Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur Microsoft Sentinel tilldelar behörigheter till användarroller för både Microsoft Sentinel SIEM och Microsoft Sentinel datasjö och identifierar tillåtna åtgärder för varje roll.
Microsoft Sentinel använder Azure rollbaserad åtkomstkontroll (Azure RBAC) för att tillhandahålla inbyggda och anpassade roller för Microsoft Sentinel SIEM och Microsoft Entra ID rollbaserad åtkomstkontroll ( Microsoft Entra ID RBAC) för att tillhandahålla inbyggda och anpassade roller för Microsoft Sentinel datasjö.
Du kan tilldela roller till användare, grupper och tjänster i antingen Azure eller Microsoft Entra ID.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Obs!
Om du kör Microsoft Defender XDR förhandsversionsprogram kan du nu uppleva den nya Microsoft Defender Urbac-modellen (Unified Role-Based Access Control). Mer information finns i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Inbyggda Azure roller för Microsoft Sentinel
Följande inbyggda Azure-roller används för Microsoft Sentinel SIEM och bevilja läsåtkomst till arbetsytedata, inklusive stöd för Microsoft Sentinel datasjö. Tilldela dessa roller på resursgruppsnivå för bästa resultat.
| Roll | SIEM-stöd | Stöd för Data Lake |
|---|---|---|
| Microsoft Sentinel läsare | Visa data, incidenter, arbetsböcker, rekommendationer och andra resurser | Få åtkomst till avancerad analys och kör endast interaktiva frågor på arbetsytor. |
| Microsoft Sentinel svarare | Alla läsarbehörigheter samt hantera incidenter | EJ TILLÄMPLIGT |
| Microsoft Sentinel deltagare | Alla behörigheter för svararen, samt installations-/uppdateringslösningar, skapa/redigera resurser | Få åtkomst till avancerad analys och kör endast interaktiva frågor på arbetsytor. |
| Microsoft Sentinel-spelboksoperator | Lista, visa och manuellt köra spelböcker | EJ TILLÄMPLIGT |
| Microsoft Sentinel Automation-deltagare | Tillåter Microsoft Sentinel att lägga till spelböcker i automatiseringsregler. Används inte för användarkonton. | EJ TILLÄMPLIGT |
I följande tabell visas till exempel exempel på uppgifter som varje roll kan utföra i Microsoft Sentinel:
| Roll | Köra spelböcker | Skapa/redigera spelböcker | Skapa/redigera analysregler, arbetsböcker osv. | Hantera incidenter | Visa data, incidenter, arbetsböcker, rekommendationer | Hantera innehållshubben |
|---|---|---|---|---|---|---|
| Microsoft Sentinel läsare | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel svarare | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel deltagare | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel-spelboksoperator | ✓ | -- | -- | -- | -- | -- |
| Logic App-deltagare | ✓ | ✓ | -- | -- | -- | -- |
*Med rollen Arbetsboksdeltagare .
Vi rekommenderar att du tilldelar roller till den resursgrupp som innehåller Microsoft Sentinel arbetsytan. Detta säkerställer att alla relaterade resurser, till exempel Logic Apps och spelböcker, omfattas av samma rolltilldelningar.
Som ett annat alternativ tilldelar du rollerna direkt till själva Microsoft Sentinel arbetsytan. Om du gör det måste du tilldela samma roller till SecurityInsights-lösningsresursen på arbetsytan. Du kan också behöva tilldela dem till andra resurser och kontinuerligt hantera rolltilldelningar till resurserna.
Ytterligare roller för specifika uppgifter
Användare med särskilda jobbkrav kan behöva tilldelas andra roller eller specifika behörigheter för att kunna utföra sina uppgifter. Till exempel:
| Uppgift | Nödvändiga roller/behörigheter |
|---|---|
| Ansluta datakällor | Skrivbehörighet på arbetsytan. I dokumentationen för anslutningsappen finns ytterligare behörigheter som krävs per anslutningsapp. |
| Hantera innehåll från innehållshubben | Microsoft Sentinel deltagare på resursgruppsnivå |
| Automatisera svar med spelböcker |
Microsoft Sentinel spelboksoperatör för att köra spelböcker och Logic App-deltagare för att skapa/redigera spelböcker. Microsoft Sentinel använder spelböcker för automatiserat hotsvar. Spelböcker bygger på Azure Logic Apps och är en separat Azure resurs. För specifika medlemmar i ditt säkerhetsåtgärdsteam kanske du vill tilldela möjligheten att använda Logic Apps för åtgärder för säkerhetsorkestrering, automatisering och svar (SOAR). |
| Tillåt Microsoft Sentinel att köra spelböcker via automatisering | Tjänstkontot behöver explicit behörighet till spelboksresursgruppen. ditt konto behöver ägarbehörighet för att tilldela dessa. Microsoft Sentinel använder ett särskilt tjänstkonto för att köra spelböcker för incidentutlösare manuellt eller för att anropa dem från automatiseringsregler. Användningen av det här kontot (i motsats till ditt användarkonto) ökar säkerhetsnivån för tjänsten. För att en automatiseringsregel ska kunna köra en spelbok måste det här kontot beviljas explicit behörighet till resursgruppen där spelboken finns. Då kan alla automatiseringsregler köra valfri spelbok i den resursgruppen. |
| Gästanvändare tilldelar incidenter |
Katalogläsare OCH Microsoft Sentinel svarare Katalogläsarrollen är inte en Azure roll utan en Microsoft Entra ID roll, och vanliga (icke-användare) har den här rollen tilldelad som standard. |
| Skapa/ta bort arbetsböcker | Microsoft Sentinel deltagare eller en mindre Microsoft Sentinel roll och arbetsboksdeltagare |
Andra Azure- och Log Analytics-roller
När du tilldelar Microsoft Sentinel specifika Azure roller kan du stöta på andra Azure- och Log Analytics-roller som kan tilldelas till användare för andra ändamål. Dessa roller ger en bredare uppsättning behörigheter som omfattar åtkomst till din Microsoft Sentinel arbetsyta och andra resurser:
- Azure roller:Ägare, Deltagare, Läsare – bevilja bred åtkomst över Azure resurser.
- Log Analytics-roller:Log Analytics-deltagare, Log Analytics-läsare – bevilja åtkomst till Log Analytics-arbetsytor.
Viktigt
Rolltilldelningar är kumulativa. En användare med både Microsoft Sentinel läsar- och deltagarroller kan ha fler behörigheter än avsett.
Rekommenderade rolltilldelningar för Microsoft Sentinel användare
| Användartyp | Roll | Resursgrupp | Beskrivning |
|---|---|---|---|
| Säkerhetsanalytiker | Microsoft Sentinel svarare | Microsoft Sentinel resursgrupp | Visa/hantera incidenter, data, arbetsböcker |
| Microsoft Sentinel-spelboksoperator | resursgrupp för Microsoft Sentinel/spelbok | Koppla/köra spelböcker | |
| Säkerhetstekniker | Microsoft Sentinel deltagare | Microsoft Sentinel resursgrupp | Hantera incidenter, innehåll, resurser |
| Logic App-deltagare | resursgrupp för Microsoft Sentinel/spelbok | Köra/ändra spelböcker | |
| Tjänstens huvudnamn | Microsoft Sentinel deltagare | Microsoft Sentinel resursgrupp | Automatiserade hanteringsuppgifter |
Roller och behörigheter för Microsoft Sentinel datasjö
Om du vill använda Microsoft Sentinel datasjö måste arbetsytan registreras i Defender-portalen och Microsoft Sentinel datasjö.
läsbehörigheter för Microsoft Sentinel datasjö
Microsoft Entra ID roller ger bred åtkomst till allt innehåll i datasjön. Använd följande roller för att ge läsåtkomst till alla arbetsytor i Microsoft Sentinel datasjö, till exempel för att köra frågor.
| Behörighetstyp | Roller som stöds |
|---|---|
| Läsbehörighet för alla arbetsytor | Använd någon av följande Microsoft Entra ID roller: - Global läsare - Säkerhetsläsare - Säkerhetsoperator - Säkerhetsadministratör - Global administratör |
Du kan också tilldela möjligheten att läsa tabeller inifrån en viss arbetsyta. I sådana fall använder du något av följande:
| Uppgifter | Behörigheter |
|---|---|
| Läsbehörigheter för systemtabellerna | Använd en anpassad Microsoft Defender XDR enhetlig RBAC-roll med behörigheter för säkerhetsdata (läsbehörighet) över Microsoft Sentinel datainsamling. |
| Läsbehörigheter på andra arbetsytor som är aktiverade för Microsoft Sentinel i datasjön | Använd någon av följande inbyggda roller i Azure RBAC för behörigheter på arbetsytan: - Log Analytics-läsare - Log Analytics-deltagare - Microsoft Sentinel deltagare - Microsoft Sentinel läsare - Läsare - Bidragsgivare - Ägare |
Microsoft Sentinel skrivbehörigheter för Data Lake
Microsoft Entra ID roller ger bred åtkomst till alla arbetsytor i datasjön. Använd följande roller för att ge skrivåtkomst till Microsoft Sentinel datasjötabeller:
| Behörighetstyp | Roller som stöds |
|---|---|
| Skriva till tabeller på analysnivån med hjälp av KQL-jobb eller notebook-filer | Använd någon av följande Microsoft Entra ID roller: - Säkerhetsoperator - Säkerhetsadministratör - Global administratör |
| Skriva till tabeller i Microsoft Sentinel datasjö | Använd någon av följande Microsoft Entra ID roller: - Säkerhetsoperator - Säkerhetsadministratör - Global administratör |
Alternativt kanske du vill tilldela möjligheten att skriva utdata till en viss arbetsyta. Detta kan omfatta möjligheten att konfigurera anslutningsappar till arbetsytan, ändra kvarhållningsinställningar för tabeller på arbetsytan eller skapa, uppdatera och ta bort anpassade tabeller på arbetsytan. I sådana fall använder du något av följande:
| Uppgifter | Behörigheter |
|---|---|
| Uppdatera systemtabeller i datasjön | Använd en anpassad Microsoft Defender XDR enhetlig RBAC-roll med databehörigheter (hantera) över Microsoft Sentinel datainsamling. |
| För andra Microsoft Sentinel arbetsyta i datasjön | Använd alla inbyggda eller anpassade roller som innehåller följande Azure RBAC Microsoft operational insights-behörigheter på arbetsytan: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Till exempel inbyggda roller som innehåller dessa behörigheter Log Analytics-deltagare, ägare och deltagare. |
Hantera jobb i Microsoft Sentinel datasjö
Om du vill skapa schemalagda jobb eller hantera jobb i Microsoft Sentinel datasjö måste du ha någon av följande Microsoft Entra ID roller:
Anpassade roller och avancerad RBAC
Om du vill begränsa åtkomsten till specifika data, men inte hela arbetsytan, använder du RBAC för resurskontext eller RBAC på tabellnivå. Detta är användbart för team som bara behöver åtkomst till vissa datatyper eller tabeller.
Annars använder du något av följande alternativ för avancerad RBAC:
- Använd Azure anpassade roller för Microsoft Sentinel SIEM-åtkomst.
- För Microsoft Sentinel datasjö använder du Defender XDR enhetliga anpassade RBAC-roller.
Relaterat innehåll
Mer information finns i Hantera loggdata och arbetsytor i Azure Monitor