了解 Microsoft Sentinel 權限和角色

  • 5 分鐘

Microsoft Sentinel 使用 Azure 角色型存取控制 (Azure RBAC),以提供可在 Azure 中指派給使用者、群組與服務的內建角色。

您可以使用 Azure RBAC 來建立和指派安全性作業小組中的角色,以授與 Microsoft Sentinel 的適當存取權。 不同角色可供更精細地控制 Microsoft Sentinel 使用者可查看的內容及執行的動作。 Azure 角色可以直接在 Microsoft Sentinel 工作區中指派,或在 Microsoft Sentinel 將繼承的工作區所屬的訂閱或資源群組中指派。

Microsoft Sentinel 特定角色

所有 Microsoft Sentinel 內建角色都會授與 Microsoft Sentinel 工作區中資料的讀取存取:

  • Microsoft Sentinel 讀者:可檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源。

  • Microsoft Sentinel 回應程式:除了上述功能以外,還可以管理事件 (指派、關閉等)

  • Microsoft Sentinel 參與者:除了上述功能以外,還可以建立和編輯活頁簿、分析規則和其他 Microsoft Sentinel 資源。

  • Microsoft Sentinel 自動化參與者:可讓 Microsoft Sentinel 將劇本新增至自動化規則, 但不適用於使用者帳戶。

為了獲得最佳結果,請務必將這些角色指派給包含 Microsoft Sentinel 工作區的資源群組。 接著,這些角色會套用至部署的所有資源以支援 Microsoft Sentinel (若這些資源位於相同的資源群組中)。

其他角色和權限

具有特定作業需求的使用者可能需要獲派其他角色或特定權限,才能完成工作。

  • 使用劇本將對威脅的回應自動化

    Microsoft Sentinel 使用劇本將對威脅的回應自動化。 劇本是以 Azure Logic Apps 為基礎所建置,而且是獨立的 Azure 資源。 您可能想要指派安全性作業小組的特定成員,可以使用 Logic Apps 進行安全性協調流程、自動化和回應 (SOAR) 作業的能力。 您可以使用邏輯應用程式參與者角色來指派使用劇本的明確權限。

  • 授與 Microsoft Sentinel 執行劇本的權限

    Microsoft Sentinel 會使用特殊服務帳戶手動執行事件觸發程序劇本,或透過自動化規則呼叫劇本。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。

    為了讓自動化規則可執行劇本,必須將劇本所在資源群組的明確權限授與此帳戶。 這樣一來,所有自動化規則都可以在該資源群組中執行任何劇本。 若要將這些權限授與此服務帳戶,您的帳戶必須具有劇本所屬資源群組的擁有者權限。

  • 將資料來源連接至 Microsoft Sentinel

    若要讓使用者新增資料連接器,您必須在 Microsoft Sentinel 工作區為使用者指派寫入權限。 此外,請記下每個連接器的其他必要權限,如相關連接器頁面上所列。

  • 來賓使用者指派事件

    如果要讓來賓使用者能夠指派事件,除了 Microsoft Sentinel 回應者角色之外,還必須將目錄讀者角色指派給該使用者。 此角色不是 Azure 角色,而是 Microsoft Entra 角色;一般 (非來賓) 使用者預設會獲派此角色。

  • 建立和刪除活頁簿

    若要建立和刪除 Microsoft Sentinel 活頁簿,使用者需要具備 Microsoft Sentinel 參與者角色,或是較低階的 Microsoft Sentinel 角色加上活頁簿參與者的 Azure 監視器角色。 使用活頁簿不需要此角色,只有建立和刪除活頁簿時才需要。

Azure 角色和 Azure 監視器 Log Analytics 角色

除了 Microsoft Sentinel 專用的 Azure RBAC 角色以外,其他 Azure 與 Log Analytics Azure RBAC 角色可以授與一組更廣泛的權限。 這些角色包括 Microsoft Sentinel 工作區及其他資源的存取權。

  • Azure 角色會授與所有 Azure 資源的存取權。 其中包括 Log Analytics 工作區與 Microsoft Sentinel 資源:

    • 擁有者

    • 參與者

    • 讀取者

  • Log Analytics 角色會授與所有 Log Analytics 工作區的存取權:

    • Log Analytics 參與者

    • Log Analytics 讀者

舉例來說,獲派 Microsoft Sentinel 讀者與 Azure 參與者 (並非 Microsoft Sentinel 參與者) 角色的使用者,可以在 Microsoft Sentinel 中編輯資料。 若您只想要將權限授與 Microsoft Sentinel,請謹慎移除使用者先前的權限。 並確定不會中斷另一個資源所需的任何權限角色。

Microsoft Sentinel 角色和允許的動作

下表對 Microsoft Sentinel 中的角色和允許的動作提供了摘要說明。

角色 建立和執行劇本 建立和編輯活頁簿、分析規則和其他 Microsoft Sentinel 資源 管理事件,例如關閉和指派 檢視資料、事件、活頁簿及其他 Microsoft Sentinel 資源
Microsoft Sentinel 讀者 No No Yes
Microsoft Sentinel 回應程式 No Yes
Microsoft Sentinel 參與者 No Yes Yes
Microsoft Sentinel 參與者和邏輯應用程式參與者 Yes Yes Yes Yes

自訂角色和進階 Azure RBAC

如果內建 Azure 角色無法滿足組織的特定需求,則可建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶與資源群組範圍內的使用者、群組與服務主體。