Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo Microsoft Sentinel asigna permisos a roles de usuario tanto para siEM de Microsoft Sentinel como para el lago de datos de Microsoft Sentinel, lo que identifica las acciones permitidas para cada rol.
Microsoft Sentinel usa el Control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados y personalizados para SIEM de Microsoft Sentinel y el control de acceso basado en rol de Microsoft Entra ID (RBAC de Microsoft Entra ID) para proporcionar roles integrados y personalizados para el lago de datos de Microsoft Sentinel.
Puede asignar roles a usuarios, grupos y servicios en Azure o microsoft Entra ID.
Important
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Important
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Roles integrados de Azure para Microsoft Sentinel
Los siguientes roles integrados de Azure se usan para SIEM de Microsoft Sentinel y conceden acceso de lectura a los datos del área de trabajo, incluida la compatibilidad con el lago de datos de Microsoft Sentinel. Asigne estos roles en el nivel de grupo de recursos para obtener los mejores resultados.
| Role | Compatibilidad con SIEM | Compatibilidad con Data Lake |
|---|---|---|
| Lector de Microsoft Sentinel | Visualización de datos, incidentes, libros, recomendaciones y otros recursos | Acceda a análisis avanzados y ejecute consultas interactivas solo en áreas de trabajo. |
| Respondedor de Microsoft Sentinel | Todos los permisos de Reader, además de administrar incidentes | N/A |
| Colaborador de Microsoft Sentinel | Todos los permisos de respondedor, además de las soluciones de instalación o actualización, crear o editar recursos | Acceda a análisis avanzados y ejecute consultas interactivas solo en áreas de trabajo. |
| Operador de cuaderno de estrategias de Microsoft Sentinel | Enumerar, ver y ejecutar manualmente cuadernos de estrategias | N/A |
| Colaborador de automatización de Microsoft Sentinel | Permite a Microsoft Sentinel agregar cuadernos de estrategias a reglas de automatización. No se usa para las cuentas de usuario. | N/A |
Por ejemplo, en la tabla siguiente se muestran ejemplos de tareas que cada rol puede realizar en Microsoft Sentinel:
| Role | Ejecutar cuadernos de estrategias | Crear o editar cuadernos de estrategias | Crear o editar reglas de análisis, libros de trabajo, etc. | Administración de incidentes | Ver datos, incidentes, cuadernos, recomendaciones | Administración del centro de contenido |
|---|---|---|---|---|---|---|
| Lector de Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondedor de Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Colaborador de Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador de cuaderno de estrategias de Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Colaborador de aplicaciones lógicas | ✓ | ✓ | -- | -- | -- | -- |
*Con el rol Colaborador del libro de trabajo.
Se recomienda asignar roles al grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. Esto garantiza que todos los recursos relacionados, como Logic Apps y cuadernos de estrategias, estén cubiertos por las mismas asignaciones de roles.
Como otra opción, asigne los roles directamente al propio área de trabajo de Microsoft Sentinel. Si lo hace, debe asignar los mismos roles en el recurso de la solución SecurityInsights de esa área de trabajo. También es posible que tenga que asignarlos a otros recursos y administrar continuamente las asignaciones de roles a los recursos.
Roles adicionales para tareas específicas
Es posible que sea necesario asignar otros roles o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas. Por ejemplo:
| Task | Roles y permisos necesarios |
|---|---|
| Conexión con orígenes de datos | Permiso de Escritura en el área de trabajo. Compruebe los documentos del conector para obtener permisos adicionales necesarios por conector. |
| Administrar contenido desde el centro de contenido | Colaborador de Microsoft Sentinel en el nivel de grupo de recursos |
| Automatización de respuestas con cuadernos de estrategias |
Operador de libros de estrategias de Microsoft Sentinel, para ejecutar libros de estrategias, y Colaborador de Logic App para crear o editar libros de estrategias. Microsoft Sentinel usa cuadernos de estrategias para la respuesta automatizada a amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son recursos independientes de Azure. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la posibilidad de usar Logic Apps para las operaciones de orquestación de seguridad, automatización y respuesta (SOAR). |
| Permitir que Microsoft Sentinel ejecute cuadernos de estrategias mediante automatización | La cuenta de servicio necesita permisos explícitos para el grupo de recursos del cuaderno de estrategias; la cuenta necesita permisos de Propietario para asignarlos. Microsoft Sentinel usa una cuenta de servicio especial para ejecutar cuadernos de estrategias de desencadenador de incidentes manualmente o para llamarlos desde reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio. Para que una regla de automatización ejecute un cuaderno de estrategias, se deben conceder a esta cuenta permisos explícitos para acceder al grupo de recursos en el que se encuentra el cuaderno. En ese momento, cualquier regla de automatización puede ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. |
| Los usuarios invitados asignan incidentes |
Lector de directorios Y el respondedor de Microsoft Sentinel El rol de Lector de directorios no es un rol de Azure, sino un rol de Microsoft Entra ID, y los usuarios regulares (no invitados) tienen este rol asignado de forma predeterminada. |
| Crear o eliminar libros | Colaborador de Microsoft Sentinel o un rol menor de Microsoft Sentinel Y Colaborador de libros de trabajo |
Otros roles de Azure y Log Analytics
Al asignar roles de Azure específicos de Microsoft Sentinel, puede encontrar otros roles de Azure y Log Analytics que se pueden haber asignado a los usuarios para otros fines. Estos roles conceden un conjunto más amplio de permisos que incluye el acceso al área de trabajo de Microsoft Sentinel y a otros recursos:
- Roles de Azure:propietario, colaborador, lector: conceda acceso amplio a los recursos de Azure.
- Roles de Log Analytics:Colaborador de Log Analytics, Lector de Log Analytics : conceda acceso a las áreas de trabajo de Log Analytics.
Important
Las asignaciones de roles son acumulativas. Un usuario con los roles Lector y Colaborador de Microsoft Sentinel puede tener más permisos de los previstos.
Asignaciones de roles recomendadas para usuarios de Microsoft Sentinel
| Tipo de usuario | Role | Grupo de recursos | Description |
|---|---|---|---|
| Analistas de seguridad | Respondedor de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Visualización y administración de incidentes, datos, libros |
| Operador de cuaderno de estrategias de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel/libro de estrategias | Adjuntar o ejecutar cuadernos de estrategias | |
| Ingenieros de seguridad | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Administración de incidentes, contenido, recursos |
| Colaborador de Logic App | Grupo de recursos de Microsoft Sentinel/libro de estrategias | Ejecutar o modificar cuadernos de estrategias | |
| Entidad de servicio. | Colaborador de Microsoft Sentinel | Grupo de recursos de Microsoft Sentinel | Tareas de administración automatizadas |
Roles y permisos para el lago de datos de Microsoft Sentinel
Para usar el lago de datos de Microsoft Sentinel, el área de trabajo debe incorporarse al portal de Defender y al lago de datos de Microsoft Sentinel.
Permisos de lectura del lago de datos de Microsoft Sentinel
Los roles de ID de Microsoft Entra proporcionan un acceso amplio a todo el contenido del lago de datos. Use los roles siguientes para proporcionar acceso de lectura a todas las áreas de trabajo dentro del lago de datos de Microsoft Sentinel, como para ejecutar consultas.
| Tipo de permiso | Roles admitidos |
|---|---|
| Acceso de lectura en todas las áreas de trabajo | Utilice cualquiera de los siguientes roles de Microsoft Entra ID: - Lector global - Lector de seguridad - Operador de seguridad - Administrador de seguridad - Administrador global |
Como alternativa, puede asignar la capacidad de leer tablas desde un área de trabajo específica. En tales casos, use una de las siguientes opciones:
| Tasks | Permissions |
|---|---|
| Permisos de lectura en las tablas del sistema | Use un rol RBAC unificado personalizado de Microsoft Defender XDR con permisos de seguridad de datos básicos (lectura) sobre la recopilación de datos de Microsoft Sentinel. |
| Permisos de lectura en cualquier otro espacio de trabajo habilitado para Microsoft Sentinel en el repositorio de datos | Use uno de los siguientes roles integrados en Azure RBAC para permisos en esa área de trabajo: - Lector de Log Analytics - Colaborador de Log Analytics - Colaborador de Microsoft Sentinel - Lector de Microsoft Sentinel - Lector - Colaborador - Propietario |
Permisos de escritura de lago de datos de Microsoft Sentinel
Los roles de Microsoft Entra ID proporcionan un amplio acceso a todos los workspaces del data lake. Use los siguientes roles para proporcionar acceso de escritura a las tablas del lago de datos de Microsoft Sentinel:
| Tipo de permiso | Roles admitidos |
|---|---|
| Escribir en tablas del nivel de análisis usando trabajos o cuadernos de KQL | Utilice uno de los siguientes roles de Microsoft Entra ID: - Operador de seguridad - Administrador de seguridad - Administrador global |
| Escritura en tablas en el lago de datos de Microsoft Sentinel | Utilice uno de los siguientes roles de Microsoft Entra ID: - Operador de seguridad - Administrador de seguridad - Administrador global |
Como alternativa, puede que desee asignar la capacidad de escribir la salida a un área de trabajo específica. Esto puede incluir la capacidad de configurar conectores en esa área de trabajo, modificar la configuración de retención de las tablas del área de trabajo o crear, actualizar y eliminar tablas personalizadas en esa área de trabajo. En tales casos, use una de las siguientes opciones:
| Tasks | Permissions |
|---|---|
| Actualización de tablas del sistema en el lago de datos | Utilice un rol RBAC unificado personalizado de Microsoft Defender XDR con permisos de datos (administrar) sobre la recopilación de datos de Microsoft Sentinel. |
| Para cualquier otro área de trabajo de Microsoft Sentinel en el lago de datos | Usa cualquier rol integrado o personalizado que incluya los siguientes permisos de Azure RBAC para Microsoft Operational Insights en ese espacio de trabajo: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Por ejemplo, los roles integrados que incluyen estos permisos Colaborador de Log Analytics, Propietario y Colaborador. |
Administración de trabajos en el lago de datos de Microsoft Sentinel
Para crear trabajos programados o administrar trabajos en el lago de datos de Microsoft Sentinel, debe tener uno de los siguientes roles de Id. de Microsoft Entra:
Roles personalizados y RBAC avanzado
Para restringir el acceso a datos específicos, pero no a todo el área de trabajo, use RBAC de contexto de recursos o RBAC de nivel de tabla. Esto resulta útil para los equipos que necesitan acceso solo a determinados tipos de datos o tablas.
De lo contrario, use una de las siguientes opciones para el Control de acceso basado en roles (RBAC) avanzado:
- Para el acceso SIEM de Microsoft Sentinel, use roles personalizados de Azure.
- Para el lago de datos de Microsoft Sentinel, use Roles personalizados RBAC unificados de Defender XDR.
Contenido relacionado
Para más información, consulte Administración de datos de registro y áreas de trabajo en Azure Monitor.