Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, w jaki sposób usługa Microsoft Sentinel przypisuje uprawnienia do ról użytkowników zarówno dla usługi Microsoft Sentinel SIEM, jak i usługi Microsoft Sentinel data lake, identyfikując dozwolone akcje dla każdej roli.
Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych i niestandardowych ról dla rozwiązania Microsoft Sentinel SIEM oraz kontroli dostępu opartej na rolach Microsoft Entra ID (Microsoft Entra ID RBAC) w celu zapewnienia wbudowanych i niestandardowych ról dla usługi Microsoft Sentinel data lake.
Role można przypisywać do użytkowników, grup i usług na platformie Azure lub w identyfikatorze Entra firmy Microsoft.
Important
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Important
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Wbudowane role platformy Azure dla usługi Microsoft Sentinel
Następujące wbudowane role platformy Azure są używane dla rozwiązania SIEM usługi Microsoft Sentinel i udzielają dostępu do odczytu do danych obszaru roboczego, w tym do obsługi usługi Data Lake usługi Microsoft Sentinel. Przypisz te role na poziomie grupy zasobów, aby uzyskać najlepsze wyniki.
| Role | Obsługa rozwiązania SIEM | Obsługa usługi Data Lake |
|---|---|---|
| Czytelnik usługi Microsoft Sentinel | Wyświetlanie danych, zdarzeń, skoroszytów, zaleceń i innych zasobów | Uzyskiwanie dostępu do zaawansowanej analizy i uruchamianie interakcyjnych zapytań tylko w obszarach roboczych. |
| Osoba odpowiadająca w usłudze Microsoft Sentinel | Wszystkie uprawnienia czytelnika oraz zarządzanie zdarzeniami | N/A |
| Współautor usługi Microsoft Sentinel | Wszystkie uprawnienia Reagującego, oraz instalacja/aktualizacja rozwiązań, tworzenie/edytowanie zasobów | Uzyskiwanie dostępu do zaawansowanej analizy i uruchamianie interakcyjnych zapytań tylko w obszarach roboczych. |
| Operator scenariusza usługi Microsoft Sentinel | Wymienianie, wyświetlanie i ręczne uruchamianie playbooków | N/A |
| Współautor automatyzacji usługi Microsoft Sentinel | Umożliwia usłudze Microsoft Sentinel dodawanie podręczników do reguł automatyzacji. Nie używane dla kont użytkowników. | N/A |
Na przykład w poniższej tabeli przedstawiono przykłady zadań, które każda rola może wykonywać w usłudze Microsoft Sentinel:
| Role | Uruchamianie podręczników | Tworzenie/edytowanie podręczników | Tworzenie/edytowanie reguł analizy, skoroszytów itp. | Zarządzanie zdarzeniami | Wyświetlanie danych, zdarzeń, skoroszytów, zaleceń | Zarządzanie centrum zawartości |
|---|---|---|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Osoba odpowiadająca w usłudze Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Współautor usługi Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operator scenariusza usługi Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Współautor aplikacji logiki | ✓ | ✓ | -- | -- | -- | -- |
*Z rolą Współautor skoroszytu .
Zalecamy przypisanie ról do grupy zasobów zawierającej obszar roboczy usługi Microsoft Sentinel. Dzięki temu wszystkie powiązane zasoby, takie jak Logic Apps i podręczniki, są objęte tymi samymi przypisaniami ról.
W ramach innej opcji przypisz role bezpośrednio do samego obszaru roboczego usługi Microsoft Sentinel. Jeśli to zrobisz, musisz przypisać te same role do zasobu rozwiązania SecurityInsights w tym obszarze roboczym. Może być również konieczne przypisanie ich do innych zasobów i ciągłe zarządzanie przypisaniami ról do zasobów.
Dodatkowe role dla określonych zadań
Aby wykonać swoje zadania, użytkownicy z określonymi wymaganiami dotyczącymi zadań mogą wymagać przypisania innych ról lub określonych uprawnień. Przykład:
| Task | Wymagane role/uprawnienia |
|---|---|
| Łączenie źródeł danych | Uprawnienie do zapisu w obszarze roboczym. Zapoznaj się z dokumentami łącznika, aby uzyskać dodatkowe uprawnienia wymagane dla łącznika. |
| Zarządzanie zawartością z centrum zawartości | Współautor usługi Microsoft Sentinel na poziomie grupy zasobów |
| Automatyzowanie odpowiedzi za pomocą podręczników |
Operator programu automatyzacji Microsoft Sentinel w celu uruchamiania playbooków i Współautora aplikacji Logic Apps w celu tworzenia/edytowania playbooków. Usługa Microsoft Sentinel używa skryptów do automatycznego reagowania na zagrożenia. Podręczniki są oparte na usłudze Azure Logic Apps i są oddzielnym zasobem platformy Azure. W przypadku określonych członków zespołu ds. operacji zabezpieczeń możesz przypisać możliwość używania operacji SoAR (Logic Apps for Security Orchestration, Automation i Response). |
| Zezwalaj usłudze Microsoft Sentinel na uruchamianie podręczników za pośrednictwem automatyzacji | Konto usługi wymaga jawnych uprawnień do grupy zasobów playbook; Twoje konto musi mieć uprawnienia właściciela, aby je przypisać. Usługa Microsoft Sentinel używa specjalnego konta usługi do ręcznego uruchamiania playbooków wyzwalanych przez zdarzenia lub wywoływania ich z reguł automatyzacji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi. Aby reguła automatyzacji uruchamiała podręcznik, to konto musi mieć jawne uprawnienia do grupy zasobów, w której znajduje się podręcznik. W tym momencie każda reguła automatyzacji może wykonywać dowolny skrypt w tej grupie zasobów. |
| Użytkownicy-goście przypisują zdarzenia |
Czytelnik katalogów I osoba odpowiadająca w usłudze Microsoft Sentinel Rola Czytelnik katalogu nie jest rolą platformy Azure, lecz rolą Microsoft Entra ID, i domyślnie przypisana jest zwykłym (nonguest) użytkownikom. |
| Tworzenie/usuwanie skoroszytów | Współautor usługi Microsoft Sentinel lub mniejsza rola usługi Microsoft Sentinel i współautor skoroszytu |
Inne role platformy Azure i usługi Log Analytics
Podczas przypisywania ról platformy Azure specyficznych dla usługi Microsoft Sentinel możesz napotkać inne role platformy Azure i usługi Log Analytics, które mogą być przypisane do użytkowników w innych celach. Te role zapewniają szerszy zestaw uprawnień, które obejmują dostęp do obszaru roboczego usługi Microsoft Sentinel i innych zasobów:
- Role platformy Azure:Właściciel, Współautor, Czytelnik — udzielanie szerokiego dostępu w zasobach platformy Azure.
- Role usługi Log Analytics:Współautor usługi Log Analytics, Czytelnik usługi Log Analytics — udzielanie dostępu do obszarów roboczych usługi Log Analytics.
Important
Przypisania ról są skumulowane. Użytkownik z rolami czytelnika i współautora usługi Microsoft Sentinel może mieć więcej uprawnień niż zamierzone.
Zalecane przypisania ról dla użytkowników usługi Microsoft Sentinel
| Typ użytkownika | Role | Grupa zasobów | Description |
|---|---|---|---|
| Analitycy zabezpieczeń | Osoba odpowiadająca w usłudze Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Wyświetlanie zdarzeń, danych, skoroszytów i zarządzanie nimi |
| Operator planu działań usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel/podręcznika | Dołączanie/uruchamianie scenariuszy działań | |
| Inżynierowie zabezpieczeń | Współautor usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Zarządzanie zdarzeniami, zawartością, zasobami |
| Współtwórca aplikacji Logic | Grupa zasobów usługi Microsoft Sentinel/podręcznika | Uruchamianie/modyfikowanie skryptów | |
| Główna usługa | Współautor usługi Microsoft Sentinel | Grupa zasobów usługi Microsoft Sentinel | Zadania zautomatyzowanego zarządzania |
Role i uprawnienia dla jeziora danych Microsoft Sentinel
Aby móc korzystać z usługi Data Lake usługi Microsoft Sentinel, obszar roboczy musi być dołączony do portalu usługi Defender i usługi Data Lake usługi Microsoft Sentinel.
Uprawnienia do odczytu Data Lake w Microsoft Sentinel
Role Microsoft Entra ID zapewniają szeroki dostęp do całej zawartości w usłudze Data Lake. Użyj następujących ról, aby zapewnić dostęp do odczytu do wszystkich obszarów roboczych w jeziorze danych usługi Microsoft Sentinel, na przykład w celu uruchamiania zapytań.
| Typ uprawnień | Obsługiwane role |
|---|---|
| Dostęp do odczytu we wszystkich obszarach roboczych | Użyj dowolnej z następujących ról Microsoft Entra ID: - Czytelnik globalny - Czytelnik zabezpieczeń - Operator zabezpieczeń - Administrator zabezpieczeń - Administrator globalny |
Alternatywnie możesz przypisać możliwość odczytywania tabel z określonego obszaru roboczego. W takich przypadkach należy użyć jednego z następujących elementów:
| Tasks | Permissions |
|---|---|
| Uprawnienia do odczytu w tabelach systemowych | Użyj niestandardowej roli RBAC usługi Microsoft Defender XDR z uprawnieniami podstawowymi dotyczącymi danych zabezpieczeń (odczyt) w przypadku zbierania danych usługi Microsoft Sentinel. |
| Uprawnienia do odczytu w dowolnym innym obszarze roboczym włączonym dla usługi Microsoft Sentinel w usłudze Data Lake | Użyj jednej z następujących wbudowanych ról Azure RBAC, aby uzyskać uprawnienia do tego obszaru roboczego: - Czytelnik usługi Log Analytics - Współautor usługi Log Analytics - Współautor usługi Microsoft Sentinel - Czytelnik usługi Microsoft Sentinel - Czytelnik - Współautorów - Właściciel |
Uprawnienia do zapisu w Microsoft Sentinel Data Lake
Role Microsoft Entra ID zapewniają szeroki dostęp do wszystkich obszarów roboczych w jeziorze danych. Użyj następujących ról, aby zapewnić dostęp do zapisu do tabel data lake usługi Microsoft Sentinel:
| Typ uprawnień | Obsługiwane role |
|---|---|
| Zapisywanie w tabelach w warstwie analizy przy użyciu zadań języka KQL lub notatników | Użyj jednej z następujących ról identyfikatora Entra firmy Microsoft: - Operator zabezpieczeń - Administrator zabezpieczeń - Administrator globalny |
| Zapisywanie danych do tabel w jeziorze danych Microsoft Sentinel | Użyj jednej z następujących ról identyfikatora Entra firmy Microsoft: - Operator zabezpieczeń - Administrator zabezpieczeń - Administrator globalny |
Alternatywnie możesz przypisać możliwość zapisywania danych wyjściowych w określonym obszarze roboczym. Może to obejmować możliwość konfigurowania łączników w tym obszarze roboczym, modyfikowania ustawień przechowywania tabel w obszarze roboczym lub tworzenia, aktualizowania i usuwania tabel niestandardowych w tym obszarze roboczym. W takich przypadkach należy użyć jednego z następujących elementów:
| Tasks | Permissions |
|---|---|
| Aktualizowanie tabel systemowych w usłudze Data Lake | Użyj niestandardowej roli RBAC usługi Microsoft Defender XDR z uprawnieniami do danych (zarządzanie) za pośrednictwem zbierania danych usługi Microsoft Sentinel. |
| W przypadku dowolnego innego obszaru roboczego usługi Microsoft Sentinel w usłudze Data Lake | Użyj dowolnej wbudowanej lub niestandardowej roli, która obejmuje następujące uprawnienia Azure RBAC (Kontrola dostępu na podstawie ról) dla usługi Microsoft Operational Insights w danym obszarze roboczym. - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Na przykład role wbudowane zawierające uprawnienia: Współpracownik Log Analytics, Właściciel oraz Współpracownik. |
Zarządzanie zadaniami w usłudze Data Lake usługi Microsoft Sentinel
Aby utworzyć zaplanowane zadania lub zarządzać zadaniami w data lake Microsoft Sentinel, musisz mieć jedną z następujących ról Microsoft Entra ID:
Niestandardowe role i zaawansowana kontrola dostępu oparta na rolach (RBAC)
Aby ograniczyć dostęp do określonych danych, ale nie do całego obszaru roboczego, użyj kontroli dostępu opartej na rolach na poziomie zasobów lub kontroli dostępu na podstawie ról na poziomie tabeli. Jest to przydatne w przypadku zespołów wymagających dostępu tylko do niektórych typów danych lub tabel.
W przeciwnym razie użyj jednej z następujących opcji dla zaawansowanej kontroli dostępu opartej na rolach:
- W przypadku dostępu do rozwiązania SIEM w usłudze Microsoft Sentinel użyj ról niestandardowych platformy Azure.
- W przypadku Data Lake Microsoft Sentinel użyj ujednoliconych ról niestandardowych RBAC systemu Defender XDR.
Treści powiązane
Aby uzyskać więcej informacji, zobacz Zarządzanie danymi dzienników i obszarami roboczymi w usłudze Azure Monitor