Roles y permisos en Microsoft Sentinel
En este artículo se explica cómo Microsoft Sentinel asigna permisos a los usuarios y cómo identifica las acciones permitidas para cada rol. Microsoft Sentinel usa control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.
Utilice RBAC de Azure para crear y asignar roles dentro del equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control exhaustivo sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel, o bien en una suscripción o un grupo de recursos al que pertenece el área de trabajo, y que Microsoft Sentinel hereda.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Roles y permisos para trabajar en Microsoft Sentinel
Conceda el acceso adecuado a los datos del área de trabajo mediante roles integrados. Es posible que tenga que conceder más roles o permisos específicos en función de las tareas de trabajo de un usuario.
Roles específicos de Microsoft Sentinel
Todos los roles integrados de Microsoft Sentinel conceden acceso de lectura a los datos del área de trabajo de Microsoft Sentinel.
El rol Lector de Microsoft Sentinel puede ver datos, incidentes, libros y otros recursos de Microsoft Sentinel.
El respondedor de Microsoft Sentinel puede, además de los permisos para el lector de Microsoft Sentinel, administrar incidentes como asignar, descartar y cambiar incidentes.
El colaborador de Microsoft Sentinel puede, además de los permisos para el respondedor de Microsoft Sentinel, instalar y actualizar soluciones desde el centro de contenido, y crear y editar recursos de Microsoft Sentinel, como libros, reglas de análisis, etc.
El rol Operador de cuaderno de estrategias de Microsoft Sentinel puede enumerar, ver y ejecutar manualmente cuadernos de estrategias.
Colaborador de automatización de Microsoft Sentinel permite que Microsoft Sentinel agregue cuadernos de estrategias a las reglas de automatización. No está diseñado para las cuentas de usuario.
Para obtener los mejores resultados, asigne estos roles en el grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. De esta manera, los roles se aplican a todos los recursos que admiten Microsoft Sentinel, ya que esos recursos también deben colocarse en ese mismo grupo de recursos.
Otra opción consiste en asignar los roles directamente en la propia área de trabajo de Microsoft Sentinel. Si lo hace, debe asignar los mismos roles en el recurso de la solución de SecurityInsights en esa área de trabajo. También es posible que tenga que asignarlos a otros recursos y administrar continuamente las asignaciones de roles a los recursos.
Otros roles y permisos
Es posible que sea necesario asignar otros roles o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas.
Instalar y administrar contenido de fábrica
Busque soluciones empaquetadas para productos de un extremo a otro o contenido independiente del centro de contenido en Microsoft Sentinel. Para instalar y administrar contenido desde el centro de contenido, asigne el rol Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
Automatizar respuestas a amenazas con cuadernos de estrategias
Microsoft Sentinel usa cuadernos de estrategias para una respuesta automatizada ante amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son recursos independientes de Azure. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la posibilidad de usar Logic Apps para las operaciones de orquestación de seguridad, automatización y respuesta (SOAR). Puede usar el rol Operador de cuaderno de estrategias de Microsoft Sentinel para asignar permisos explícitos y limitados para ejecutar cuadernos de estrategias y el rol Colaborador de aplicaciones lógicas para crear y editar cuadernos de estrategias.
Conceder permisos a Sentinel para ejecutar cuadernos de estrategias
Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio.
Para que una regla de automatización ejecute un cuaderno de estrategias, se deben conceder a esta cuenta permisos explícitos para acceder al grupo de recursos en el que se encuentra el cuaderno. En ese momento, cualquier regla de automatización puede ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. Para conceder estos permisos a esta cuenta de servicio, la cuenta debe tener permisos de propietario en los grupos de recursos que contienen los cuadernos de estrategias.
Conectar orígenes de datos a Microsoft Sentinel
Para que un usuario pueda agregar conectores de datos, debe asignar permisos de escritura a ese usuario en el área de trabajo de Microsoft Sentinel. Tenga en cuenta los permisos adicionales necesarios para cada conector, tal como se muestra en la página del conector correspondiente.
Permitir que los usuarios invitados asignen incidentes
Si es necesario que un usuario invitado pueda asignar incidentes, deberá asignarle el rol Lector de directorios, además del rol Respondedor de Microsoft Sentinel. El rol Lector de directorios no es un rol de Azure, sino un rol de Microsoft Entra y los usuarios normales (no invitados) tienen asignado este rol de forma predeterminada.
Crear y eliminar libros
Para crear y eliminar un libro de Microsoft Sentinel, el usuario requiere el rol Colaborador de Microsoft Sentinel o un rol menor de Microsoft Sentinel, junto con el rol Colaborador de libros de Azure Monitor. Este rol no es necesario para usar los libros, solo para crearlos y eliminarlos.
Roles de Azure y Log Analytics que puede ver asignados
Al asignar roles de Azure específicos de Microsoft Sentinel, puede encontrar otros roles de Azure y Log Analytics que se pueden haber asignado a los usuarios para otros fines. Estos roles conceden un conjunto más amplio de permisos que incluye el acceso al área de trabajo de Microsoft Sentinel y a otros recursos:
Roles de Azure:Propietario, Colaborador y Lector. Los roles de Azure conceden acceso a todos los recursos de Azure, incluidas las áreas de trabajo de Log Analytics y los recursos de Microsoft Sentinel.
Roles de Log Analytics:Colaborador de Log Analytics y Lector de Log Analytics. Los roles de Log Analytics conceden acceso a las áreas de trabajo de Log Analytics.
Por ejemplo, un usuario al que se haya asignado el rol de Lector de Microsoft Sentinel, pero no el rol de Colaborador de Microsoft Sentinel, todavía podrá editar elementos en Microsoft Sentinel si se le asigna el rol de Colaborador en el nivel de Azure. Por tanto, si desea conceder permisos para un usuario solo en Microsoft Sentinel, elimine con cuidado los permisos anteriores de este usuario, y asegúrese de que no interrumpe ningún acceso necesario a otro recurso.
Roles de Microsoft Sentinel, permisos y acciones permitidas
En esta tabla se resumen los roles de Microsoft Sentinel y sus acciones permitidas en Microsoft Sentinel.
| Role | Visualización y ejecución de cuadernos de estrategias | Creación y edición de cuadernos de estrategias | Creación y edición de reglas de análisis, libros y otros recursos de Microsoft Sentinel | Administración de incidentes (descarte, asignación, etc.) | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel | Instalación y administración de contenido desde el centro de contenido |
|---|---|---|---|---|---|---|
| Lector de Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondedor de Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Colaborador de Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador de cuaderno de estrategias de Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Colaborador de aplicación lógica | ✓ | ✓ | -- | -- | -- | -- |
* Los usuarios con estos roles pueden crear y eliminar libros con el rol Colaborador de libros. Obtenga información sobre otros roles y permisos.
Revise las recomendaciones de roles sobre qué roles asignar a qué usuarios en el centro de operaciones de seguridad.
Roles personalizados y Azure RBAC avanzado
Roles personalizados. Además de usar roles integrados de Azure (o en vez de ello), puede crear roles personalizados de Azure para Microsoft Sentinel. Crea roles personalizados de Azure para Microsoft Sentinel de la misma manera que otros roles personalizados de Azure, en función de permisos específicos para los recursos de Microsoft Sentinel y de Azure Log Analytics.
RBAC de Log Analytics. Puede usar el control de acceso basado en rol de Azure avanzado de Log Analytics en los datos del área de trabajo de Microsoft Sentinel. Incluye RBAC de Azure basado en el tipo de datos y RBAC de Azure de contexto de recursos. Para obtener más información:
- Administración de los datos de registro y las áreas de trabajo en Azure Monitor
- RBAC de contexto de recursos para Microsoft Sentinel
- RBAC de nivel de tabla
RBAC de contexto de recursos y de nivel de tabla son dos métodos de proporcionar acceso a datos específicos en el área de trabajo de Microsoft Sentinel sin permitir el acceso a toda la experiencia de Microsoft Sentinel.
Recomendaciones de roles y permisos
Después de comprender cómo funcionan los roles y permisos en Microsoft Sentinel, puede usar la siguiente guía de procedimientos recomendados para aplicar roles a los usuarios:
| Tipo de usuario | Rol | Grupo de recursos | Descripción |
|---|---|---|---|
| Analistas de seguridad | Respondedor de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel. Administración de incidentes, como los de asignación o descarte. |
| Operador de cuaderno de estrategias de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias | Adjunte cuadernos de estrategias a reglas de análisis y automatización. Ejecutar cuadernos de estrategias. |
|
| Ingenieros de seguridad | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Visualización de datos, incidentes, libros y otros recursos de Microsoft Sentinel. Administración de incidentes, como los de asignación o descarte. Creación y edición de libros, reglas de análisis y otros recursos de Microsoft Sentinel. Instale y actualice las soluciones desde el centro de contenido. |
| Colaborador de Logic Apps | Grupo de recursos de Microsoft Sentinel o grupo de recursos donde se almacenan los cuadernos de estrategias | Adjunte cuadernos de estrategias a reglas de análisis y automatización. Ejecute y modifique cuadernos de estrategias. |
|
| Entidad de seguridad de servicio | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Configuración automatizada de las tareas de administración |
Es posible que se requieran más roles en función de los datos que se ingieren o supervisan. Por ejemplo, se pueden requerir roles de Microsoft Entra, como el rol Administrador global o el rol Administrador de seguridad, para configurar conectores de datos para servicios de otros portales de Microsoft.
Control de acceso basado en recursos
Es posible que algunos usuarios necesiten acceder solo a datos específicos del área de trabajo de Microsoft Sentinel, pero no deban tener acceso a todo el entorno de Microsoft Sentinel. Por ejemplo, es posible que quiera proporcionar a un equipo fuera de las operaciones de seguridad acceso a los datos de eventos de Windows para los servidores que poseen.
En tales casos, se recomienda configurar el control de acceso basado en rol (RBAC) en función de los recursos que se permiten a los usuarios, en lugar de proporcionarles acceso al área de trabajo de Microsoft Sentinel o a características específicas de Microsoft Sentinel. Este método también se conoce como configuración de RBAC de contexto de recursos. Para más información, consulte Administración del acceso a los datos de Microsoft Sentinel por recurso.
Pasos siguientes
En este artículo, ha aprendido a trabajar con roles para usuarios de Microsoft Sentinel y lo que cada rol permite realizar a los usuarios.