Microsoft Sentinel 中的角色與權限
本文說明 Microsoft Sentinel 如何將許可權指派給使用者角色,並識別每個角色的允許動作。 Microsoft Sentinel 使用 Azure 角色型訪問控制 (Azure RBAC) 來提供 內建角色 ,可指派給 Azure 中的使用者、群組和服務。 本文是 Microsoft Sentinel 的部署指南的一部分。
您可以使用 Azure RBAC 來建立和指派安全性作業小組中的角色,以授與 Microsoft Sentinel 的適當存取權。 不同的角色可讓您更精細地控制 Microsoft Sentinel 使用者可以看到和執行的動作。 Azure 角色可以直接在 Microsoft Sentinel 工作區中指派,或在工作區所屬的訂用帳戶或資源群組中指派,Microsoft Sentinel 會繼承這些角色。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Sentinel 中工作的角色和許可權
使用內建角色授與工作區中數據的適當存取權。 視使用者的工作工作而定,您可能需要授與更多角色或特定許可權。
Microsoft Sentinel 特定角色
所有 Microsoft Sentinel 內建角色都會授與 Microsoft Sentinel 工作區中數據的讀取許可權。
Microsoft Sentinel 讀者可檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。
Microsoft Sentinel 回應程式 除了 Microsoft Sentinel 讀者的許可權之外,還可以管理指派、關閉和變更事件等事件。
除了 Microsoft Sentinel 回應者的許可權之外,Microsoft Sentinel 參與者 還可以從內容中樞安裝及更新解決方案,以及建立和編輯 Microsoft Sentinel 資源,例如活頁簿、分析規則等等。
Microsoft Sentinel 劇本操作員 可以列出、檢視及手動執行劇本。
Microsoft Sentinel 自動化參與者可讓 Microsoft Sentinel 將劇本新增至自動化規則。 但不適用於使用者帳戶。
為了獲得最佳結果,請將這些角色指派給 包含 Microsoft Sentinel 工作區的資源群組 。 如此一來,角色會套用至支援 Microsoft Sentinel 的所有資源,因為這些資源也應該放在相同的資源群組中。
另一個選項是直接將角色指派給 Microsoft Sentinel 工作區 本身。 如果您這樣做,您必須將相同的角色指派給該工作區中的 SecurityInsights 解決方案資源 。 您可能也需要將它們指派給其他資源,並持續管理資源的角色指派。
其他角色和許可權
具有特定作業需求的使用者可能需要指派其他角色或特定許可權,才能完成其工作。
安裝及管理現用內容
從 Microsoft Sentinel 中樞尋找端對端產品或獨立內容的封裝解決方案。 若要從內容中樞安裝和管理內容,請在資源群組層級指派 Microsoft Sentinel 參與者 角色。
使用劇本自動回應威脅
Microsoft Sentinel 使用劇本將對威脅的回應自動化。 劇本是以 Azure Logic Apps 為基礎所建置,而且是獨立的 Azure 資源。 針對安全性作業小組的特定成員,您可能想要指派使用Logic Apps進行安全性協調流程、自動化和回應 (SOAR) 作業的能力。 您可以使用 Microsoft Sentinel 劇本操作員 角色來指派明確、有限的執行劇本許可權,以及 邏輯應用程式參與者 角色來建立和編輯劇本。
授與 Microsoft Sentinel 執行劇本的許可權
Microsoft Sentinel 會使用特殊服務帳戶手動執行事件觸發程序劇本,或透過自動化規則呼叫劇本。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。
若要讓自動化規則執行劇本,此帳戶必須授與劇本所在資源群組的明確許可權。 此時,任何自動化規則都可以在該資源群組中執行任何劇本。 若要將這些許可權授與此服務帳戶,您的帳戶必須具有 包含劇本的資源群組擁有者 許可權。
將數據源 連線 至 Microsoft Sentinel
若要讓使用者新增數據連接器,您必須在 Microsoft Sentinel 工作區上指派使用者 寫入 許可權。 請注意每個連接器的必要額外許可權,如相關連接器頁面上所列。
允許來賓使用者指派事件
如果來賓用戶必須能夠指派事件,除了 Microsoft Sentinel 回應程式角色之外,您還需要將目錄讀取者角色指派給使用者。 目錄讀取者角色不是 Azure 角色,而是 Microsoft Entra 角色,而一般(非貴用戶)預設會指派此角色。
建立和刪除活頁簿
若要建立和刪除 Microsoft Sentinel 活頁簿,使用者需要 Microsoft Sentinel 參與者角色或較小的 Microsoft Sentinel 角色,以及活頁簿參與者 Azure 監視器角色。 使用活頁簿不需要此角色,僅適用於建立和刪除。
您可能會看到指派的 Azure 和 Log Analytics 角色
當您指派 Microsoft Sentinel 特定的 Azure 角色時,您可能會遇到其他 Azure 和 Log Analytics 角色,這些角色可能會因其他用途而指派給使用者。 這些角色會授與一組更廣泛的許可權,包括存取您的 Microsoft Sentinel 工作區和其他資源:
Azure 角色:擁有者、 參與者和 讀者。 Azure 角色會授與所有 Azure 資源的存取權,包括 Log Analytics 工作區和 Microsoft Sentinel 資源。
Log Analytics 角色:Log Analytics 參與者 和 Log Analytics 讀取器。 Log Analytics 角色會授與您 Log Analytics 工作區的存取權。
例如,指派 Microsoft Sentinel 讀者 角色,但不是 Microsoft Sentinel 參與者 角色的使用者,如果該使用者也獲指派 Azure 層級 參與者 角色,仍然可以編輯 Microsoft Sentinel 中的專案。 因此,如果您想要只在 Microsoft Sentinel 中將許可權授與使用者,請小心移除此使用者先前的許可權,確保您不會中斷對另一個資源的任何必要存取權。
Microsoft Sentinel 角色、許可權和允許的動作
下表摘要說明 Microsoft Sentinel 角色及其在 Microsoft Sentinel 中允許的動作。
| 角色 | 檢視和執行劇本 | 建立和編輯劇本 | 建立和編輯分析規則、活頁簿和其他 Microsoft Sentinel 資源 | 管理事件(關閉、指派等) | 檢視數據、事件、活頁簿和其他 Microsoft Sentinel 資源 | 從內容中樞安裝和管理內容 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 讀者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 回應程式 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 參與者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel 劇本操作員 | ✓ | -- | -- | -- | -- | -- |
| 邏輯應用程式參與者 | ✓ | ✓ | -- | -- | -- | -- |
* 具有這些角色的使用者可以使用活頁簿參與者角色來建立和刪除活頁簿。 瞭解 其他角色和許可權。
檢閱 要指派給SOC中哪些使用者的角色建議 。
自訂角色和進階 Azure RBAC
自訂角色。 除了或使用 Azure 內建角色之外,您還可以為 Microsoft Sentinel 建立 Azure 自定義角色。 您可以使用與 Azure 自定義角色相同的方式,根據 Microsoft Sentinel 和 Azure Log Analytics 資源的特定許可權,為 Microsoft Sentinel 建立 Azure 自定義角色。
Log Analytics RBAC。 您可以在 Microsoft Sentinel 工作區中的數據使用 Log Analytics 進階 Azure RBAC。 這包括以數據類型為基礎的 Azure RBAC 和資源內容 Azure RBAC。 若要深入了解:
資源內容和數據表層級 RBAC 是兩種方式,可讓您存取 Microsoft Sentinel 工作區中的特定數據,而不允許存取整個 Microsoft Sentinel 體驗。
角色和許可權建議
瞭解角色和許可權在 Microsoft Sentinel 中的運作方式之後,您可以檢閱這些最佳做法,以將角色套用至使用者:
| 使用者類型 | 角色 | 資源群組 | 描述 |
|---|---|---|---|
| 安全性分析師 | Microsoft Sentinel 回應程式 | Microsoft Sentinel 的資源群組 | 檢視數據、事件、活頁簿和其他 Microsoft Sentinel 資源。 管理事件,例如指派或關閉事件。 |
| Microsoft Sentinel 劇本操作員 | Microsoft Sentinel 的資源群組,或儲存劇本的資源群組 | 將劇本附加至分析和自動化規則。 執行劇本。 |
|
| 安全性工程師 | Microsoft Sentinel 參與者 | Microsoft Sentinel 的資源群組 | 檢視數據、事件、活頁簿和其他 Microsoft Sentinel 資源。 管理事件,例如指派或關閉事件。 建立和編輯活頁簿、分析規則和其他 Microsoft Sentinel 資源。 從內容中樞安裝及更新解決方案。 |
| Logic Apps 參與者 | Microsoft Sentinel 的資源群組,或儲存劇本的資源群組 | 將劇本附加至分析和自動化規則。 執行和修改劇本。 |
|
| 服務主體 | Microsoft Sentinel 參與者 | Microsoft Sentinel 的資源群組 | 管理工作的自動化設定 |
視您內嵌或監視的數據而定,可能需要更多角色。 例如,可能需要 Microsoft Entra 角色,例如 Global 管理員 istrator 或 Security 管理員 istrator 角色,以在其他 Microsoft 入口網站中設定服務的數據連接器。
以資源為基礎的訪問控制
您可能有一些使用者只需要存取 Microsoft Sentinel 工作區中的特定數據,但不應該存取整個 Microsoft Sentinel 環境。 例如,您可能想要在安全性作業之外提供小組,以存取他們所擁有的伺服器之 Windows 事件數據。
在這種情況下,建議您根據允許使用者的資源來設定角色型訪問控制 (RBAC),而不是提供他們 Microsoft Sentinel 工作區或特定 Microsoft Sentinel 功能的存取權。 這個方法也稱為設定資源內容 RBAC。 如需詳細資訊,請參閱 依資源管理 Microsoft Sentinel 數據的存取權。
下一步
在本文中,您已瞭解如何使用 Microsoft Sentinel 使用者的角色,以及每個角色可讓使用者執行的動作。