重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,Microsoft Sentinel 的所有功能将在中国区域的 Azure 中正式停用。
本文介绍了Microsoft Sentinel 如何为 Microsoft Sentinel SIEM 的用户角色分配权限,从而标识每个角色的允许作。
Microsoft Sentinel 使用 Azure 基于角色的访问控制(Azure RBAC) 为 Microsoft Sentinel SIEM 提供内置和自定义角色。 可将角色分配给 Azure 中的用户、组和服务。
重要
Azure 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
Microsoft Sentinel 的内置 Azure 角色
以下内置 Azure 角色用于Microsoft Sentinel SIEM,并授予对工作区数据的读取访问权限。 在资源组级别分配这些角色以获取最佳结果。
| 角色 | SIEM 支持 |
|---|---|
| Microsoft Sentinel 读者 | 查看数据、事件、工作簿和其他资源 |
| Microsoft Sentinel 响应者 | 所有读者权限,以及管理事件 |
| Microsoft Sentinel 参与者 | 所有响应者权限,以及安装/更新解决方案、创建/编辑资源 |
| Microsoft Sentinel Playbook 操作员 | 列出、查看和手动运行 playbook |
| Microsoft Sentinel 自动化参与者 | 允许 Microsoft Sentinel 将剧本添加到自动化规则中。 不用于用户帐户。 |
例如,下表显示了每个角色可以在 Microsoft Sentinel 中执行的任务示例:
| 角色 | 运行 playbook | 创建和编辑操作手册 | 创建/编辑分析规则、工作簿等。 | 管理事件 | 查看数据、事件、工作簿 | 管理内容中心 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 读者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 响应者 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 参与者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook 操作员 | ✓ | -- | -- | -- | -- | -- |
| 逻辑应用参与者 | ✓ | ✓ | -- | -- | -- | -- |
*具有工作簿参与者角色。
建议将角色分配给包含 Microsoft Sentinel 工作区的资源组。 这可确保所有相关资源(如“Logic Apps”和“playbooks”)都由相同的角色分配涵盖。
另一种选择是直接向 Microsoft Sentinel 工作区分配角色。 如果执行此操作,必须向该工作区中的 SecurityInsights 解决方案资源分配相同的角色。 可能还需要将它们分配给其他资源,并持续管理对资源的角色分配。
特定任务的其他角色
具有特定作业要求的用户可能需要分配有其他角色或特定的权限才能完成其任务。 例如:
| 任务 | 所需的角色/权限 |
|---|---|
| 连接数据源 | 对工作区的写入权限。 检查连接器文档,了解每个连接器所需的额外权限。 |
| 从内容中心管理内容 | 在资源组级别的 Microsoft Sentinel 参与者 |
| 使用 playbook 自动响应 |
Microsoft Sentinel Playbook 操作员用于运行 playbook,逻辑应用参与者用来创建/编辑 playbook。 Microsoft Sentinel 使用 playbook 进行自动化威胁响应。 playbook 基于 Azure 逻辑应用构建,是一种独立的 Azure 资源。 对于安全运营团队的特定成员,你可能希望分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 |
| 允许 Microsoft Sentinel 通过自动化运行 playbook | 服务帐户需要对 playbook 资源组具有显式权限;你的帐户需要 所有者 权限才能分配这些权限。 Microsoft Sentinel 使用特殊服务帐户手动运行事件触发器 playbook,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。 为使自动化规则运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都将能够运行该资源组中的任何 playbook。 |
| 来宾用户分配事件 |
目录读取器 AND Microsoft Sentinel 响应程序 目录读取角色不是 Azure 角色,而是 Microsoft Entra ID 角色,普通用户默认被分配此角色。 |
| 创建/删除工作簿 | Microsoft Sentinel 参与者或等级更低的 Microsoft Sentinel 角色 AND 工作簿参与者 |
其他 Azure 和 Log Analytics 角色
分配特定于 Microsoft Sentinel 的 Azure 角色时,你可能会遇到可能向用户分配的用于其他用途的其他 Azure 和 Log Analytics 角色。 这些角色会授予更广泛的一组权限,包括访问 Microsoft Sentinel 工作区和其他资源的权限:
- Azure 角色:所有者、 参与者、 读者 – 跨 Azure 资源授予广泛访问权限。
- Log Analytics 角色:Log Analytics 参与者、Log Analytics读取者 - 授予对 Log Analytics 工作区的访问权限。
重要
角色的分配是渐进累积的。 具有 Microsoft Sentinel 读者 和 参与者 角色的用户可能具有比预期更多的权限。
Microsoft Sentinel 用户的建议角色分配
| 用户类型 | 角色 | 资源组 | 说明 |
|---|---|---|---|
| 安全分析师 | Microsoft Sentinel 响应者 | Microsoft Sentinel 资源组 | 查看/管理事件、数据、工作簿 |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel/playbook 资源组 | 附加/运行 playbook | |
| 安全工程师 | Microsoft Sentinel 参与者 | Microsoft Sentinel 资源组 | 管理事件、内容、资源 |
| 逻辑应用参与者 | Microsoft Sentinel/playbook 资源组 | 运行/修改剧本 | |
| 服务主体 | Microsoft Sentinel 参与者 | Microsoft Sentinel 资源组 | 自动管理任务 |
自定义角色和高级基于角色的访问控制(RBAC)
若要限制对特定数据(而不是整个工作区)的访问,请使用 资源上下文 RBAC 或 表级 RBAC。 这对于需要访问特定数据类型或表的团队非常有用。
否则,对高级 RBAC 使用以下选项:
- 使用 Azure 自定义角色。
相关内容
有关详细信息,请参阅 管理 Azure Monitor 中的日志数据和工作区