Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen forklarer hvordan Microsoft Sentinel tilordner tillatelser til brukerroller for både Microsoft Sentinel SIEM og Microsoft Sentinel datasjø, og identifiserer de tillatte handlingene for hver rolle.
Microsoft Sentinel bruker Azure rollebasert tilgangskontroll (Azure RBAC) til å gi innebygde og egendefinerte roller for Microsoft Sentinel SIEM og Microsoft Entra ID rollebasert tilgangskontroll ( Microsoft Entra ID RBAC) for å gi innebygde og egendefinerte roller for Microsoft Sentinel data lake.
Du kan tilordne roller til brukere, grupper og tjenester i enten Azure eller Microsoft Entra ID.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Obs!
Hvis du kjører Microsoft Defender XDR forhåndsversjonsprogram, kan du nå oppleve den nye modellen Microsoft Defender Unified Role-Based Access Control (URBAC). Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Innebygde Azure roller for Microsoft Sentinel
Følgende innebygde Azure roller brukes for Microsoft Sentinel SIEM og gir lesetilgang til arbeidsområdedataene, inkludert støtte for Microsoft Sentinel datasjøen. Tilordne disse rollene på ressursgruppenivå for best resultat.
| Rolle | SIEM-støtte | Støtte for Data Lake |
|---|---|---|
| Microsoft Sentinel Leser | Vise data, hendelser, arbeidsbøker, anbefalinger og andre ressurser | Få tilgang til avansert analyse og kjør interaktive spørringer bare på arbeidsområder. |
| Microsoft Sentinel Responder | Alle lesertillatelser, i tillegg til å administrere hendelser | I/T |
| Microsoft Sentinel bidragsyter | Alle Responder-tillatelser, i tillegg til installasjons-/oppdateringsløsninger, opprett/rediger ressurser | Få tilgang til avansert analyse og kjør interaktive spørringer bare på arbeidsområder. |
| operator for Microsoft Sentinel playbook | List opp, vise og kjøre strategibøker manuelt | I/T |
| bidragsyter for Microsoft Sentinel automatisering | Lar Microsoft Sentinel legge til strategiplan i automatiseringsregler. Brukes ikke for brukerkontoer. | I/T |
Tabellen nedenfor viser for eksempel eksempler på oppgaver som hver rolle kan utføre i Microsoft Sentinel:
| Rolle | Kjør strategiplan | Opprette/redigere strategibøker | Opprett/rediger analyseregler, arbeidsbøker og så videre. | Administrer hendelser | Vise data, hendelser, arbeidsbøker, anbefalinger | Behandle innholdshub |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Leser | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel bidragsyter | -- | -- | ✓ | ✓ | ✓ | ✓ |
| operator for Microsoft Sentinel playbook | ✓ | -- | -- | -- | -- | -- |
| Logic App Contributor | ✓ | ✓ | -- | -- | -- | -- |
*Med arbeidsbokbidragsyterrolle .
Vi anbefaler at du tilordner roller til ressursgruppen som inneholder det Microsoft Sentinel arbeidsområdet. Dette sikrer at alle relaterte ressurser, for eksempel Logic Apps og playbooks, dekkes av de samme rolletildelingene.
Som et annet alternativ kan du tilordne rollene direkte til selve Microsoft Sentinel arbeidsområdet. Hvis du gjør dette, må du tilordne de samme rollene til SecurityInsights-løsningsressursen i det arbeidsområdet. Du må kanskje også tildele dem til andre ressurser og kontinuerlig administrere rolletildelinger til ressursene.
Flere roller for bestemte aktiviteter
Brukere med bestemte jobbkrav må kanskje tilordnes andre roller eller bestemte tillatelser for å kunne utføre oppgavene sine. Eksempel:
| Oppgave | Obligatoriske roller/tillatelser |
|---|---|
| Koble til datakilder | Skrivetillatelse på arbeidsområdet. Kontroller koblingsdokumenter for ekstra tillatelser som kreves per kobling. |
| Behandle innhold fra innholdshub | Microsoft Sentinel bidragsyter på ressursgruppenivå |
| Automatiser svar med strategibøker |
Microsoft Sentinel Playbook Operator, for å kjøre strategibøker og Logic App Contributor for å opprette/redigere strategibøker. Microsoft Sentinel bruker strategiplan for automatisert trusselrespons. Playbooks er bygd på Azure Logic Apps, og er en separat Azure ressurs. For bestemte medlemmer av sikkerhetsoperasjonsteamet vil du kanskje tilordne muligheten til å bruke Logic Apps for sikkerhetsorkestrerings-, automatiserings- og responsoperasjoner (SOAR). |
| Tillat Microsoft Sentinel å kjøre strategiplan via automatisering | Tjenestekontoen trenger eksplisitte tillatelser til ressursgruppen for strategiplanen. kontoen din trenger eiertillatelser for å tilordne disse. Microsoft Sentinel bruker en spesiell tjenestekonto til å kjøre hendelsesutløsende strategibøker manuelt eller til å ringe dem fra automatiseringsregler. Bruken av denne kontoen (i motsetning til brukerkontoen) øker sikkerhetsnivået for tjenesten. For at en automatiseringsregel skal kunne kjøre en strategiplan, må denne kontoen gis eksplisitte tillatelser til ressursgruppen der strategiplanen befinner seg. På dette tidspunktet kan enhver automatiseringsregel kjøre en hvilken som helst strategiplan i den ressursgruppen. |
| Gjestebrukere tilordner hendelser |
Katalogleser OG Microsoft Sentinel Responder Katalogleserrollen er ikke en Azure rolle, men en Microsoft Entra ID rolle, og vanlige (ikke-guest) brukere har denne rollen tilordnet som standard. |
| Opprette/slette arbeidsbøker | Microsoft Sentinel bidragsyter eller mindre Microsoft Sentinel rolle OG bidragsyter av arbeidsbok |
Andre Azure- og Log Analytics-roller
Når du tilordner Microsoft Sentinel spesifikke Azure roller, kan du komme over andre Azure- og Log Analytics-roller som kan tilordnes til brukere til andre formål. Disse rollene gir et bredere sett med tillatelser som inkluderer tilgang til Microsoft Sentinel arbeidsområdet og andre ressurser:
- Azure roller:Eier, Bidragsyter, Leser – gi bred tilgang på tvers av Azure ressurser.
- Log Analytics-roller:Log Analytics Contributor, Log Analytics Reader – gi tilgang til Log Analytics-arbeidsområder.
Viktig
Rolletildelinger er kumulative. En bruker med både Microsoft Sentinel leser- og bidragsyterroller kan ha flere tillatelser enn tiltenkt.
Anbefalte rolletildelinger for Microsoft Sentinel brukere
| Brukertype | Rolle | Ressursgruppe | Beskrivelse |
|---|---|---|---|
| Sikkerhetsanalytikere | Microsoft Sentinel Responder | Microsoft Sentinel ressursgruppe | Vis/administrer hendelser, data, arbeidsbøker |
| operator for Microsoft Sentinel playbook | ressursgruppe for Microsoft Sentinel/strategiplan | Legge ved / kjøre strategibøker | |
| Sikkerhetsingeniører | Microsoft Sentinel bidragsyter | Microsoft Sentinel ressursgruppe | Administrer hendelser, innhold, ressurser |
| Logic App Contributor | ressursgruppe for Microsoft Sentinel/strategiplan | Kjør/endre strategiplan | |
| Tjenestekontohaver | Microsoft Sentinel bidragsyter | Microsoft Sentinel ressursgruppe | Automatiserte administrasjonsoppgaver |
Roller og tillatelser for Microsoft Sentinel data lake
Hvis du vil bruke Microsoft Sentinel datasjøen, må arbeidsområdet være koblet til Defender-portalen og Microsoft Sentinel datasjøen.
lesetillatelser for Microsoft Sentinel datasjøen
Microsoft Entra ID roller gir bred tilgang på tvers av alt innhold i datasjøen. Bruk følgende roller til å gi lesetilgang til alle arbeidsområder i Microsoft Sentinel datasjøen, for eksempel for å kjøre spørringer.
| Tillatelsestype | Støttede roller |
|---|---|
| Lesetilgang på tvers av alle arbeidsområder | Bruk en av følgende Microsoft Entra ID roller: - Global leser - Sikkerhetsleser - Sikkerhetsoperator - Sikkerhetsadministrator - global administrator |
Alternativt kan du tilordne muligheten til å lese tabeller fra et bestemt arbeidsområde. I slike tilfeller kan du bruke ett av følgende:
| Oppgaver | Tillatelser |
|---|---|
| Lesetillatelser for systemtabellene | Bruk en egendefinert Microsoft Defender XDR enhetlig RBAC-rolle med grunnleggende sikkerhetsdatatillatelser (les) over Microsoft Sentinel datainnsamling. |
| Lesetillatelser for alle andre arbeidsområder som er aktivert for Microsoft Sentinel i datasjøen | Bruk en av følgende innebygde roller i Azure RBAC for tillatelser på dette arbeidsområdet: - Logganalyseleser - Log Analytics-bidragsyter - Microsoft Sentinel bidragsyter - Microsoft Sentinel Leser - Leseren - Bidragsyter - Eier |
skrivetillatelser for Microsoft Sentinel datasjøen
Microsoft Entra ID roller gir bred tilgang på tvers av alle arbeidsområder i datasjøen. Bruk følgende roller til å gi skrivetilgang til Microsoft Sentinel data lake-tabeller:
| Tillatelsestype | Støttede roller |
|---|---|
| Skriv til tabeller i analysenivået ved hjelp av KQL-jobber eller notatblokker | Bruk én av følgende Microsoft Entra ID roller: - Sikkerhetsoperator - Sikkerhetsadministrator - global administrator |
| Skriv til tabeller i datasjøen Microsoft Sentinel | Bruk én av følgende Microsoft Entra ID roller: - Sikkerhetsoperator - Sikkerhetsadministrator - global administrator |
Alternativt kan du tilordne muligheten til å skrive utdata til et bestemt arbeidsområde. Dette kan omfatte muligheten til å konfigurere koblinger til dette arbeidsområdet, endre oppbevaringsinnstillinger for tabeller i arbeidsområdet eller opprette, oppdatere og slette egendefinerte tabeller i arbeidsområdet. I slike tilfeller kan du bruke ett av følgende:
| Oppgaver | Tillatelser |
|---|---|
| Oppdatere systemtabeller i datasjøen | Bruk en egendefinert Microsoft Defender XDR enhetlig RBAC-rolle med datatillatelser (behandle) over Microsoft Sentinel datainnsamling. |
| For andre Microsoft Sentinel arbeidsområder i datasjøen | Bruk alle innebygde eller egendefinerte roller som inkluderer følgende Azure RBAC Microsofts driftsinnsiktstillatelser på dette arbeidsområdet: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Innebygde roller som for eksempel inkluderer disse tillatelsene Log Analytics Contributor, Owner og Contributor. |
Administrer jobber i datasjøen Microsoft Sentinel
Hvis du vil opprette planlagte jobber eller administrere jobber i Microsoft Sentinel datasjøen, må du ha én av følgende Microsoft Entra ID roller:
Egendefinerte roller og avansert RBAC
Hvis du vil begrense tilgangen til bestemte data, men ikke hele arbeidsområdet, kan du bruke RBAC på ressurskontekst eller RBAC på tabellnivå. Dette er nyttig for team som trenger tilgang til bare bestemte datatyper eller tabeller.
Ellers kan du bruke ett av følgende alternativer for avansert RBAC:
- Bruk Azure egendefinerte roller for Microsoft Sentinel SIEM-tilgang.
- Bruk Defender XDR enhetlige RBAC-egendefinerte roller for Microsoft Sentinel datasjøen.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se Behandle loggdata og arbeidsområder i Azure Monitor