Microsoft Sentinel 是一款基于云的安全信息和事件管理 (SIEM) 解决方案,可以帮助你收集、分析和响应各种安全威胁。但是,要充分利用 Microsoft Sentinel 的功能,你需要了解它如何分配权限和角色给不同的用户,以及如何根据你的安全运营需求进行自定义。
在本文中,我将介绍 Microsoft Sentinel 中的内置角色和权限,以及它们允许的操作。我还将分享一些自定义角色和高级 Azure RBAC 的技巧,以及一些角色和权限的建议。希望这些内容能够帮助你提升 Microsoft Sentinel 的使用效率和安全性。
在 Microsoft Sentinel 中工作的角色和权限
Microsoft Sentinel 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的 内置角色 。你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。特定于 Microsoft Sentinel 的内置角色有以下几种:
-
Microsoft Sentinel 读取者:可查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
-
Microsoft Sentinel 响应方:除了读取者的权限外,还可以管理事件(分配、关闭等)。
-
Microsoft Sentinel 参与者:除了响应方的权限外,还可创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。
-
Microsoft Sentinel Playbook 操作员:可以列出、查看和手动运行 playbook(基于 Azure 逻辑应用构建的自动化流程)。
-
Microsoft Sentinel 自动化参与者:允许 Microsoft Sentinel 向自动化规则中添加 playbook。它不适用于用户帐户,而是用于服务帐户。
为获得最佳结果,请向包含 Microsoft Sentinel 工作区的资源组分配这些角色。这样,角色将应用于支持 Microsoft Sentinel 的所有资源,因为这些资源也应该放在同一个资源组中。以下表格总结了 Microsoft Sentinel 角色及其在 Microsoft Sentinel 中允许的操作。
| 角色 | 数据 | 事件 | 工作簿 | 分析规则 | 搜索和查询 | 剧本 | 自动化规则 | 数据连接器 |
| 读取者 | 查看 | 查看 | 查看 | 查看 | 查看和运行 | 查看和运行 | 查看 | 查看 |
| 响应方 | 查看 | 查看和管理 | 查看 | 查看 | 查看和运行 | 查看和运行 | 查看 | 查看 |
| 参与者 | 查看和写入* | 查看和管理 | 创建、编辑和删除* | 创建、编辑和删除* | 查看、运行和保存* | 创建、编辑和删除*,查看和运行* | 创建、编辑和删除*,查看和运行*,添加剧本* | 创建、编辑和删除 |
| Playbook 操作员 | 无 | 无 | 无 | 无 | 无 | 列出、查看和运行 | 无 | 无 |
| 自动化参与者 | 无 | 无 | 无 | 无 | 无 | 添加到自动化规则中** | 无 | 无 |
备注:* 需要额外的 Azure Monitor 或 Log Analytics 角色;** 不适用于用户帐户
自定义角色和高级 Azure RBAC
如果内置角色不能满足你的特定需求,你可以创建自定义角色,并指定它们可以访问哪些资源和执行哪些操作。你还可以使用高级 Azure RBAC 功能,如条件访问、数据操作审计或管理组等。
要创建自定义角色或使用高级 Azure RBAC 功能,你需要具有足够的权限。例如,要创建自定义角色,你需要拥有”所有者”或”用户访问管理员”角色。要使用条件访问策略,你需要拥有 Azure Active Directory Premium P1 或 P2 订阅。
有关创建自定义角色或使用高级 Azure RBAC 功能的详细信息,请参阅以下链接:创建自定义角色 和 Azure RBAC 高级功能
角色和权限建议
在使用 Microsoft Sentinel 时,有一些最佳实践和建议可以帮助你更好地管理角色和权限。以下是一些常见的场景和建议:
-
如果你想从内容中心安装并管理现成的内容,如端到端产品或独立内容的打包解决方案,你需要在资源组级别分配”模板规格参与者”角色。
-
如果你想使用 playbook 自动应对威胁,你需要为 Microsoft Sentinel 服务帐户授予访问 playbook 所在资源组的”所有者”权限。
-
如果你想将数据源连接到 Microsoft Sentinel,你需要在 Microsoft Sentinel 工作区上为用户分配写入权限。
-
如果你想让来宾用户分配事件,除了 Microsoft Sentinel 响应方角色之外,还需要将目录读取者角色分配给用户。
-
如果你想创建和删除工作簿,你需要 Microsoft Sentinel 参与者角色或更低的 Microsoft Sentinel 角色以及工作簿参与者 Azure Monitor 角色。
-
如果你已经为用户分配了其他 Azure 或 Log Analytics 角色,如所有者、参与者或读取者,那么这些角色将覆盖 Microsoft Sentinel 的内置角色,并授予更广泛的权限集。因此,如果只想在 Microsoft Sentinel 上对用户授予权限,请仔细检查并删除用户此前的权限,确保不会中断对其他资源的所需权限。
Microsoft Sentinel 是一款强大的 SIEM 解决方案,可以帮助你提升安全运营效率和安全性。要充分利用它的功能,你需要了解它如何分配权限和角色给不同的用户,以及如何根据你的需求进行自定义。
在本文中,我介绍了 Microsoft Sentinel 中的内置角色和权限,以及它们允许的操作。我还分享了一些自定义角色和高级 Azure RBAC 的技巧,以及一些角色和权限的建议。
如果你喜欢这篇博客,请给我一个赞👍,并分享给你的朋友和同事。如果你有任何问题或建议,请在下方留言,我会尽快回复你。谢谢你的阅读和支持!