Microsoft Sentinel'de roller ve izinler
Bu makalede, Microsoft Sentinel'in kullanıcı rollerine izinleri nasıl atayladığı ve her rol için izin verilen eylemleri nasıl tanımladığı açıklanmaktadır. Microsoft Sentinel, Azure'daki kullanıcılara, gruplara ve hizmetlere atanabilecek yerleşik roller sağlamak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.
Microsoft Sentinel'e uygun erişim vermek üzere güvenlik operasyonları ekibinizde rol oluşturmak ve atamak için Azure RBAC'yi kullanın. Farklı roller, Microsoft Sentinel kullanıcılarının görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlar. Azure rolleri doğrudan Microsoft Sentinel çalışma alanında veya çalışma alanının ait olduğu ve Microsoft Sentinel'in devraldığı bir abonelikte veya kaynak grubunda atanabilir.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Microsoft Sentinel'de çalışmaya yönelik roller ve izinler
Yerleşik rolleri kullanarak çalışma alanınızdaki verilere uygun erişimi verin. Kullanıcının iş görevlerine bağlı olarak daha fazla rol veya belirli izinler vermeniz gerekebilir.
Microsoft Sentinel'e özgü roller
Tüm Microsoft Sentinel yerleşik rolleri, Microsoft Sentinel çalışma alanınızdaki verilere okuma erişimi verir.
Microsoft Sentinel Okuyucusu verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyebilir.
Microsoft Sentinel Yanıtlayıcısı , Microsoft Sentinel Okuyucu izinlerine ek olarak olayları atama, kapatma ve değiştirme gibi olayları yönetebilir.
Microsoft Sentinel Katkıda Bulunanı , Microsoft Sentinel Yanıtlayıcısı izinlerine ek olarak içerik hub'ından çözüm yükleyip güncelleştirebilir ve çalışma kitapları, analiz kuralları ve daha fazlası gibi Microsoft Sentinel kaynakları oluşturup düzenleyebilir.
Microsoft Sentinel Playbook Operatörü playbook'ları listeleyebilir, görüntüleyebilir ve el ile çalıştırabilir.
Microsoft Sentinel Automation Katkıda Bulunanı, Microsoft Sentinel'in otomasyon kurallarına playbook eklemesine olanak tanır. Kullanıcı hesapları için tasarlanmamıştır.
En iyi sonuçları elde etmek için bu rolleri Microsoft Sentinel çalışma alanını içeren kaynak grubuna atayın. Bu şekilde, roller Microsoft Sentinel'i destekleyen tüm kaynaklar için geçerlidir, bu kaynaklar aynı kaynak grubuna da yerleştirilmelidir.
Başka bir seçenek olarak, rolleri doğrudan Microsoft Sentinel çalışma alanına atayın. Bunu yaparsanız, bu çalışma alanında SecurityInsights çözüm kaynağına aynı rolleri atamanız gerekir. Ayrıca bunları diğer kaynaklara atamanız ve kaynaklara rol atamalarını sürekli yönetmeniz gerekebilir.
Diğer roller ve izinler
Belirli iş gereksinimleri olan kullanıcılara görevlerini gerçekleştirmek için başka roller veya belirli izinler atanması gerekebilir.
İlk çalıştırma içeriğini yükleme ve yönetme
Microsoft Sentinel'deki içerik hub'ından uçtan uca ürünler veya tek başına içerik için paketlenmiş çözümler bulun. İçerik hub'ından içerik yüklemek ve yönetmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolünü atayın.
Playbook'larla tehditlere yanıtları otomatikleştirme
Microsoft Sentinel, otomatik tehdit yanıtı için playbook'ları kullanır. Playbook'lar Azure Logic Apps üzerinde oluşturulur ve ayrı bir Azure kaynağıdır. Güvenlik operasyonları ekibinizin belirli üyeleri için Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemleri için Logic Apps'i kullanma yeteneği atamak isteyebilirsiniz. Playbook'ları çalıştırmak için açık, sınırlı izin atamak için Microsoft Sentinel Playbook Operatörü rolünü ve playbook'ları oluşturmak ve düzenlemek için Logic App Katılımcısı rolünü kullanabilirsiniz.
Playbook'ları çalıştırmak için Microsoft Sentinel izinleri verme
Microsoft Sentinel, olay tetikleyici playbook'larını el ile çalıştırmak veya otomasyon kurallarından çağırmak için özel bir hizmet hesabı kullanır. Bu hesabın kullanımı (kullanıcı hesabınızın aksine) hizmetin güvenlik düzeyini artırır.
Bir otomasyon kuralının playbook çalıştırması için bu hesaba playbook'un bulunduğu kaynak grubu için açık izinler verilmelidir. Bu noktada, herhangi bir otomasyon kuralı bu kaynak grubundaki herhangi bir playbook'u çalıştırabilir. Bu hizmet hesabına bu izinleri vermek için hesabınızın playbook'ları içeren kaynak grupları için Sahip izinlerine sahip olması gerekir.
Veri kaynaklarını Microsoft Sentinel'e bağlama
Bir kullanıcının veri bağlayıcıları eklemesi için kullanıcıya Microsoft Sentinel çalışma alanında Yazma izinleri atamanız gerekir. İlgili bağlayıcı sayfasında listelendiği gibi her bağlayıcı için gerekli ek izinlere dikkat edin.
Konuk kullanıcıların olay atamasına izin ver
Konuk kullanıcının olayları atayabilmesi gerekiyorsa, Kullanıcıya Microsoft Sentinel Yanıtlayıcı rolüne ek olarak Dizin Okuyucusu rolünü atamanız gerekir. Dizin Okuyucusu rolü bir Azure rolü değil, bir Microsoft Entra rolü ve normal (enguest olmayan) kullanıcıların bu rolü varsayılan olarak ataması gerekir.
Çalışma kitaplarını oluşturma ve silme
Microsoft Sentinel çalışma kitabı oluşturmak ve silmek için, kullanıcının Çalışma Kitabı Katkıda Bulunanı Azure İzleyici rolüyle birlikte Microsoft Sentinel Katkıda Bulunanı rolüne veya daha küçük bir Microsoft Sentinel rolüne ihtiyacı vardır. Bu rol, çalışma kitaplarını kullanmak için gerekli değildir, yalnızca oluşturmak ve silmek için gereklidir.
Atanmış olarak görebileceğiniz Azure ve Log Analytics rolleri
Microsoft Sentinel'e özgü Azure rollerini atadığınızda, kullanıcılara başka amaçlarla atanabilecek diğer Azure ve Log Analytics rolleriyle karşılaşabilirsiniz. Bu roller, Microsoft Sentinel çalışma alanınıza ve diğer kaynaklara erişim içeren daha geniş bir izin kümesi verir:
Azure rolleri: Sahip, Katkıda Bulunan ve Okuyucu. Azure rolleri, Log Analytics çalışma alanları ve Microsoft Sentinel kaynakları da dahil olmak üzere tüm Azure kaynaklarınıza erişim verir.
Log Analytics rolleri: Log Analytics Katkıda Bulunanı ve Log Analytics Okuyucusu. Log Analytics rolleri Log Analytics çalışma alanlarınıza erişim verir.
Örneğin, Microsoft Sentinel Okuyucusu rolünü atayan ancak Microsoft Sentinel Katkıda Bulunan rolü olmayan bir kullanıcı, Azure düzeyinde Katkıda Bulunan rolüne de atanmışsa Microsoft Sentinel'deki öğeleri düzenlemeye devam edebilir. Bu nedenle, bir kullanıcıya yalnızca Microsoft Sentinel'de izin vermek istiyorsanız, başka bir kaynağa gereken erişimi bozmadığınızdan emin olarak bu kullanıcının önceki izinlerini dikkatlice kaldırın.
Microsoft Sentinel rolleri, izinleri ve izin verilen eylemler
Bu tabloda, Microsoft Sentinel rolleri ve Microsoft Sentinel'deki izin verilen eylemleri özetlenmiştir.
| Role | Playbook'ları görüntüleme ve çalıştırma | Playbook oluşturma ve düzenleme | Analiz kuralları, çalışma kitapları ve diğer Microsoft Sentinel kaynaklarını oluşturma ve düzenleme | Olayları yönetme (kapatma, atama vb.) | Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleme | İçerik hub'ından içerik yükleme ve yönetme |
|---|---|---|---|---|---|---|
| Microsoft Sentinel Okuyucusu | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Yanıtlayıcısı | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel Katkıda Bulunanı | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook Operatörü | ✓ | -- | -- | -- | -- | -- |
| Mantıksal Uygulama Katkıda Bulunanı | ✓ | ✓ | -- | -- | -- | -- |
* Bu rollere sahip kullanıcılar, Çalışma Kitabı Katkıda Bulunanı rolüyle çalışma kitapları oluşturabilir ve silebilir. Diğer roller ve izinler hakkında bilgi edinin.
SOC'nizdeki hangi kullanıcılara hangi rollerin atanması için rol önerilerini gözden geçirin.
Özel roller ve gelişmiş Azure RBAC
Özel roller. Azure yerleşik rollerine ek olarak veya bunun yerine Microsoft Sentinel için Azure özel rolleri oluşturabilirsiniz. Microsoft Sentinel ve Azure Log Analytics kaynaklarına yönelik belirli izinlere bağlı olarak, Microsoft Sentinel için Azure özel rolleri ile aynı şekilde Azure özel rolleri oluşturursunuz.
Log Analytics RBAC. Log Analytics gelişmiş Azure RBAC'yi Microsoft Sentinel çalışma alanınızdaki veriler arasında kullanabilirsiniz. Buna hem veri türü tabanlı Azure RBAC hem de kaynak bağlamı Azure RBAC dahildir. Daha fazlasını öğrenin:
- Azure İzleyici'de günlük verilerini ve çalışma alanlarını yönetme
- Microsoft Sentinel için kaynak bağlamı RBAC
- Tablo düzeyinde RBAC
Kaynak bağlamı ve tablo düzeyinde RBAC, Microsoft Sentinel deneyiminin tamamına erişime izin vermeden Microsoft Sentinel çalışma alanınızdaki belirli verilere erişim vermenin iki yoludur.
Rol ve izin önerileri
Microsoft Sentinel'de rollerin ve izinlerin nasıl çalıştığını anladıktan sonra kullanıcılarınıza rol uygulamak için şu en iyi yöntemleri gözden geçirebilirsiniz:
| Kullanıcı türü | Role | Kaynak grubu | Açıklama |
|---|---|---|---|
| Güvenlik analistleri | Microsoft Sentinel Yanıtlayıcısı | Microsoft Sentinel'in kaynak grubu | Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyin. Olayları atama veya kapatma gibi olayları yönetin. |
| Microsoft Sentinel Playbook Operatörü | Microsoft Sentinel'in kaynak grubu veya playbook'larınızın depolandığı kaynak grubu | Analiz ve otomasyon kurallarına playbook'lar ekleyin. Playbook'ları çalıştırın. |
|
| Güvenlik mühendisleri | Microsoft Sentinel Katkıda Bulunanı | Microsoft Sentinel'in kaynak grubu | Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyin. Olayları atama veya kapatma gibi olayları yönetin. Çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturun ve düzenleyin. İçerik hub'ından çözümleri yükleyin ve güncelleştirin. |
| Logic Apps Katkıda Bulunanı | Microsoft Sentinel'in kaynak grubu veya playbook'larınızın depolandığı kaynak grubu | Analiz ve otomasyon kurallarına playbook'lar ekleyin. Playbook'ları çalıştırın ve değiştirin. |
|
| Hizmet Sorumlusu | Microsoft Sentinel Katkıda Bulunanı | Microsoft Sentinel'in kaynak grubu | Yönetim görevleri için otomatik yapılandırma |
Alınan veya izlediğiniz verilere bağlı olarak daha fazla rol gerekebilir. Örneğin, diğer Microsoft portallarındaki hizmetler için veri bağlayıcıları ayarlamak için Güvenlik Yöneticisi rolü gibi Microsoft Entra rolleri gerekebilir.
Kaynak tabanlı erişim denetimi
Microsoft Sentinel çalışma alanınızda yalnızca belirli verilere erişmesi gereken ancak Microsoft Sentinel ortamının tamamına erişimi olmaması gereken bazı kullanıcılarınız olabilir. Örneğin, sahip oldukları sunucuların Windows olay verilerine erişimi olan güvenlik işlemlerinin dışında bir ekip sağlamak isteyebilirsiniz.
Böyle durumlarda, rol tabanlı erişim denetiminizi (RBAC) Microsoft Sentinel çalışma alanına veya belirli Microsoft Sentinel özelliklerine erişim sağlamak yerine kullanıcılarınıza izin verilen kaynaklara göre yapılandırmanızı öneririz. Bu yöntem, kaynak bağlamı RBAC'sini ayarlama olarak da bilinir. Daha fazla bilgi için bkz . Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.
Sonraki adımlar
Bu makalede, Microsoft Sentinel kullanıcıları için rollerle çalışmayı ve her rolün kullanıcıların neler yapmalarına olanak sağladığını öğrendiniz.