重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将在 2026 年 8 月 18 日于中国地区的 Azure 上正式停用。
本文介绍如何Microsoft Sentinel为Microsoft Sentinel SIEM 的用户角色分配权限,从而标识每个角色的允许操作。
Microsoft Sentinel使用 Azure 基于角色的访问控制(Azure RBAC)为 Microsoft Sentinel SIEM 提供内置和自定义角色。
可以在 Azure 或 Microsoft Entra ID 中为用户、组和服务分配角色。
重要
Azure建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
内置的 Azure 角色用于 Microsoft Sentinel
以下内置 Azure 角色用于 Microsoft Sentinel SIEM,并授予对工作区数据的读取访问权限。 在资源组级别分配这些角色以获取最佳结果。
| 角色 | SIEM 支持 |
|---|---|
| Microsoft Sentinel Reader | 查看数据、事件、工作簿、建议和其他资源 |
| Microsoft Sentinel应答者 | 所有读者权限,以及管理事件 |
| Microsoft Sentinel 参与者 | 所有响应者权限,以及安装/更新解决方案、创建/编辑资源 |
| Microsoft Sentinel Playbook 操作员 | 列出、查看和手动运行 playbook |
| Microsoft Sentinel 自动化参与者 | 允许Microsoft Sentinel将剧本添加到自动化规则。 不用于用户帐户。 |
例如,下表显示了每个角色可以在Microsoft Sentinel中执行的任务示例:
| 角色 | 运行 playbook | 创建和编辑操作手册 | 创建/编辑分析规则、工作簿等。 | 管理事件 | 查看数据、事件、工作簿、建议 | 管理内容中心 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Reader | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel应答者 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 参与者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook 操作员 | ✓ | -- | -- | -- | -- | -- |
| 逻辑应用参与者 | ✓ | ✓ | -- | -- | -- | -- |
*具有工作簿参与者角色。
建议您将角色分配给包含 Microsoft Sentinel 工作区的资源组。 这可确保所有相关资源(如“Logic Apps”和“playbooks”)都由相同的角色分配涵盖。
作为另一个选项,将角色直接分配给 Microsoft Sentinel workspace 本身。 如果执行此操作,必须向该工作区中的 SecurityInsights 解决方案资源分配相同的角色。 可能还需要将它们分配给其他资源,并持续管理对资源的角色分配。
特定任务的其他角色
具有特定作业要求的用户可能需要分配有其他角色或特定的权限才能完成其任务。 例如:
| 任务 | 所需的角色/权限 |
|---|---|
| 连接数据源 | 对工作区的写入权限。 检查连接器文档,了解每个连接器所需的额外权限。 |
| 从内容中心管理内容 | 资源组级别的Microsoft Sentinel参与者 |
| 使用 playbook 自动响应 |
Microsoft Sentinel Playbook 操作员用于运行 playbooks,Logic App 参与者用于创建/编辑 playbooks。 Microsoft Sentinel 使用剧本进行自动化威胁响应。 Playbook 基于Azure Logic Apps构建,是单独的Azure资源。 对于安全运营团队的特定成员,你可能希望分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 |
| 允许 Microsoft Sentinel 通过自动化运行 playbook | 服务帐户需要对 playbook 资源组具有显式权限;你的帐户需要 所有者 权限才能分配这些权限。 Microsoft Sentinel使用一个特殊的服务帐户来手动运行事件触发的剧本,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。 为使自动化规则运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都可以运行该资源组中的任何工作手册。 |
| 来宾用户分配事件 |
Directory Reader AND Microsoft Sentinel 响应者 目录读取者角色不是 Azure 角色,而是 Microsoft Entra ID 角色,常规(非来宾)用户被默认分配此角色。 |
| 创建/删除工作簿 | Microsoft Sentinel 贡献者或较小的 Microsoft Sentinel 角色 并且 Workbook 贡献者 |
其他 Azure 和 Log Analytics 角色
在分配 Microsoft Sentinel 特定的 Azure 角色时,您可能会遇到其他 Azure 和 Log Analytics 角色,这些角色可能为其他目的分配给用户。 这些角色授予更广泛的权限集,包括访问Microsoft Sentinel工作区和其他资源:
- Azure roles:Owner、Contributor、Reader – 跨Azure资源授予广泛访问权限。
- Log Analytics roles:Log Analytics 参与者、Log Analytics 阅读者 - 授予对 Log Analytics 工作区的访问权限。
重要
角色的分配是渐进累积的。 具有 Microsoft Sentinel Reader 和 Contributor 角色的用户可能具有比预期更多的权限。
Microsoft Sentinel用户的建议角色分配
| 用户类型 | 角色 | 资源组 | 说明 |
|---|---|---|---|
| 安全分析师 | Microsoft Sentinel响应者 | Microsoft Sentinel资源组 | 查看/管理事件、数据、工作簿 |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel/playbook 资源组 | 附加/运行 playbook | |
| 安全工程师 | Microsoft Sentinel 参与者 | Microsoft Sentinel资源组 | 管理事件、内容、资源 |
| 逻辑应用贡献者 | Microsoft Sentinel/playbook 资源组 | 运行/修改剧本 | |
| 服务主体 | Microsoft Sentinel 参与者 | Microsoft Sentinel资源组 | 自动管理任务 |
自定义角色和高级基于角色的访问控制(RBAC)
若要限制对特定数据(而不是整个工作区)的访问,请使用 资源上下文 RBAC 或 表级 RBAC。 这对于需要访问特定数据类型或表的团队非常有用。
否则,请使用以下选项进行高级 RBAC 设置:
- 使用 Azure 自定义角色。
相关内容
有关详细信息,请参阅 在 Azure Monitor 中管理日志数据和工作区