Microsoft Sentinel 中的角色和权限
本文介绍了 Microsoft Sentinel 如何将权限分配给用户角色,并确定每个角色允许进行的操作。 Microsoft Sentinel 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色。 本文是 Microsoft Sentinel 部署指南的一部分。
在你的安全运营团队中使用 Azure RBAC 创建和分配角色,用来对 Microsoft Sentinel 授予适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在 Microsoft Sentinel 工作区中分配 Azure 角色(参阅下文),或者在工作区所属的订阅或资源组中进行分配,Microsoft Sentinel 会继承该订阅或资源组。
在 Microsoft Sentinel 中工作的角色和权限
特定于 Microsoft Sentinel 的角色
所有 Microsoft Sentinel 内置角色都授予对 Microsoft Sentinel 工作区中数据的读取访问权限。
Microsoft Sentinel 读取者可查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
除了上述权限外,Microsoft Sentinel 响应方还可以管理事件(分配、关闭等)。
除上述权限外,Microsoft Sentinel 参与者还可安装和更新来自内容中心的解决方案,创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
Microsoft Sentinel Playbook 操作员可以列出、查看和手动运行 playbook。
Microsoft Sentinel 自动化参与者允许 Microsoft Sentinel 向自动化规则中添加 playbook。 它不适用于用户帐户。
注意
为获得最佳结果,请向包含 Microsoft Sentinel 工作区的资源组分配这些角色。 这样,角色将应用于支持 Microsoft Sentinel 的所有资源,因为这些资源也应该放在同一个资源组中。
另一种选择是直接向 Microsoft Sentinel 工作区分配角色。 如果执行此操作,则还必须向该工作区中的 SecurityInsights 解决方案资源分配相同的角色。 你可能还需要向其他资源分配角色,并需要持续管理资源的角色分配。
其他角色和权限
具有特定作业要求的用户可能需要分配有其他角色或特定的权限才能完成其任务。
安装并管理现成内容
从 Microsoft Sentinel 中的内容中心查找端到端产品或独立内容的打包解决方案。 若要从内容中心安装并管理内容,请在资源组级别分配“Microsoft Sentinel 参与者”角色。
使用剧本自动应对威胁
Microsoft Sentinel 使用 playbook 进行自动化威胁响应。 playbook 基于 Azure 逻辑应用构建,是一种独立的 Azure 资源。 对于安全运营团队的特定成员,你可能希望分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 可以使用 Microsoft Sentinel Playbook 操作员角色分配显式的有限权限来运行 playbook,并使用逻辑应用参与者角色来创建和编辑 playbook。
向 Microsoft Sentinel 授予运行剧本所需的权限
Microsoft Sentinel 使用特殊服务帐户手动运行事件触发器 playbook,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。
为使自动化规则运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都将能够运行该资源组中的任何 playbook。 若要向此服务帐户授予这些权限,帐户必须对包含 playbook 的资源组具有“所有者”权限。
将数据源连接到 Microsoft Sentinel
要使用户能够添加数据连接器,必须在 Microsoft Sentinel 工作区上为用户分配写入权限。 请注意,每个连接器所需的额外权限,如相关的连接器页中所列。
允许来宾用户分配事件
如果来宾用户需要能够分配事件,除了 Microsoft Sentinel 响应方角色之外,还需要将目录读取者分配给用户。 请注意,目录读取者角色不是 Azure 角色,而是 Microsoft Entra 角色。默认情况下,常规(非来宾)用户分配有此角色。
创建和删除工作簿
若要创建和删除 Microsoft Sentinel 工作簿,用户需要 Microsoft Sentinel 参与者角色或更低的 Microsoft Sentinel 角色以及工作簿参与者 Azure Monitor 角色。 此角色不是使用工作簿所必需的,仅用于创建和删除。
你可能会看到分配的 Azure 和 Log Analytics 角色
分配特定于 Microsoft Sentinel 的 Azure 角色时,你可能会遇到为用户分配的用于其他用途的其他 Azure 和 Log Analytics 角色。 请注意,这些角色授予更广泛的权限集,包括访问 Microsoft Sentinel 工作区和其他资源的权限:
Azure 角色:所有者、参与者和读取者。 Azure 角色对所有的 Azure 资源授予权限,包括 Log Analytics 工作区和 Microsoft Sentinel 资源。
Log Analytics 角色:Log Analytics 参与者和 Log Analytics 读取者。 Log Analytics 角色授予对 Log Analytics 工作区的访问权限。
例如,分配有 Microsoft Sentinel 读取者角色但未分配有 Microsoft Sentinel 参与者角色的用户仍然可以在 Microsoft Sentinel 中编辑项目,前提是该用户还分配有 Azure 级别的参与者角色。 因此,如果你只想在 Microsoft Sentinel 中向用户授予权限,请仔细将用户此前的权限删除,确保不会中断对其他资源的任何所需访问。
Microsoft Sentinel 角色、权限和允许的操作
此表总结了 Microsoft Sentinel 角色及其在 Microsoft Sentinel 中允许的操作。
| 角色 | 查看和运行 playbook | 创建和编辑 playbook | 创建和编辑分析规则、工作簿和其他 Microsoft Sentinel 资源 | 管理事件(关闭事件、分配事件,等等) | 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源 | 从内容中心安装和管理内容 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 读取者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 响应者 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 参与者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook 操作员 | ✓ | -- | -- | -- | -- | -- |
| 逻辑应用参与者 | ✓ | ✓ | -- | -- | -- | -- |
* 具有这些角色的用户可以使用工作簿参与者角色创建和删除工作簿。 了解其他角色和权限。
查看角色建议,了解在 SOC 中为哪些用户分配哪些角色。
自定义角色和高级 Azure RBAC
自定义角色。 除了使用 Azure 内置角色外,你还可以为 Microsoft Sentinel 创建 Azure 定制角色,或者用创建的定制角色替代 Azure 的内置角色。 Microsoft Sentinel 的 Azure 自定义角色的创建方式与 Azure 自定义角色的创建方式相同,它们基于特定于 Microsoft Sentinel 的权限和特定于 Azure Log Analytics 资源的权限。
Log Analytics RBAC。 可以对 Microsoft Sentinel 工作区中的数据使用 Log Analytics 高级 Azure RBAC。 这包括基于数据类型的 Azure RBAC 和资源上下文 Azure RBAC。 若要了解详细信息,请访问以下链接:
资源上下文和表级 RBAC 是两种方法,可提供对 Microsoft Sentinel 工作区中特定数据的访问权限,无需允许访问整个 Microsoft Sentinel 体验。
角色和权限建议
了解 Microsoft Sentinel 中角色和权限的工作原理后,可以查看这些将角色应用于用户的最佳实践:
| 用户类型 | 职位 | 资源组 | 说明 |
|---|---|---|---|
| 安全分析师 | Microsoft Sentinel 响应者 | Microsoft Sentinel 的资源组 | 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。 管理事件(例如分配或关闭事件)。 |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel 的资源组,或存储 playbook 的资源组 | 将 playbook 附加到分析和自动化规则。 运行 playbook。 |
|
| 安全工程师 | Microsoft Sentinel 参与者 | Microsoft Sentinel 的资源组 | 查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。 管理事件(例如分配或关闭事件)。 创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。 从内容中心安装和更新解决方案。 |
| 逻辑应用参与者 | Microsoft Sentinel 的资源组,或存储 playbook 的资源组 | 将 playbook 附加到分析和自动化规则。 运行并修改 playbook。 |
|
| Service Principal | Microsoft Sentinel 参与者 | Microsoft Sentinel 的资源组 | 管理任务的自动配置 |
提示
可能需要更多角色,具体取决于所引入或监视的数据。 例如,可能需要 Microsoft Entra 角色(如“全局管理员”或“安全管理员”角色)才能为 Microsoft 门户中的其他服务设置数据连接器。
基于资源的访问控制
你的一些用户可能只需要访问你的 Microsoft Sentinel 工作区中的特定数据,而不应具有对整个 Microsoft Sentinel 环境的访问权限。 例如,你可能想要为非安全操作(非 SOC)团队提供对其所拥有的服务器的 Windows 事件数据的访问权限。
在此类情况下,建议根据允许用户使用的资源来配置基于角色的访问控制 (RBAC),而不是向他们提供对 Microsoft Sentinel 工作区或特定 Microsoft Sentinel 功能的访问权限。 此方法也称为设置资源上下文 RBAC。 了解有关 RBAC 的详细信息
后续步骤
在本文中,你学习了如何使用 Microsoft Sentinel 用户的角色,以及每个角色允许用户进行的操作。