Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário para o Microsoft Sentinel SIEM e o data lake do Microsoft Sentinel, identificando as ações permitidas para cada função.
O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções internas e personalizadas para o Microsoft Sentinel SIEM e o controle de acesso baseado em função do Microsoft Entra ID (Microsoft Entra ID RBAC) para fornecer funções internas e personalizadas para o data lake do Microsoft Sentinel.
Pode atribuir funções a utilizadores, grupos e serviços tanto no Azure como no Microsoft Entra ID.
Important
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Important
A Microsoft recomenda que utilize funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.
Funções internas do Azure para o Microsoft Sentinel
As seguintes funções internas do Azure são usadas para o Microsoft Sentinel SIEM e concedem acesso de leitura aos dados do espaço de trabalho, incluindo suporte para o data lake do Microsoft Sentinel. Atribua essas funções no nível do grupo de recursos para obter melhores resultados.
| Role | Suporte SIEM | Suporte a lago de dados |
|---|---|---|
| Leitor Microsoft Sentinel | Veja dados, incidentes, cadernos de exercícios, recomendações e outros recursos | Aceda a análises avançadas e execute consultas interativas apenas em espaços de trabalho. |
| Respondente do Microsoft Sentinel | Todas as permissões do Leitor, além de gerenciar incidentes | N/A |
| Colaborador do Microsoft Sentinel | Todas as permissões do Respondente, além de instalar/atualizar soluções, criar/editar recursos | Aceda a análises avançadas e execute consultas interativas apenas em espaços de trabalho. |
| Operador do Microsoft Sentinel Playbook | Listar, visualizar e executar manualmente os playbooks | N/A |
| Colaborador do Microsoft Sentinel Automation | Permite que o Microsoft Sentinel adicione playbooks a regras de automação. Não é usado para contas de usuário. | N/A |
Por exemplo, a tabela a seguir mostra exemplos de tarefas que cada função pode executar no Microsoft Sentinel:
| Role | Executar playbooks | Criar/editar guias de procedimentos | Crie/edite regras de análise, pastas de trabalho, etc. | Gerenciar incidentes | Veja dados, incidentes, cadernos de exercícios, recomendações | Gerenciar hub de conteúdo |
|---|---|---|---|---|---|---|
| Leitor Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondente do Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Colaborador do Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador do Microsoft Sentinel Playbook | ✓ | -- | -- | -- | -- | -- |
| Colaborador do Aplicativo Lógico | ✓ | ✓ | -- | -- | -- | -- |
*Com a função de Colaborador da Pasta de Trabalho .
Recomendamos que você atribua funções ao grupo de recursos que contém o espaço de trabalho do Microsoft Sentinel. Isso garante que todos os recursos relacionados, como Logic Apps e Playbooks, sejam cobertos pelas mesmas atribuições de função.
Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Se você fizer isso, deverá atribuir as mesmas funções ao recurso de solução SecurityInsights nesse espaço de trabalho. Também pode ser necessário atribuí-los a outros recursos e gerenciar continuamente as atribuições de função aos recursos.
Funções adicionais para tarefas específicas
Os usuários com requisitos de trabalho específicos podem precisar receber outras funções ou permissões específicas para realizar suas tarefas. Por exemplo:
| Task | Funções/permissões necessárias |
|---|---|
| Conectar fontes de dados | Autorização de escrita no espaço de trabalho. Verifique os documentos do conector para permissões extras necessárias por conector. |
| Gerenciar conteúdo do hub de conteúdo | Microsoft Sentinel Contributor no nível do grupo de recursos |
| Automatizar respostas com guias operacionais |
Microsoft Sentinel Playbook Operator, para executar playbooks, e Logic App Contributor para criar e editar playbooks. O Microsoft Sentinel usa manuais para resposta automatizada a ameaças. Os playbooks são criados em Aplicativos Lógicos do Azure e são um recurso separado do Azure. Para membros específicos da sua equipe de operações de segurança, convém atribuir a capacidade de usar Aplicativos Lógicos para operações de Orquestração, Automação e Resposta de Segurança (SOAR). |
| Permitir que o Microsoft Sentinel execute playbooks via automação | A conta de serviço precisa de permissões explícitas para o grupo de recursos do playbook; sua conta precisa de permissões de Proprietário para atribuí-las. O Microsoft Sentinel usa uma conta de serviço especial para executar playbooks de acionamento de incidentes manualmente ou para chamá-los a partir de regras de automação. A utilização desta conta (por oposição à sua conta de utilizador) aumenta o nível de segurança do serviço. Para que uma regra de automação execute um playbook, essa conta deve receber permissões explícitas para o grupo de recursos onde o playbook reside. Nesse ponto, qualquer regra de automação pode executar qualquer manual nesse grupo de recursos. |
| Usuários convidados atribuem incidentes |
Leitor de Diretórios E Microsoft Sentinel Responder A função Leitor de Diretório não é uma função do Azure, mas uma função de ID do Microsoft Entra, e os usuários regulares (não convidados) têm essa função atribuída por padrão. |
| Criar/excluir pastas de trabalho | Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel ou Colaborador da pasta de trabalho |
Outras funções do Azure e do Log Analytics
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode se deparar com outras funções do Azure e do Log Analytics que podem ser atribuídas aos usuários para outros fins. Essas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:
- Funções do Azure:Proprietário, Colaborador, Leitor – conceda amplo acesso aos recursos do Azure.
- Funções do Log Analytics:Colaborador do Log Analytics, Leitor do Log Analytics – conceda acesso aos espaços de trabalho do Log Analytics.
Important
As atribuições de funções são cumulativas. Um usuário com as funções de Leitor e Colaboradordo Microsoft Sentinel pode ter mais permissões do que o pretendido.
Atribuições de função recomendadas para usuários do Microsoft Sentinel
| Tipo de utilizador | Role | Grupo de recursos | Description |
|---|---|---|---|
| Analistas de segurança | Respondente do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Exibir/gerenciar incidentes, dados, pastas de trabalho |
| Operador do Microsoft Sentinel Playbook | Grupo de recursos do Microsoft Sentinel/playbook | Anexar/executar guias | |
| Engenheiros de segurança | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Gerencie incidentes, conteúdo e recursos |
| Colaborador do Aplicativo Lógico | Grupo de recursos do Microsoft Sentinel/playbook | Executar/modificar playbooks | |
| Entidade de Serviço | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Tarefas de gerenciamento automatizado |
Funções e permissões para o data lake do Microsoft Sentinel
Para usar o data lake do Microsoft Sentinel, seu espaço de trabalho deve ser integrado ao portal do Defender e aodata lake do Microsoft Sentinel.
Permissões de leitura do data lake do Microsoft Sentinel
As funções de ID do Microsoft Entra fornecem amplo acesso a todo o conteúdo do data lake. Use as funções a seguir para fornecer acesso de leitura a todos os espaços de trabalho dentro do data lake do Microsoft Sentinel, como para executar consultas.
| Tipo de permissão | Funções suportadas |
|---|---|
| Acesso de leitura em todos os espaços de trabalho | Use um dos seguintes perfis de ID do Microsoft Entra: - Leitor global - Leitor de segurança - Operador de segurança - Administrador de segurança - Administrador global |
Como alternativa, convém atribuir a capacidade de ler tabelas de dentro de um espaço de trabalho específico. Nesses casos, use uma das seguintes opções:
| Tasks | Permissions |
|---|---|
| Permissões de leitura nas tabelas do sistema | Use uma função RBAC unificada personalizada do Microsoft Defender XDR com permissões básicas de dados de segurança (leitura) sobre a coleta de dados do Microsoft Sentinel. |
| Permissões de leitura em qualquer outro espaço de trabalho habilitado para o Microsoft Sentinel no data lake | Use uma das seguintes funções internas no RBAC do Azure para obter permissões nesse espaço de trabalho: - Leitor do Log Analytics - Contribuidor do Log Analytics - Colaborador do Microsoft Sentinel - Leitor Microsoft Sentinel - Leitor - Contribuidor - Proprietário |
Permissões de escrita no lago de dados do Microsoft Sentinel
As funções de ID do Microsoft Entra fornecem amplo acesso em todos os espaços de trabalho no data lake. Utilize as seguintes funções para conceder permissão de escrita às tabelas de data lake do Microsoft Sentinel.
| Tipo de permissão | Funções suportadas |
|---|---|
| Gravar em tabelas na camada de análise usando trabalhos KQL ou blocos de anotações | Use uma das seguintes funções do Microsoft Entra ID: - Operador de segurança - Administrador de segurança - Administrador global |
| Escrever em tabelas no data lake do Microsoft Sentinel | Use uma das seguintes funções do Microsoft Entra ID: - Operador de segurança - Administrador de segurança - Administrador global |
Como alternativa, talvez você queira atribuir a capacidade de gravar a saída a um espaço de trabalho específico. Isso pode incluir a capacidade de configurar conectores para esse espaço de trabalho, modificar configurações de retenção para tabelas no espaço de trabalho ou criar, atualizar e excluir tabelas personalizadas nesse espaço de trabalho. Nesses casos, use uma das seguintes opções:
| Tasks | Permissions |
|---|---|
| Atualizar tabelas do sistema no data lake | Use uma função RBAC unificada do Microsoft Defender XDR personalizada com permissões de dados (gerenciar) sobre a coleta de dados do Microsoft Sentinel. |
| Para qualquer outro espaço de trabalho do Microsoft Sentinel no data lake | Use qualquer função interna ou personalizada que inclua as seguintes permissões do Azure RBAC Microsoft operational insights nesse espaço de trabalho: - microsoft.operationalinsights/workspaces/write - microsoft.OperationalInsights/Workspaces/Tabelas/Gravação - microsoft.OperationalInsights/Workspaces/Tabelas/Excluir Por exemplo, funções internas que incluem essas permissões Colaborador do Log Analytics, Proprietário e Colaborador. |
Gerenciar trabalhos no data lake do Microsoft Sentinel
Para criar trabalhos agendados ou gerenciar trabalhos no data lake do Microsoft Sentinel, você deve ter uma das seguintes funções de ID do Microsoft Entra:
Funções personalizadas e RBAC avançado
Para restringir o acesso a dados específicos, mas não a todo o espaço de trabalho, use RBAC de contexto de recurso ou RBAC de nível de tabela. Isso é útil para equipes que precisam acessar apenas determinados tipos de dados ou tabelas.
Caso contrário, use uma das seguintes opções para RBAC avançado:
- Para acesso ao Microsoft Sentinel SIEM, use funções personalizadas do Azure.
- Para o data lake do Microsoft Sentinel, use as funções RBAC unificadas e personalizadas do Defender XDR.
Conteúdo relacionado
Para obter mais informações, consulte Gerenciar dados de log e espaços de trabalho no Azure Monitor