Funções e permissões no Microsoft Azure Sentinel

Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário e identifica as ações permitidas para cada função. O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (RBAC do Azure) ,para fornecer funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.

Use o RBAC do Azure para criar e atribuir funções na sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As funções diferentes oferecem um controle otimizado sobre o que os usuários do Microsoft Sentinel podem acessar e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho do Microsoft Sentinel (veja a observação abaixo), ou numa assinatura ou grupo de recursos ao qual o espaço de trabalho pertence, que o Microsoft Sentinel herda.

Funções e permissões para trabalhar no Microsoft Azure Sentinel

Funções específicas do Microsoft Sentinel

Todas as funções integradas no Microsoft Sentinel concedem acesso a leitura de dados no seu espaço de trabalho do Microsoft Sentinel.

Observação

  • Para obter melhores resultados, atribua essas funções ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Dessa forma, as funções se aplicam a todos os recursos que dão suporte ao Microsoft Sentinel, pois esses recursos também devem ser colocados no mesmo grupo de recursos.

  • Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Se você fizer isso, deverá também atribuir as mesmas funções ao recurso da solução de Insights de Segurança neste espaço de trabalho. Talvez você precise atribuí-las a outros recursos também e será necessário gerenciar constantemente as atribuições de função aos recursos.

Outras funções e permissões

Os usuários com exigências de trabalho específicas podem precisar receber outras funções ou permissões específicas para realizar suas tarefas.

  • Trabalhar com guias estratégicos para automatizar as respostas a ameaças

    O Microsoft Sentinel usa os guias estratégicos para resposta automatizada contra ameaças. Os guias estratégicos são criados em Aplicativos Lógicos do Azuree são um recurso do Azure separado. Para membros específicos de sua equipe de operações de segurança, talvez você queira atribuir a habilidade de usar os Aplicativos Lógicos para SOAR (Orquestração de Segurança, Automação e Resposta). Você pode usar a função Colaborador do Aplicativo Lógicopara atribuir permissão explícita para o uso de guias estratégicos.

  • Dê permissões ao Azure Sentinel para executar guias estratégicos

    O Azure Sentinel usa uma conta de serviço especial para executar manualmente guias estratégicos de gatilho de incidentes ou para chamá-los por meio de regras de automação. O uso dessa conta (em vez da conta de usuário) aumenta o nível de segurança do serviço.

    Para que uma regra de automação execute um guia estratégico, essa conta deve receber permissões explícitas para o grupo de recursos em que o guia estratégico reside. Nesse ponto, qualquer regra de automação poderá executar qualquer guia estratégico nesse grupo de recursos. Para conceder essas permissões à conta de serviço, é necessário que a sua tenha permissões de proprietário aos grupos de recursos que contêm os guias estratégicos.

  • Conectando fontes de dados ao Microsoft Sentinel

    Para que um usuário adicioneconectores de dados, você deve atribuir as permissões de gravação do usuário no espaço de trabalho do Microsoft Sentinel. Observe as permissões extras necessárias para cada conector, conforme listado na página do conector relevante.

  • Usuários convidados atribuem incidentes

    Se um usuário convidado precisar atribuir incidentes, você precisará atribuir o Leitor de Diretório ao usuário, além da função de Respondente do Microsoft Sentinel. Observe que a função de Leitor de Diretório não é uma função do Azure, mas uma função do Azure Active Directory,e que usuários regulares (não convidados) têm essa função atribuída por padrão.

  • Criar e excluir pastas de trabalho

    Para criar e excluir uma guia de trabalho do Microsoft Sentinel, o usuário precisa da função de Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel, junto com a função de Colaborador da Pasta de Trabalho do Azure Monitor. Essa função não é necessária para usar as pastas de trabalho, apenas para a criação e a exclusão delas.

Funções do Azure e do Log Analytics que você pode ver atribuídas

Ao atribuir funções específicas do Azure no Microsoft Sentinel, você pode encontrar outras funções do Azure e o Log Analytics que podem ter sido atribuídas aos usuários para outras finalidades. Observe que essas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:

Por exemplo, um usuário atribuído à função de Leitor do Microsoft Sentinel , mas não à função de Colaborador do Microsoft Sentinel, ainda pode editar itens no Microsoft Sentinel, se esse usuário também tiver a função de Colaborador atribuída no nível do Azure. Desta forma, se você quiser conceder permissões a um usuário somente no Microsoft Sentinel, remova cuidadosamente as permissões anteriores do usuário, certificando-se de não interromper nenhum acesso necessário a outro recurso.

Funções, permissões e ações permitidas do Microsoft Sentinel

Esta tabela resume as funções do Microsoft Sentinel e as ações permitidas no Microsoft Sentinel.

Função Criar e executar guias estratégicos Crie e edite regras analíticas, pastas de trabalho e outros recursos do Microsoft Sentinel Gerencie incidentes (ignore, atribui, etc.) Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel
Leitor do Microsoft Sentinel -- --* --
Respondente do Microsoft Sentinel -- --*
Colaborador do Microsoft Sentinel --
Colaborador do Azure Sentinel + Colaborador do Aplicativo Lógico

* Os usuários com essas funções podem criar e excluir as pastas de trabalho com a função de Colaborador da Pasta de Trabalho. Saiba mais sobre Outras funções e permissões.

Revise as Recomendações de função para quais funções atribuir a quais usuários no seu SOC.

Funções personalizadas e RBAC avançado do Azure

Recomendações de funções e permissões

Depois de entender como as funções e as permissões funcionam no Microsoft Sentinel, revise estas melhores práticas para aplicar funções aos seus usuários:

Tipo de usuário Função Grupo de recursos Descrição
Analistas de segurança Respondente do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Gerencie incidentes, como atribuir ou descartar incidentes.
Colaborador dos Aplicativos Lógicos Grupo de recursos do Azure Sentinel, ou o grupo de recursos em que os guias estratégicos são armazenados Anexe guias estratégicos a regras de análise e automação e execute guias estratégicos.

Observação: essa função também permite que os usuários mudem guias estratégicos.
Engenheiros de segurança Colaborador do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Gerencie incidentes, como atribuir ou descartar incidentes.

Crie e edite pastas de trabalho, regras analíticas e outros recursos do Microsoft Sentinel.
Colaborador dos Aplicativos Lógicos Grupo de recursos do Azure Sentinel, ou o grupo de recursos em que os guias estratégicos são armazenados Anexe guias estratégicos a regras de análise e automação e execute guias estratégicos.

Observação: essa função também permite que os usuários mudem guias estratégicos.
Entidade de Serviço Colaborador do Microsoft Sentinel Grupo de recursos do Microsoft Sentinel Configuração automatizada para tarefas de gerenciamento

Dica

Mais funções podem ser necessárias dependendo dos dados que você ingere ou monitora. Por exemplo, as funções do Azure Active Directory podem ser necessárias, como as funções de administrador global ou administrador de segurança, para configurar conectores de dados para serviços em outros portais da Microsoft.

Próximas etapas

Neste artigo, você aprendeu como trabalhar com funções de usuários do Microsoft Sentinel e o que cada função permite que os usuários façam.

Encontre postagens no blog sobre a segurança e a conformidade do Azure no Blog do Microsoft Sentinel.