A Microsoft Sentinel engedélyeinek és szerepköreinek ismertetése
A Microsoft Sentinel az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) használva biztosít az Azure-ban felhasználókhoz, csoportokhoz és szolgáltatásokhoz rendelhető beépített szerepköröket.
Az Azure RBAC használatával szerepköröket hozhat létre és rendelhet hozzá a biztonsági üzemeltetési csapaton belül, hogy megfelelő hozzáférést biztosítson a Microsoft Sentinelhez. A különböző szerepkörök részletesen szabályozhatják, hogy a Microsoft Sentinel felhasználói mit láthatnak és tehetnek. Az Azure-szerepköröket közvetlenül a Microsoft Sentinel-munkaterületen, vagy egy olyan előfizetésben vagy erőforráscsoportban lehet hozzárendelni, amelyhez a munkaterület tartozik, amelyet a Microsoft Sentinel örököl.
Microsoft Sentinel-specifikus szerepkörök
Minden beépített Microsoft Sentinel-szerepkör olvasási hozzáférést biztosít a Microsoft Sentinel-munkaterületen lévő adatokhoz:
Microsoft Sentinel-olvasó: megtekintheti az adatokat, incidenseket, munkafüzeteket és más Microsoft Sentinel-erőforrásokat.
Microsoft Sentinel Responder: a fentieken kívül kezelheti az incidenseket (hozzárendelés, elutasítás stb.)
Microsoft Sentinel-közreműködő: a fentieken kívül munkafüzeteket, elemzési szabályokat és egyéb Microsoft Sentinel-erőforrásokat is létrehozhat és szerkeszthet.
Microsoft Sentinel Automation-közreműködő: lehetővé teszi, hogy a Microsoft Sentinel forgatókönyveket adjon hozzá az automatizálási szabályokhoz. Ez nem felhasználói fiókokhoz készült.
A legjobb eredmény érdekében ezeket a szerepköröket a Microsoft Sentinel-munkaterületet tartalmazó erőforráscsoporthoz kell hozzárendelni. A szerepkörök ezután az összes olyan erőforrásra vonatkoznak, amely a Microsoft Sentinel támogatására van üzembe helyezve, ha ezek az erőforrások ugyanabban az erőforráscsoportban találhatók.
További szerepkörök és engedélyek
Előfordulhat, hogy a feladatok elvégzéséhez más szerepköröket vagy engedélyeket kell hozzárendelni az adott feladattal rendelkező felhasználókhoz.
Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához
A Microsoft Sentinel forgatókönyveket használ az automatizált fenyegetéskezeléshez. A forgatókönyvek az Azure Logic Appsre épülnek, és külön Azure-erőforrást jelentenek. Előfordulhat, hogy a biztonsági műveleti csapat adott tagjaihoz szeretné hozzárendelni a Logic Apps biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) műveleteinek használatát. A logikai alkalmazás közreműködői szerepkörével explicit engedélyt rendelhet a forgatókönyvek használatához.
A Microsoft Sentinel-engedélyek megadása forgatókönyvek futtatásához
A Microsoft Sentinel egy speciális szolgáltatásfiókot használ az incidensindító forgatókönyvek manuális futtatásához vagy automatizálási szabályokból való meghívásához. A fiók használata (szemben a felhasználói fiókkal) növeli a szolgáltatás biztonsági szintjét.
Ahhoz, hogy egy automatizálási szabály futtatni tudjon egy forgatókönyvet, ennek a fióknak explicit engedélyeket kell adni ahhoz az erőforráscsoporthoz, amelyben a forgatókönyv található. Ekkor bármely automatizálási szabály képes lesz bármely forgatókönyvet futtatni az adott erőforráscsoportban. Ahhoz, hogy meg tudja adni ezeket az engedélyeket ennek a szolgáltatásfióknak, a fiókjának tulajdonosi engedélyekkel kell rendelkeznie a forgatókönyveket tartalmazó erőforráscsoportokra vonatkozóan.
adatforrások Csatlakozás a Microsoft Sentinelbe
Ahhoz, hogy egy felhasználó adatösszekötőket vegyen fel, a felhasználó írási engedélyeit a Microsoft Sentinel munkaterületen kell hozzárendelnie. Jegyezze fel az egyes összekötőkhöz szükséges egyéb engedélyeket is, ahogyan az a megfelelő összekötő oldalán látható.
Incidenseket hozzárendelő vendégfelhasználók
Ha egy vendégfelhasználónak incidenseket kell hozzárendelnie, akkor a Microsoft Sentinel Válaszadó szerepkörön kívül a felhasználónak a Címtárolvasó szerepkört is hozzá kell rendelnie. Ez a szerepkör nem Azure-szerepkör, hanem Microsoft Entra szerepkör, és hogy a normál (nem vendég) felhasználók alapértelmezés szerint hozzárendelik ezt a szerepkört.
Munkafüzetek létrehozása és törlése
Microsoft Sentinel-munkafüzet létrehozásához és törléséhez a felhasználónak a Microsoft Sentinel közreműködői vagy egy kisebb Microsoft Sentinel-szerepkörre, valamint a munkafüzet-közreműködő Azure Monitor szerepkörére van szüksége. Ez a szerepkör nem szükséges munkafüzetek használatához, csak létrehozáshoz és törléshez.
Azure-szerepkörök és Azure Monitor Log Analytics-szerepkörök
A Microsoft Sentinel által dedikált Azure RBAC-szerepkörök mellett más Azure- és Log Analytics Azure RBAC-szerepkörök is szélesebb körű engedélyeket biztosíthatnak. Ezek a szerepkörök magukban foglalják a Microsoft Sentinel-munkaterülethez és más erőforrásokhoz való hozzáférést.
Az Azure-szerepkörök az összes Azure-erőforrásához engedélyezik a hozzáférést. Ezek közé tartoznak a Log Analytics-munkaterületek és a Microsoft Sentinel-erőforrások:
Owner
Közreműködő
Olvasó
A Log Analytics-szerepkörök az összes Log Analytics-munkaterülethez hozzáférést adnak:
Log Analytics közreműködő
Log Analytics olvasó
A Microsoft Sentinel-olvasó és az Azure-közreműködői szerepkörrel (nem a Microsoft Sentinel közreműködője) rendelkező felhasználók például szerkeszthetik az adatokat a Microsoft Sentinelben. Ha csak a Microsoft Sentinelnek szeretne engedélyeket adni, gondosan távolítsa el a felhasználó korábbi engedélyeit. Ügyeljen arra, hogy ne szüntessen meg egy másik erőforráshoz szükséges hozzáférést.
Microsoft Sentinel-szerepkörök és engedélyezett műveletek
Az alábbi táblázat a Microsoft Sentinel szerepköreit és engedélyezett műveleteit foglalja össze.
Roles | Forgatókönyvek létrehozása és futtatása | Munkafüzetek, elemzési szabályok és egyéb Microsoft Sentinel-erőforrások létrehozása és szerkesztése | Incidensek kezelése, például elvetése vagy kiosztása | Adatesemények, munkafüzetek és egyéb Microsoft Sentinel-erőforrások megtekintése |
---|---|---|---|---|
Microsoft Sentinel Olvasó | Nem | No | No | Igen |
Microsoft Sentinel Válaszadó | Nem | No | Igen | Igen |
Microsoft Sentinel Contributor | Nem | Igen | Yes | Igen |
Microsoft Sentinel-közreműködő és logikai alkalmazás közreműködője | Igen | Yes | Yes | Igen |
Egyéni szerepkörök és speciális Azure RBAC
Ha a beépített Azure-szerepkörök nem felelnek meg a vállalat igényeinek, saját egyéni szerepköröket is létrehozhat. A beépített szerepkörökhöz hasonlóan az egyéni szerepkörök is hozzárendelhetők felhasználókhoz, csoportokhoz és szolgáltatásnevekhez a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében.