Azure Sentinel'de izinler

Azure Sentinel, Kullanıcılara, gruplara ve hizmetlere atanabilir yerleşik roller sağlamak için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanır.

Azure RBAC'yi kullanarak güvenlik operasyonları takımınız içinde roller oluşturun ve bu rollere uygun Azure Sentinel. Farklı roller, kullanıcı kullanıcılarının neleri göreceği ve neleri Azure Sentinel daha fazla denetime sahip olur. Azure rolleri doğrudan Azure Sentinel çalışma alanında atanabilir (aşağıdaki nota bakın) veya çalışma alanının ait olduğu bir abonelikte veya kaynak grubunda Azure Sentinel devralınabilir.

Azure Sentinel'da çalışmaya Azure Sentinel

Azure Sentinel'e özgü roller

Tüm Azure Sentinel yerleşik roller, çalışma alanınız için veri okuma Azure Sentinel sağlar.

Not

  • En iyi sonuçları elde etmek için bu rollerin çalışma alanında yer alan kaynak grubunda Azure Sentinel gerekir. Bu şekilde roller, aynı kaynak grubuna da yerleştiril Azure Sentinel desteklemek için dağıtılan tüm kaynaklara uygulanır.

  • Bir diğer seçenek de rolleri doğrudan çalışma alanının Azure Sentinel atamaktır. Bunu yaparsanız, o çalışma alanında SecurityInsights çözüm kaynağında da aynı rolleri atamanız gerekir. Bunları diğer kaynaklara da atamanız ve kaynaklarda rol atamalarını sürekli olarak yönetmeniz gerekir.

Ek roller ve izinler

Belirli iş gereksinimleri olan kullanıcılara görevlerini gerçekleştirmek için ek roller veya belirli izinler atanabilir.

  • Tehditlere verilen yanıtları otomatikleştirmek için playbook'larla çalışma

    Azure Sentinel otomatik tehdit yanıtı için playbook'ları kullanır. Playbook'lar Azure Logic Apps ve ayrı bir Azure kaynağıdır. Güvenlik operasyonları takımınıza belirli üyelerine Güvenlik Düzenlemesi, Otomasyon ve Yanıt (SOAR) Logic Apps özellikleri kullanma olanağı atamak istiyor olabilirsiniz. Playbook'ları kullanmak için açık izin atamak üzere Mantıksal Uygulama Katkıda Bulunanı rolünü kullanabilirsiniz.

  • Veri kaynaklarını Azure Sentinel

    Bir kullanıcının veri bağlayıcıları eklemesi için kullanıcıya çalışma alanında yazma Azure Sentinel gerekir. Ayrıca, ilgili bağlayıcı sayfasında listelenmiş olan her bağlayıcı için gerekli ek izinleri not edin.

  • Olayları ataan konuk kullanıcılar

    Konuk kullanıcının olayları atayabilecek olması gerekirse, Azure Sentinel Yanıtlayan rolüne ek olarak, kullanıcıya Dizin Okuyucusu rolü de atanacak. Bu rolün bir Azure rolü değil, Azure Active Directory rolü olduğunu ve normal (konuk olmayan) kullanıcılara varsayılan olarak bu rolün atandığına dikkat edin.

  • Çalışma kitaplarını oluşturma ve silme

    Kullanıcının bir çalışma kitabını oluşturması ve Azure Sentinel için, kullanıcının İzleme Katkıda Bulunanı rolünün Azure İzleyici da atanacak. Bu rol çalışma kitaplarını kullanmak için değil yalnızca oluşturma ve silme için gereklidir.

Atanmış olabileceğiniz diğer roller

Belirli Azure Sentinel Azure rollerini atarken, kullanıcılara başka amaçlar için atanmış olan diğer Azure ve Log Analytics Azure rollerine bakabilirsiniz. Bu rollerin, Azure Sentinel çalışma alanınıza ve diğer kaynaklara erişim içeren daha geniş bir izin kümesine sahip olduğunu fark etmek gerekir:

Örneğin, Azure Sentinel Okuyucu rolüne atanmış ancak Azure Sentinel Katkıda Bulunan rolüne sahip olmayan bir kullanıcı, Azure düzeyinde katkıda bulunan rolü atanmışsa Azure Sentinel'daki öğeleri düzenlemeye devam edebilirsiniz. Bu nedenle, bir kullanıcıya yalnızca Azure Sentinel izin vermek için bu kullanıcının önceki izinlerini dikkatle kaldırmanız ve başka bir kaynağa gerekli erişimi bozmamanıza dikkat edin.

Azure Sentinel rolleri ve izin verilen eylemler

Aşağıdaki tabloda rol rollerinin Azure Sentinel izin verilen eylemleri özet Azure Sentinel.

Rol Playbook'ları oluşturma ve çalıştırma Analiz kurallarını ve diğer Azure Sentinel oluşturma ve düzenleme * Olayları yönetme (işten çıkarma, atama vb.) Verileri, olayları, çalışma kitaplarını ve diğer Azure Sentinel görüntüleme
Azure Sentinel Okuyucusu -- -- --
Azure Sentinel Yanıtlayıcısı -- --
Azure Sentinel Katkıda Bulunanı --
Azure Sentinel Katkıda Bulunan + Mantıksal Uygulama Katkıda Bulunanı

* Çalışma kitaplarını oluşturmak ve silmek için ek İzleme Katkıda Bulunanı rolü gerekir. Daha fazla bilgi için bkz. Ek roller ve izinler.

Özel roller ve gelişmiş Azure RBAC

Rol önerileri

Rol ve izinlerin iş rollerinde Azure Sentinel, kullanıcılarınıza rol uygulamak için aşağıdaki en iyi yöntem kılavuzlarını kullanmak iyi olabilir:

Kullanıcı türü Rol Kaynak grubu Description
Güvenlik analistleri Azure Sentinel Yanıtlayıcısı Azure Sentinel grubunun kaynak grubu Verileri, olayları, çalışma kitaplarını ve diğer Azure Sentinel görüntüleme.

Olayları atama veya çıkarma gibi olayları yönetin.
Logic Apps Katkıda Bulunanı Azure Sentinel grubunu veya playbook'larınızı depolandığı kaynak grubunu seçin Playbook'ları analiz ve otomasyon kurallarına ekleme ve playbook'ları çalıştırma.

Not: Bu rol, kullanıcıların playbook'ları değiştirmesini de sağlar.
Güvenlik mühendisleri Azure Sentinel Katkıda Bulunanı Azure Sentinel grubunun kaynak grubu Verileri, olayları, çalışma kitaplarını ve diğer Azure Sentinel görüntüleme.

Olayları atama veya çıkarma gibi olayları yönetin.

Çalışma kitapları, analiz kuralları ve diğer kaynak Azure Sentinel oluşturun ve düzenleyin.
Logic Apps Katkıda Bulunanı Azure Sentinel grubu veya playbook'ların depolandığı kaynak grubu Playbook'ları analiz ve otomasyon kurallarına ekleme ve playbook'ları çalıştırma.

Not: Bu rol, kullanıcıların playbook'ları değiştirmesini de sağlar.
Hizmet Sorumlusu Azure Sentinel Katkıda Bulunanı Azure Sentinel grubunun kaynak grubu Yönetim görevleri için otomatik yapılandırma

İpucu

Alınan veya izlemekte olduğu verilere bağlı olarak ek roller gerekebilir. Örneğin, diğer Microsoft portallarında hizmetler için veri bağlayıcıları ayarlamak için genel yönetici veya güvenlik yöneticisi rolleri gibi Azure AD rolleri gerekebilir.

Sonraki adımlar

Bu belgede, kullanıcılar için rollerle nasıl çalış Azure Sentinel ve her rolün kullanıcıların neler yapmalarına olanak yaptığını öğrendiniz.

Azure güvenliği ve uyumluluğuyla ilgili blog gönderilerini blog blog Azure Sentinel bulabilirsiniz.