Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kerrotaan, miten Microsoft Sentinel määrittää käyttöoikeuksia käyttäjärooleille sekä Microsoft Sentinel SIEM:lle että Microsoft Sentinel Data Lakelle, ja määritetään kunkin roolin sallitut toiminnot.
Microsoft Sentinel käyttää Azure roolipohjaista käyttöoikeuksien hallintaa (Azure RBAC) tarjotakseen sisäisiä ja mukautettuja rooleja Microsoft Sentinel SIEM:lle sekä Microsoft Entra ID roolipohjaisen käytön valvonnan ( Microsoft Entra ID RBAC) tarjota Microsoft Sentinel Data Lakelle valmiita ja mukautettuja rooleja.
Voit määrittää rooleja käyttäjille, ryhmille ja palveluille joko Azure tai Microsoft Entra ID.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Huomautus
Jos suoritat Microsoft Defender XDR esikatseluohjelmaa, voit nyt käyttää uutta Microsoft Defender Unified Role-Based Käyttöoikeuksien hallinta (URBAC) -mallia. Lisätietoja on artikkelissa Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC).
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Microsoft Sentinel sisäiset Azure-roolit
Seuraavia sisäisiä Azure-rooleja käytetään SIEM Microsoft Sentinel ja ne myöntävät lukuoikeuden työtilan tietoihin, mukaan lukien Microsoft Sentinel Data Lake -tuen. Määritä nämä roolit resurssiryhmätasolla parhaiden tulosten saavuttamiseksi.
| Rooli | SIEM-tuki | Data Lake -tuki |
|---|---|---|
| Microsoft Sentinel lukuohjelma | Tietojen, tapausten, työkirjojen, suositusten ja muiden resurssien tarkasteleminen | Käytä kehittynyttä analysointia ja suorita vuorovaikutteisia kyselyitä vain työtiloissa. |
| Microsoft Sentinel vastaaja | Kaikki lukijan käyttöoikeudet sekä tapausten hallinta | N/A |
| Microsoft Sentinel osallistuja | Kaikki vastaajan oikeudet sekä asennus-/päivitysratkaisut, resurssien luominen ja muokkaaminen | Käytä kehittynyttä analysointia ja suorita vuorovaikutteisia kyselyitä vain työtiloissa. |
| Microsoft Sentinel Playbook -operaattori | Luetteloi, tarkastele ja suorita manuaalisesti pelikirjoja | N/A |
| Microsoft Sentinel automaation osallistuja | Sallii Microsoft Sentinel lisätä toistokirjoja automaatiosääntöihin. Ei käytössä käyttäjätileille. | N/A |
Esimerkiksi seuraavassa taulukossa on esimerkkejä tehtävistä, joita kukin rooli voi suorittaa Microsoft Sentinel:
| Rooli | Käyttökirjojen suorittaminen | Luo tai muokkaa pelikirjoja | Luo tai muokkaa analytiikkasääntöjä, työkirjoja jne. | Tapausten hallinta | Tietojen, tapausten, työkirjojen ja suositusten tarkasteleminen | Sisältökeskuksen hallinta |
|---|---|---|---|---|---|---|
| Microsoft Sentinel lukuohjelma | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel vastaaja | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel osallistuja | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook -operaattori | ✓ | -- | -- | -- | -- | -- |
| Logic App Contributor | ✓ | ✓ | -- | -- | -- | -- |
* Työkirjan osallistujan rooli.
Suosittelemme, että määrität rooleja resurssiryhmälle, joka sisältää Microsoft Sentinel työtilan. Näin varmistetaan, että kaikki liittyvät resurssit, kuten Logic Apps ja pelikirjat, kuuluvat samojen roolimääritysten piiriin.
Voit myös määrittää roolit suoraan itse Microsoft Sentinel työtilaan. Jos teet niin, sinun on määritettävä samat roolit SecurityInsights-ratkaisuresurssille kyseisessä työtilassa. Saatat myös joutua määrittämään ne muihin resursseihin ja hallitsemaan jatkuvasti roolimäärityksiä resursseille.
Tiettyjen tehtävien lisäroolit
Käyttäjille, joilla on tiettyjä työvaatimuksia, on ehkä määritettävä muita rooleja tai tiettyjä käyttöoikeuksia, jotta he voivat suorittaa tehtävänsä. Esimerkki:
| Tehtävä | Pakolliset roolit/käyttöoikeudet |
|---|---|
| Yhdistä tietolähteet | Kirjoitusoikeudet työtilaan. Tarkista liitindokumenteista lisäoikeudet, jotka vaaditaan liitintä kohden. |
| Sisällön hallinta sisältökeskuksesta | Microsoft Sentinel Osallistuja resurssiryhmätasolla |
| Automatisoi vastauksia pelikirjojen avulla |
Microsoft Sentinel Playbook-operaattoria, jotta voit suorittaa pelikirjoja, ja Logic App Contributoria pelikirjojen luomista ja muokkaamistaksi. Microsoft Sentinel käyttää pelikirjoja automatisoituihin uhkiin vastaamiseen. Playbooks perustuu Azure Logic Appsiin, ja ne ovat erillinen Azure resurssi. Suojaustoimintatiimisi tietyille jäsenille kannattaa ehkä määrittää mahdollisuus käyttää Logic Apps for Security Orchestration-, Automation- ja Response (SOAR) -toimintoja. |
| Salli Microsoft Sentinel suorittaa pelikirjoja automaation avulla | Palvelutili tarvitsee eksplisiittiset käyttöoikeudet playbook-resurssiryhmään. tililläsi on oltava omistajan oikeudet näiden määrittämiseen. Microsoft Sentinel käyttää erityistä palvelutiliä tapausten käynnistämien pelikirjojen suorittamiseen manuaalisesti tai niiden kutsumiseen automaatiosäännöistä. Tämän tilin käyttö (toisin kuin käyttäjätilisi) parantaa palvelun suojaustasoa. Jotta voit suorittaa toistokirjan automaatiosäännön, tälle tilille on myönnettävä eksplisiittiset käyttöoikeudet resurssiryhmään, jossa toistokirja sijaitsee. Tässä vaiheessa mikä tahansa automaatiosääntö voi suorittaa minkä tahansa pelikirjan kyseisessä resurssiryhmässä. |
| Vieraskäyttäjät määrittävät tapauksia |
Hakemiston lukuohjelma AND Microsoft Sentinel Vastaaja Hakemiston lukija -rooli ei ole Azure rooli vaan Microsoft Entra ID rooli, ja tämä rooli määritetään oletusarvoisesti tavallisille (ei-tavallisille) käyttäjille. |
| Luo tai poista työkirjoja | Microsoft Sentinel osallistuja tai pienempi Microsoft Sentinel ja työkirjan osallistuja |
Muut Azure- ja Lokianalyysi-roolit
Kun määrität Microsoft Sentinel tiettyjä Azure rooleja, saatat törmätä muihin Azure ja Log Analytics -rooleihin, jotka voidaan määrittää käyttäjille muihin tarkoituksiin. Nämä roolit myöntävät laajemman käyttöoikeusjoukon, joka sisältää käyttöoikeuden Microsoft Sentinel työtilaan ja muihin resursseihin:
- Azure roolit:Omistaja, Osallistuja, Lukija– myönnä laajat käyttöoikeudet Azure resursseille.
- Log Analytics roles:Log Analytics Contributor, Log Analytics Reader – myönnä käyttöoikeus Log Analytics -työtiloihin.
Tärkeää
Roolimääritykset ovat kumulatiivisia. Käyttäjällä, jolla on sekä Microsoft Sentinel Lukija- että Osallistuja-rooli, voi olla enemmän käyttöoikeuksia kuin oli tarkoitus.
Suositellut roolimääritykset Microsoft Sentinel käyttäjille
| Käyttäjätyyppi | Rooli | Resurssiryhmä | Kuvaus |
|---|---|---|---|
| Tietoturva-analyytikot | Microsoft Sentinel vastaaja | Microsoft Sentinel resurssiryhmä | Tapausten, tietojen ja työkirjojen tarkasteleminen ja hallinta |
| Microsoft Sentinel Playbook -operaattori | Microsoft Sentinel/pelikirjan resurssiryhmä | Liitä/suorita pelikirjoja | |
| Suojausasiantuntijat | Microsoft Sentinel osallistuja | Microsoft Sentinel resurssiryhmä | Tapausten, sisällön ja resurssien hallinta |
| Logic App Contributor | Microsoft Sentinel/pelikirjan resurssiryhmä | Pelikirjojen suorittaminen ja muokkaaminen | |
| Palvelun päänimi | Microsoft Sentinel osallistuja | Microsoft Sentinel resurssiryhmä | Automaattiset hallintatehtävät |
Microsoft Sentinel Data Lake -tallennustilan roolit ja käyttöoikeudet
Jotta voit käyttää Microsoft Sentinel Data Lake -tallennustilaa, työtilasi on oltava otettuna Defender-portaaliin ja Microsoft Sentinel Data Lakeen.
Microsoft Sentinel Data Laken lukuoikeudet
Microsoft Entra ID roolit tarjoavat laajan käyttöoikeuden data lake -järjestelmän kaikkeen sisältöön. Seuraavien roolien avulla voit antaa lukuoikeuden kaikkiin Microsoft Sentinel Data Lake -järjestelmän työtiloihin, kuten kyselyjen suorittamiseen.
| Käyttöoikeustyyppi | Tuetut roolit |
|---|---|
| Lukuoikeus kaikissa työtiloissa | Käytä mitä tahansa seuraavista Microsoft Entra ID rooleista: - Yleinen lukija - Suojauksen lukija - Suojausoperaattori - Suojauksen järjestelmänvalvoja - yleinen järjestelmänvalvoja |
Vaihtoehtoisesti voit määrittää mahdollisuuden lukea taulukoita tietystä työtilasta. Käytä tällaisissa tapauksissa jotakin seuraavista:
| Tehtävät | Käyttöoikeudet |
|---|---|
| Järjestelmätaulukoiden lukuoikeudet | Käytä mukautettua Microsoft Defender XDR yhdistettyä RBAC-roolia, jolla on Microsoft Sentinel tietojen keräämisen suojaustietojen perustietojen perusoikeudet (lukuoikeudet). |
| Lukuoikeudet mihin tahansa muuhun työtilaan, joka on otettu käyttöön Microsoft Sentinel Data Lake -järjestelmässä | Käytä jotakin seuraavista valmiista rooleista Azure RBAC:ssä työtilan käyttöoikeuksia varten: - Log Analytics Reader - Log Analytics Contributor - Microsoft Sentinel osallistuja - Microsoft Sentinel lukuohjelma - Lukija - Osallistuja - Omistaja |
Microsoft Sentinel Data Laken kirjoitusoikeudet
Microsoft Entra ID roolit tarjoavat laajan käyttöoikeuden kaikkiin Data Lake -järjestelmän työtiloihin. Seuraavien roolien avulla voit antaa kirjoitusoikeuden Microsoft Sentinel Data Lake -taulukoihin:
| Käyttöoikeustyyppi | Tuetut roolit |
|---|---|
| Kirjoitus analytiikkatason taulukoihin KQL-töiden tai muistikirjojen avulla | Käytä jotakin seuraavista Microsoft Entra ID rooleista: - Suojausoperaattori - Suojauksen järjestelmänvalvoja - yleinen järjestelmänvalvoja |
| Microsoft Sentinel Data Lake -tallennustilan taulukoihin kirjoittaminen | Käytä jotakin seuraavista Microsoft Entra ID rooleista: - Suojausoperaattori - Suojauksen järjestelmänvalvoja - yleinen järjestelmänvalvoja |
Vaihtoehtoisesti voit määrittää mahdollisuuden kirjoittaa tulostetta tiettyyn työtilaan. Tämä voi sisältää mahdollisuuden määrittää yhdistimiä kyseiseen työtilaan, muokata työtilan taulukoiden säilytysasetuksia tai luoda, päivittää ja poistaa mukautettuja taulukoita kyseisessä työtilassa. Käytä tällaisissa tapauksissa jotakin seuraavista:
| Tehtävät | Käyttöoikeudet |
|---|---|
| Järjestelmätaulukoiden päivittäminen Data Lake -järjestelmässä | Käytä mukautettua Microsoft Defender XDR yhdistettyä RBAC-roolia tietojen keräämisen Microsoft Sentinel tietojen (hallinta) kanssa. |
| Mille tahansa muulle Microsoft Sentinel työtilalle Data Lake -järjestelmässä | Käytä mitä tahansa sisäistä tai mukautettua roolia, joka sisältää seuraavat Azure RBAC Microsoftin toiminnalliset merkitykselliset tiedot kyseisessä työtilassa: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Tällaisia ovat esimerkiksi sisäiset roolit, jotka sisältävät nämä oikeudet Log Analytics Contributor, Owner ja Contributor. |
Microsoft Sentinel Data Lake -tallennustilan töiden hallinta
Jotta voit luoda ajoitettuja töitä tai hallita Microsoft Sentinel Data Lake -järjestelmän töitä, sinulla on oltava jokin seuraavista Microsoft Entra ID rooleista:
Mukautetut roolit ja edistynyt RBAC
Jos haluat rajoittaa tiettyjen tietojen käyttöä, mutta et koko työtilaa, käytä resurssikontekstia RBAC tai taulukkotason RBAC. Tästä on hyötyä tiimeille, jotka tarvitsevat käyttöoikeuden vain tiettyihin tietotyyppeihin tai taulukoihin.
Muussa tapauksessa voit käyttää jotain seuraavista lisäasetusten RBAC:stä:
- Jos haluat Microsoft Sentinel SIEM-käyttöoikeuden, käytä Azure mukautettuja rooleja.
- Käytä Microsoft Sentinel Data Lakessa Defender XDR yhdistettyjä RBAC:n mukautettuja rooleja.
Aiheeseen liittyvä sisältö
Lisätietoja on artikkelissa Lokitietojen ja työtilojen hallinta Azure Monitorissa