sentinel
Nota
Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.
Microsoft Sentinel usa control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure.
Utilice RBAC de Azure para crear y asignar roles dentro del equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control exhaustivo sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel (consulte la nota siguiente), o bien en una suscripción o un grupo de recursos al que pertenece el área de trabajo, y que Microsoft Sentinel heredará.
Roles para trabajar en Microsoft Sentinel
Roles específicos de Microsoft Sentinel
Todos los roles integrados de Microsoft Sentinel conceden acceso de lectura a los datos del área de trabajo de Microsoft Sentinel.
El rol Lector de Microsoft Sentinel puede ver datos, incidentes, libros y otros recursos de Microsoft Sentinel.
El rol Respondedor de Microsoft Sentinel puede, además de lo anterior, administrar incidentes (asignarlos, descartarlos, etc.).
El rol Colaborador de Microsoft Sentinel puede, además de lo anterior, crear y editar libros, reglas de análisis y otros recursos de Microsoft Sentinel.
Colaborador de automatización de Microsoft Sentinel permite que Microsoft Sentinel agregue cuadernos de estrategias a las reglas de automatización. No está diseñado para las cuentas de usuario.
Nota
Para obtener los mejores resultados, estos roles deben asignarse en el grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. De esta manera, los roles se aplicarán a todos los recursos implementados para dar soporte a Microsoft Sentinel, ya que esos recursos también deben colocarse en ese mismo grupo de recursos.
Otra opción consiste en asignar los roles directamente en la propia área de trabajo de Microsoft Sentinel. Si lo hace, también debe asignar los mismos roles en el recurso de la solución de SecurityInsights en esa área de trabajo. También puede que tenga que asignarlos en otros recursos, y deberá administrar constantemente las asignaciones de roles en los recursos.
Roles y permisos adicionales
Es posible que sea necesario asignar roles adicionales o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas.
Trabajar con cuadernos de estrategias para automatizar respuestas a amenazas
Microsoft Sentinel usa cuadernos de estrategias para una respuesta automatizada ante amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son recursos independientes de Azure. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la posibilidad de usar Logic Apps para las operaciones de orquestación de seguridad, automatización y respuesta (SOAR). Puede usar el rol de Colaborador de Logic App para asignar permisos explícitos para el uso de cuadernos de estrategias.
Conceda permisos a Sentinel para ejecutar cuadernos de estrategias
Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio.
Para que una regla de automatización ejecute un cuaderno de estrategias, se deben conceder a esta cuenta permisos explícitos para acceder al grupo de recursos en el que se encuentra el cuaderno. En ese momento, cualquier regla de automatización podrá ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. Para conceder estos permisos a esta cuenta de servicio, la cuenta debe tener permisos de propietario en los grupos de recursos que contienen los cuadernos de estrategias.
Conexión de orígenes de datos a Microsoft Sentinel
Para que un usuario pueda agregar conectores de datos, debe asignar permisos de escritura a ese usuario en el área de trabajo de Microsoft Sentinel. Además, tenga en cuenta los permisos adicionales necesarios para cada conector, tal como se muestra en la página del conector correspondiente.
Los usuarios invitados asignan incidentes
Si un usuario invitado necesita poder asignar incidentes, además del rol Respondedor de Microsoft Sentinel, deberá tener asignado el rol Lector de directorios. Tenga en cuenta que este no es un rol de Azure, sino de Azure Active Directory y que los usuarios normales (no invitados) tienen este rol asignado de forma predeterminada.
Creación y eliminación de libros
Para crear y eliminar un libro de Microsoft Sentinel, el usuario requiere el rol Colaborador de Microsoft Sentinel o un rol menor de Microsoft Sentinel más el rol Colaborador de libros de Azure Monitor. Este rol no es necesario para usar los libros, solo para crearlos y eliminarlos.
Otros roles que podría ver asignados
En la asignación de roles de Azure específicos de Microsoft Sentinel, puede encontrar otros roles de Azure y Log Analytics que se pueden haber asignado a los usuarios para otros fines. Debe tener en cuenta que estos roles conceden un conjunto más amplio de permisos que incluye el acceso al área de trabajo de Microsoft Sentinel y a otros recursos:
Roles de Azure:Propietario, Colaborador y Lector. Los roles de Azure conceden acceso a todos los recursos de Azure, incluidas las áreas de trabajo de Log Analytics y los recursos de Microsoft Sentinel.
Roles de Log Analytics:Colaborador de Log Analytics y Lector de Log Analytics. Los roles de Log Analytics conceden acceso a las áreas de trabajo de Log Analytics.
Por ejemplo, un usuario al que se haya asignado el rol de Lector de Microsoft Sentinel, pero no el rol de Colaborador de Microsoft Sentinel, todavía podrá editar elementos en Microsoft Sentinel si se le asigna el rol de Colaborador en el nivel de Azure. Por tanto, si desea conceder permisos para un usuario solo en Microsoft Sentinel, elimine con cuidado los permisos anteriores de este usuario, y asegúrese de que no interrumpe ningún acceso necesario a otro recurso.
Roles de Microsoft Sentinel y acciones permitidas
En la tabla siguiente se resumen los roles de Microsoft Sentinel y sus acciones permitidas en Microsoft Sentinel.
| Role | Creación y ejecución de cuadernos de estrategias | Creación y edición de reglas de análisis, libros y otros recursos de Microsoft Sentinel | Administración de incidentes (descarte, asignación, etc.) | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel |
|---|---|---|---|---|
| Lector de Microsoft Sentinel | -- | --* | -- | ✓ |
| Respondedor de Microsoft Sentinel | -- | --* | ✓ | ✓ |
| Colaborador de Microsoft Sentinel | -- | ✓ | ✓ | ✓ |
| Colaborador de Microsoft Sentinel y Colaborador de Logic Apps | ✓ | ✓ | ✓ | ✓ |
* Los usuarios con estos roles pueden crear y eliminar libros con el rol Colaborador de libros adicional. Para más información, vea Roles y permisos adicionales.
Consulte la sección Recomendaciones de roles para ver los procedimientos recomendados sobre qué roles asignar a qué usuarios en el centro de operaciones de seguridad.
Roles personalizados y Azure RBAC avanzado
Roles personalizados. Además de usar roles integrados de Azure (o en vez de ello), puede crear roles personalizados de Azure para Microsoft Sentinel. Los roles personalizados de Azure para Microsoft Sentinel se crean de la misma manera que otros roles personalizados de Azure, en función de permisos específicos para los recursos de Microsoft Sentinel y de Azure Log Analytics.
RBAC de Log Analytics. Puede usar el control de acceso basado en rol de Azure avanzado de Log Analytics en los datos del área de trabajo de Microsoft Sentinel. Incluye RBAC de Azure basado en el tipo de datos y RBAC de Azure de contexto de recursos. Para más información, consulte:
RBAC de contexto de recursos y de nivel de tabla son dos métodos de proporcionar acceso a datos específicos en el área de trabajo de Microsoft Sentinel sin permitir el acceso a toda la experiencia de Microsoft Sentinel.
Recomendaciones de roles
Después de comprender cómo funcionan los roles y permisos en Microsoft Sentinel, puede usar la siguiente guía de procedimientos recomendados para aplicar roles a los usuarios:
| Tipo de usuario | Rol | Grupo de recursos | Descripción |
|---|---|---|---|
| Analistas de seguridad | Respondedor de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel. Administración de incidentes, como los de asignación o descarte. |
| Colaborador de Logic Apps | Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias | Adjunte cuadernos de estrategias a reglas de análisis y automatización, y ejecute cuadernos de estrategias. Nota: Este rol también permite a los usuarios modificar cuadernos de estrategias. |
|
| Ingenieros de seguridad | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel. Administración de incidentes, como los de asignación o descarte. Creación y edición de libros, reglas de análisis y otros recursos de Microsoft Sentinel. |
| Colaborador de Logic Apps | Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias | Adjunte cuadernos de estrategias a reglas de análisis y automatización, y ejecute cuadernos de estrategias. Nota: Este rol también permite a los usuarios modificar cuadernos de estrategias. |
|
| Entidad de seguridad de servicio | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Configuración automatizada de las tareas de administración |
Sugerencia
Es posible que se requieran roles adicionales en función de los datos que se ingieren o supervisan. Por ejemplo, se pueden requerir roles de Azure AD, como los de administrador global o administrador de seguridad, para configurar conectores de datos para servicios de otros portales de Microsoft.
Pasos siguientes
En este documento, ha aprendido a trabajar con roles para usuarios de Microsoft Sentinel y lo que cada rol permite realizar a los usuarios.
Encontrará entradas sobre la seguridad y el cumplimiento de Azure en el blog de Microsoft Sentinel.