Microsoft Sentinel 권한 및 역할 설명
개념 증명 환경을 배포하려면 성공적인 배포에 필요한 권한과 역할을 파악해야 합니다.
Microsoft Sentinel의 권한 개요
Azure RBAC(역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 권한 부여 시스템입니다. Azure 리소스에 대한 세분화된 액세스 관리 기능을 제공하는 Azure Resource Manager를 기반으로 합니다.
Azure RBAC를 사용하여 SecOps 팀에 역할을 만들고 할당합니다. Azure RBAC를 통해 Microsoft Sentinel에 적절한 액세스 권한을 부여할 수 있습니다. 다양한 역할을 사용하여 Microsoft Sentinel 사용자가 액세스하고 수행할 수 있는 항목을 구체적으로 제어할 수 있습니다.
다음과 같이 Azure RBAC 역할을 할당할 수 있습니다.
- Microsoft Sentinel 작업 영역에서 직접
- 구독에서 할당
- 작업 영역이 속한 리소스 그룹에 할당(Microsoft Sentinel에 상속됨)
Microsoft Sentinel 전용 역할
다음은 전용 기본 제공 Microsoft Sentinel 역할입니다.
- 읽기 권한자: 이 역할은 데이터, 인시던트, 통합 문서, 기타 Microsoft Sentinel 리소스를 검토할 수 있습니다.
- 응답자: 이 역할에는 읽기 권한자 역할의 모든 권한이 있습니다. 인시던트를 할당하거나 해제하여 인시던트를 관리할 수도 있습니다.
- 기여자: 이 역할에는 읽기 권한자 및 응답자 역할의 모든 권한이 있습니다. 통합 문서, 분석 규칙, 기타 Microsoft Sentinel 리소스를 만들고 편집할 수도 있습니다. 테넌트에 Microsoft Sentinel을 배포하려면 Microsoft Sentinel 작업 영역이 배포되는 구독에 대한 기여자 권한이 있어야 합니다.
- 플레이북 운영자: 이 역할은 플레이북을 나열, 표시하고 수동으로 실행할 수 있습니다.
- 자동화 기여자: 이 역할을 통해 Microsoft Sentinel에서 플레이북을 자동화 규칙에 추가할 수 있습니다. 이 역할은 사용자 계정에 할당할 수 없습니다.
모든 기본 제공 Microsoft Sentinel 역할은 Microsoft Sentinel 작업 영역에 있는 데이터에 대한 읽기 권한을 부여합니다. 최상의 결과를 얻으려면 이러한 역할을 Microsoft Sentinel 작업 영역을 포함하는 리소스 그룹에 할당해야 합니다. 그러면 같은 리소스 그룹에 있을 경우, Microsoft Sentinel을 지원하기 위해 배포되는 모든 리소스에 역할이 적용됩니다.
Azure 역할 및 Azure Monitor Log Analytics 역할
Microsoft Sentinel 전용 Azure RBAC 역할 외에도 다른 Azure 및 Log Analytics Azure RBAC 역할이 더 광범위한 권한 세트를 부여할 수 있습니다. 해당 역할에는 Microsoft Sentinel 작업 영역 및 기타 리소스에 대한 액세스 권한이 포함됩니다.
Azure 역할은 모든 Azure 리소스에 대한 액세스 권한을 부여합니다. Log Analytics 작업 영역 및 Microsoft Sentinel 리소스가 포함됩니다.
- 소유자
- 기여자
- 판독기
- 템플릿 사양 기여자
Log Analytics 역할은 모든 Log Analytics 작업 영역에 대한 액세스 권한을 부여합니다.
- Log Analytics 참가자
- Log Analytics 독자
예를 들어 Microsoft Sentinel 읽기 권한자 및 Azure 기여자(Microsoft Sentinel 기여자 아님) 역할이 할당된 사용자는 Microsoft Sentinel에서 데이터를 편집할 수 있습니다. Microsoft Sentinel에만 권한을 부여하려면 사용자의 이전 권한을 신중하게 제거해야 합니다. 다른 리소스에 대한 필요한 권한 역할이 손상되지 않도록 합니다.
Microsoft Sentinel 역할 및 허용되는 작업
다음 표에는 Microsoft Sentinel에서의 역할 및 허용되는 작업이 요약되어 있습니다.
| 역할 | 플레이북 보기 및 실행 | 플레이북 만들기 및 편집 | 분석 규칙, 통합 문서 및 기타 Microsoft Sentinel 리소스 만들기 및 편집 | 해제 및 할당과 같은 인시던트 관리 | 데이터 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 | 콘텐츠 허브에서 콘텐츠 설치 및 관리 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 읽기 권한자 | 아니요 | 없음 | 없음 | 없음 | 네 | 예 |
| Microsoft Sentinel 응답자 | 아니요 | 없음 | 없음 | 네 | 네 | 예 |
| Microsoft Sentinel 기여자 | 아니요 | 없음 | 네 | 네 | 네 | 예 |
| Microsoft Sentinel 플레이북 운영자 | 예 | 없음 | 없음 | 없음 | 없음 | 예 |
| 논리 앱 참가자 | 예 | 네 | 없음 | 없음 | 없음 | 예 |
| 템플릿 사양 기여자 | 예 | 없음 | 없음 | 없음 | 없음 | 예 |
사용자 지정 역할 및 고급 Azure RBAC
기본 제공 Azure 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들면 됩니다. 기본 제공 역할처럼 관리-그룹, 구독, 리소스-그룹 범위에서 사용자, 그룹, 서비스 주체에게 사용자 지정 역할을 할당할 수 있습니다.
팁
애플리케이션과 서비스에서는 보안 ID를 사용하여 특정 Azure 리소스에 액세스합니다. 애플리케이션에 대한 사용자 ID(사용자 이름 및 암호 또는 인증서)라고 생각하면 됩니다. 범위는 액세스가 적용되는 리소스 집합입니다.
동일한 Microsoft Entra 디렉터리를 신뢰하는 구독은 서로 사용자 지정 역할을 공유할 수 있습니다. 사용자 지정 역할은 디렉터리당 5,000개로 제한됩니다. 사용자 지정 역할은 Azure Portal, Azure PowerShell, Azure CLI 또는 REST API를 사용하여 할당할 수 있습니다.
참고
Azure 독일 및 Azure 중국 21Vianet에는 사용자 지정 역할을 2,000개까지 사용할 수 있습니다.
이 단원에서는 Microsoft Sentinel 사용자의 기본 제공 역할과 각 역할을 통해 사용자가 수행할 수 있는 작업에 대해 알아보았습니다. 역할 및 권한과 조직에 매핑되는 방식을 파악한 후에는 안심하고 Microsoft Sentinel을 사용하도록 설정할 수 있습니다.