Uprawnienia w usłudze Azure SentinelPermissions in Azure Sentinel

W przypadku korzystania z funkcji kontroli dostępu opartej na rolach (Azure RBAC) na platformie Azure wskaźnik na platformie Azure obejmuje wbudowane role , które można przypisać do użytkowników, grup i usług w systemie.Azure Sentinel uses Azure role-based access control (Azure RBAC) to provide built-in roles that can be assigned to users, groups, and services in Azure.

Za pomocą funkcji RBAC platformy Azure można tworzyć i przypisywać role w zespole operacji zabezpieczeń, aby udzielać odpowiedniego dostępu do platformy Azure.Use Azure RBAC to create and assign roles within your security operations team to grant appropriate access to Azure Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co widzą Użytkownicy platformy Azure.The different roles give you fine-grained control over what users of Azure Sentinel can see and do. Role platformy Azure można przypisywać bezpośrednio w obszarze roboczym Azure wskaźnikowym (patrz Uwaga poniżej) lub w subskrypcji lub grupie zasobów, do której należy ten obszar roboczy, który będzie dziedziczyć na platformie Azure.Azure roles can be assigned in the Azure Sentinel workspace directly (see note below), or in a subscription or resource group that the workspace belongs to, which Azure Sentinel will inherit.

Role do pracy na platformie Azure — wskaźnikRoles for working in Azure Sentinel

Role specyficzne dla usługi Azure SentinelAzure Sentinel-specific roles

Istnieją trzy dedykowane wbudowane role wskaźnikowe platformy Azure.There are three dedicated built-in Azure Sentinel roles.

Wszystkie wbudowane role funkcji wskaźnikowej platformy Azure umożliwiają dostęp do odczytu do danych w obszarze roboczym wskaźnikowego platformy Azure.All Azure Sentinel built-in roles grant read access to the data in your Azure Sentinel workspace.

Uwaga

  • Aby uzyskać najlepsze wyniki, te role należy przypisać do grupy zasobów , która zawiera obszar roboczy wskaźnik platformy Azure.For best results, these roles should be assigned on the resource group that contains the Azure Sentinel workspace. Dzięki temu role będą miały zastosowanie do wszystkich zasobów wdrożonych w celu obsługi platformy Azure, ponieważ te zasoby powinny również zostać umieszczone w tej samej grupie zasobów.This way, the roles will apply to all the resources that are deployed to support Azure Sentinel, as those resources should also be placed in that same resource group.

  • Innym rozwiązaniem jest przypisanie ról bezpośrednio w obszarze roboczym Azure wskaźnikowym.Another option is to assign the roles directly on the Azure Sentinel workspace itself. W takim przypadku należy również przypisać te same role do zasobu rozwiązania SecurityInsights w tym obszarze roboczym.If you do this, you must also assign the same roles on the SecurityInsights solution resource in that workspace. Konieczne może być również przypisanie ich do innych zasobów i konieczność stałego zarządzania przypisaniami ról w zasobach.You may need to assign them on other resources as well, and you will need to be constantly managing role assignments on resources.

Dodatkowe role i uprawnieniaAdditional roles and permissions

Użytkownikom z określonymi wymaganiami dotyczącymi zadań może być konieczne przypisanie dodatkowych ról lub określonych uprawnień w celu wykonania ich zadań.Users with particular job requirements may need to be assigned additional roles or specific permissions in order to accomplish their tasks.

  • Praca z usługą elementy PlayBook w celu zautomatyzowania odpowiedzi na zagrożeniaWorking with playbooks to automate responses to threats

    Wskaźnik platformy Azure używa elementy PlayBook do automatycznej reakcji na zagrożenia.Azure Sentinel uses playbooks for automated threat response. Elementy PlayBook są oparte na Azure Logic Apps i są osobnym zasobem platformy Azure.Playbooks are built on Azure Logic Apps, and are a separate Azure resource. Można przypisać do określonych członków zespołu ds. operacji zabezpieczeń, który może używać Logic Apps do operacji aranżacji zabezpieczeń, automatyzacji i odpowiedzi (o).You might want to assign to specific members of your security operations team the ability to use Logic Apps for Security Orchestration, Automation, and Response (SOAR) operations. Rola współautor aplikacji logiki lub rola operatora aplikacji logiki służy do przypisywania jawnego uprawnienia do korzystania z elementy PlayBook.You can use the Logic App Contributor role or the Logic App Operator role to assign explicit permission for using playbooks.

  • Łączenie źródeł danych z platformą Azure — wskaźnikiemConnecting data sources to Azure Sentinel

    Aby użytkownik mógł dodać Łączniki danych, należy przypisać uprawnienia do zapisu użytkownika w obszarze roboczym wskaźnik platformy Azure.For a user to add data connectors, you must assign the user write permissions on the Azure Sentinel workspace. Należy również zwrócić uwagę na wymagane dodatkowe uprawnienia dla każdego łącznika, jak wymieniono na odpowiedniej stronie łącznika.Also, note the required additional permissions for each connector, as listed on the relevant connector page.

  • Użytkownicy-Goście przypisujący zdarzeniaGuest users assigning incidents

    Jeśli użytkownik-Gość musi mieć możliwość przypisania zdarzeń, a nie roli obiektu odpowiadającego wskaźnikowi usługi Azure, należy również przypisać rolę czytnika katalogów.If a guest user needs to be able to assign incidents, then in addition to the Azure Sentinel Responder role, the user will also need to be assigned the role of Directory Reader. Należy pamiętać, że ta rola nie jest rolą platformy Azure, ale rolą Azure Active Directory , a użytkownicy regularnie nie mają tej roli przypisanej domyślnie.Note that this role is not an Azure role but an Azure Active Directory role, and that regular (non-guest) users have this role assigned by default.

Aby zapoznać się z porównaniem równoległym, zobacz poniższą tabelę.For a side-by-side comparison, see the table below.

Inne role, które mogą zostać wyświetloneOther roles you might see assigned

Przy przypisywaniu ról platformy Azure specyficznych dla platformy Azure można korzystać z innych ról platformy Azure i Log Analytics, które mogą zostać przypisane do użytkowników w innych celach.In assigning Azure Sentinel-specific Azure roles, you may come across other Azure and Log Analytics Azure roles that may have been assigned to users for other purposes. Należy pamiętać, że te role udzielają szerszego zestawu uprawnień, który obejmuje dostęp do obszaru roboczego wskaźnikowego platformy Azure i innych zasobów:You should be aware that these roles grant a wider set of permissions that includes access to your Azure Sentinel workspace and other resources:

Na przykład użytkownik, któremu przypisano rolę czytnika punktów kontrolnych platformy Azure, ale nie ma roli współautor wskaźnikowego platformy Azure , nadal będzie mógł edytować elementy na platformie Azure, jeśli przypisze rolę współautora na poziomie platformy Azure.For example, a user who is assigned the Azure Sentinel Reader role, but not the Azure Sentinel Contributor role, will still be able to edit items in Azure Sentinel if assigned the Azure-level Contributor role. W związku z tym, jeśli chcesz udzielić uprawnień użytkownikowi tylko w wskaźniku kontrolnym platformy Azure, należy uważnie usunąć wcześniejsze uprawnienia tego użytkownika i upewnić się, że nie wszystkie wymagane prawa dostępu do innego zasobu.Therefore, if you want to grant permissions to a user only in Azure Sentinel, you should carefully remove this user’s prior permissions, making sure you do not break any needed access to another resource.

Role i dozwolone akcjeRoles and allowed actions

W poniższej tabeli podsumowano role i dozwolone działania w usłudze Azure Sentinel.The following table summarizes the roles and allowed actions in Azure Sentinel.

RolaRole Tworzenie i uruchamianie podręcznikówCreate and run playbooks Tworzenie i edytowanie skoroszytów, reguł analizy i innych zasobów usługi Azure SentinelCreate and edit workbooks, analytic rules, and other Azure Sentinel resources Zarządzanie zdarzeniami (odrzucanie, przypisywanie itp.)Manage incidents (dismiss, assign, etc.) Wyświetl dane, zdarzenia, skoroszyty i inne zasoby dotyczące platformy AzureView data, incidents, workbooks, and other Azure Sentinel resources
Czytelnik usługi Azure SentinelAzure Sentinel Reader -- -- --
Obiekt odpowiadający usługi Azure SentinelAzure Sentinel Responder -- --
Współautor usługi Azure SentinelAzure Sentinel Contributor --
Współautor Azure wskaźnikowego i współautor aplikacji logikiAzure Sentinel Contributor + Logic App Contributor

Niestandardowe i zaawansowane role RBAC platformy AzureCustom roles and advanced Azure RBAC

Następne krokiNext steps

W tym dokumencie przedstawiono sposób pracy z rolami dla użytkowników wskaźnikowych platformy Azure oraz tego, co każda rola umożliwia użytkownikom.In this document, you learned how to work with roles for Azure Sentinel users and what each role enables users to do.