Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come Microsoft Sentinel assegna le autorizzazioni ai ruoli utente per Microsoft Sentinel SIEM e Microsoft Sentinel data lake, identificando le azioni consentite per ogni ruolo.
Microsoft Sentinel usa il controllo degli accessi in base al ruolo di Azure (Azure RBAC) per fornire ruoli predefiniti e personalizzati per Microsoft Sentinel SIEM, e il controllo degli accessi in base al ruolo di Microsoft Entra ID (Microsoft Entra ID RBAC) per fornire ruoli predefiniti e personalizzati per Microsoft Sentinel data lake.
Prima di assegnare i ruoli, vedere la guida alla pianificazione Passaggi per assegnare un ruolo Azure per determinare chi deve accedere, quale ruolo scegliere e quale ambito applicare.
Usare le istruzioni dettagliate seguenti per assegnare ruoli a utenti, gruppi e servizi in base al tipo di ruolo:
- ruoli Azure: assegnare ruoli Azure usando il portale di Azure
- Ruoli di Microsoft Entra ID: Assegnare i ruoli di Microsoft Entra
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Nota
Se si partecipa al programma di anteprima di Microsoft Defender XDR, ora è possibile provare il nuovo modello URBAC (controllo degli accessi unificato basato sui ruoli) di Microsoft Defender. Per altre informazioni, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Ruoli di Azure predefiniti per Microsoft Sentinel
I seguenti ruoli predefiniti di Azure vengono usati per Microsoft Sentinel SIEM e concedono l'accesso in lettura ai dati dell'area di lavoro, incluso il supporto per il data lake di Microsoft Sentinel. Assegnare questi ruoli a livello di gruppo di risorse per ottenere risultati ottimali.
| Ruolo | Supporto SIEM | Supporto di Data Lake |
|---|---|---|
| lettore Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro, consigli e altre risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| Microsoft Sentinel Responder | Tutte le autorizzazioni di lettura, oltre a gestire gli eventi imprevisti | N/D |
| Collaboratore Microsoft Sentinel | Tutte le autorizzazioni del risponditore, oltre alle soluzioni di installazione/aggiornamento, creazione/modifica delle risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| Operatore di playbook di Microsoft Sentinel | Elencare, visualizzare ed eseguire manualmente i playbook | N/D |
| Collaboratore all'automazione Microsoft Sentinel | Consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non utilizzato per gli account utente. | N/D |
La tabella seguente, ad esempio, mostra esempi di attività che ogni ruolo può eseguire in Microsoft Sentinel:
| Ruolo | Esegui playbook | Crea/modifica manuali operativi | Creare/modificare regole di analisi, cartelle di lavoro e così via. | Gestire gli incidenti | Visualizzare dati, eventi imprevisti, cartelle di lavoro, consigli | Gestire l'hub del contenuto |
|---|---|---|---|---|---|---|
| lettore Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel Responder | -- | -- | --* | ✓ | ✓ | -- |
| Collaboratore Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operatore di playbook di Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Collaboratore all'app per la logica | ✓ | ✓ | -- | -- | -- | -- |
*Con il ruolo di Collaboratore della cartella di lavoro.
È consigliabile assegnare ruoli al gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. Ciò garantisce che tutte le risorse correlate, ad esempio app per la logica e playbook, siano coperte dalle stesse assegnazioni di ruolo.
Come altra opzione, assegnare i ruoli direttamente all'area di lavoro Microsoft Sentinel stessa. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarle ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.
Ruoli aggiuntivi per attività specifiche
Per eseguire le attività, agli utenti con requisiti di processo specifici potrebbe essere necessario assegnare altri ruoli o autorizzazioni specifiche. Ad esempio:
| Attività | Ruoli/autorizzazioni necessari |
|---|---|
| Connettere origini dati | Autorizzazione di scrittura per l'area di lavoro. Controllare la documentazione del connettore per le autorizzazioni aggiuntive necessarie per ogni connettore. |
| Gestisci i contenuti da Content hub | Collaboratore di Microsoft Sentinel a livello del gruppo di risorse |
| Automatizza le risposte con i playbook |
Microsoft Sentinel Playbook Operator, per eseguire i playbook, e Logic App Contributor per creare/modificare i playbook. Microsoft Sentinel usa i playbook per la risposta automatica alle minacce. I playbook sono basati su app per la logica Azure e sono una risorsa Azure separata. Per membri specifici del team operativo di sicurezza, è possibile assegnare la possibilità di usare App per la logica per le operazioni di orchestrazione, automazione e risposta (SOAR) di sicurezza. |
| Consentire a Microsoft Sentinel di eseguire playbook tramite automazione | L'account di servizio richiede autorizzazioni esplicite per il gruppo di risorse del playbook; il tuo account deve disporre delle autorizzazioni Owner per assegnarle. Microsoft Sentinel usa un account di servizio speciale per eseguire manualmente i playbook attivati dagli incidenti o per richiamarli dalle regole di automazione. L'uso di questo account (anziché dell'account utente) aumenta il livello di sicurezza del servizio. Affinché una regola di automazione esegua un playbook, a questo account devono essere concesse autorizzazioni esplicite per il gruppo di risorse in cui risiede il playbook. A quel punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. |
| Gli utenti guest assegnano eventi imprevisti |
Directory Reader E Microsoft Sentinel Responder Il ruolo Lettore di directory non è un ruolo Azure, ma un ruolo Microsoft Entra ID e questo ruolo è assegnato per impostazione predefinita agli utenti normali (nonguest). |
| Creare/eliminare cartelle di lavoro | Collaboratore di Microsoft Sentinel o un ruolo di Microsoft Sentinel di livello inferiore e Collaboratore della cartella di lavoro |
Altri ruoli di Azure e Log Analytics
Quando assegni ruoli di Azure specifici per Microsoft Sentinel, potresti imbatterti anche in altri ruoli di Azure e di Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro Microsoft Sentinel e ad altre risorse:
- Azure ruoli:Proprietario, Collaboratore, Lettore: concedere un ampio accesso alle risorse Azure.
- Ruoli di Log Analytics:Collaboratore di Log Analytics, Lettore di Log Analytics: concedere l'accesso alle aree di lavoro di Log Analytics.
Importante
Le assegnazioni di ruolo sono cumulative. Un utente con entrambi i ruoli lettore e collaboratore Microsoft Sentinel può avere più autorizzazioni del previsto.
Assegnazioni di ruolo consigliate per gli utenti Microsoft Sentinel
| Tipo utente | Ruolo | Gruppo di risorse | Descrizione |
|---|---|---|---|
| Analisti della sicurezza | Microsoft Sentinel Responder | Microsoft Sentinel gruppo di risorse | Visualizzare/gestire eventi imprevisti, dati, cartelle di lavoro |
| Operatore dei playbook di Microsoft Sentinel | gruppo di risorse Microsoft Sentinel/playbook | Associare/eseguire playbook | |
| Tecnici della sicurezza | Collaboratore di Microsoft Sentinel | Microsoft Sentinel gruppo di risorse | Gestire eventi imprevisti, contenuto, risorse |
| Collaboratore all'app per la logica | gruppo di risorse Microsoft Sentinel/playbook | Eseguire/modificare playbook | |
| Entità servizio | Collaboratore di Microsoft Sentinel | Microsoft Sentinel gruppo di risorse | Attività di gestione automatizzate |
Ruoli e autorizzazioni per il data lake Microsoft Sentinel
Per usare il data lake Microsoft Sentinel, è necessario eseguire l'onboarding dell'area di lavoro nel portale di Defender e nel data lake Microsoft Sentinel.
Autorizzazioni di lettura del data lake di Microsoft Sentinel
I ruoli di Microsoft Entra ID forniscono un accesso esteso a tutti i contenuti del data lake. Usare i ruoli seguenti per fornire l'accesso in lettura a tutte le aree di lavoro all'interno del data lake Microsoft Sentinel, ad esempio per l'esecuzione di query.
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Accesso in lettura in tutte le aree di lavoro | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Lettore globale - Lettore di sicurezza - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
In alternativa, è possibile assegnare la possibilità di leggere le tabelle dall'interno di un'area di lavoro specifica. In questi casi, usare una delle opzioni seguenti:
| Attività | Autorizzazioni |
|---|---|
| Autorizzazioni di lettura per le tabelle di sistema | Usare un ruolo RBAC unificato personalizzato di Microsoft Defender XDR con autorizzazioni per le nozioni di base sui dati di sicurezza (lettura) per la raccolta dati di Microsoft Sentinel. |
| Autorizzazioni di lettura per qualsiasi altra area di lavoro abilitata per Microsoft Sentinel nel data lake | Usare uno dei seguenti ruoli predefiniti di Azure RBAC per le autorizzazioni per quell'area di lavoro: - Lettore di Log Analytics - Collaboratore di Log Analytics - Collaboratore Microsoft Sentinel - lettore Microsoft Sentinel - Lettore - Collaboratore - Proprietario |
Autorizzazioni di scrittura nel data lake di Microsoft Sentinel
I ruoli di Microsoft Entra ID forniscono un ampio accesso a tutte le aree di lavoro nel data lake. Usare i ruoli seguenti per fornire l'accesso in scrittura alle tabelle Microsoft Sentinel data lake:
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Scrivere nelle tabelle nel livello analitico usando processi KQL o notebook | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
| Scrivere nelle tabelle del data lake di Microsoft Sentinel | Usare uno dei ruoli di Microsoft Entra ID seguenti: - Operatore di sicurezza - Amministratore della sicurezza - amministratore globale |
In alternativa, è possibile assegnare la possibilità di scrivere l'output in un'area di lavoro specifica. Ciò può includere la possibilità di configurare i connettori per tale area di lavoro, modificare le impostazioni di conservazione per le tabelle nell'area di lavoro o creare, aggiornare ed eliminare tabelle personalizzate in tale area di lavoro. In questi casi, usare una delle opzioni seguenti:
| Attività | Autorizzazioni |
|---|---|
| Aggiornare le tabelle di sistema nel data lake | Usare un ruolo RBAC unificato personalizzato di Microsoft Defender XDR con autorizzazioni ai dati (gestione) per la raccolta dati di Microsoft Sentinel. |
| Per qualsiasi altra area di lavoro Microsoft Sentinel nel data lake | Usa qualsiasi ruolo predefinito o personalizzato che includa le seguenti autorizzazioni di Azure RBAC Microsoft operational insights in quell'area di lavoro: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Ad esempio, i ruoli predefiniti che includono queste autorizzazioni Collaboratore di Log Analytics, Proprietario e Collaboratore. |
Gestire i processi nel data lake Microsoft Sentinel
Per creare processi pianificati o per gestire i processi nel data lake Microsoft Sentinel, è necessario disporre di uno dei ruoli di Microsoft Entra ID seguenti:
Ruoli personalizzati e RBAC avanzato
Per limitare l'accesso a dati specifici, ma non all'intero spazio di lavoro, usa RBAC del contesto della risorsa o RBAC a livello di tabella. Ciò è utile per i team che devono accedere solo a determinati tipi di dati o tabelle.
In caso contrario, utilizzare una delle opzioni seguenti per l'RBAC avanzato:
- Per l'accesso SIEM di Microsoft Sentinel, usare ruoli personalizzati di Azure.
- Per il data lake di Microsoft Sentinel, usare ruoli personalizzati RBAC unificati di Defender XDR.
Contenuto correlato
Per altre informazioni, vedere Gestire i dati di log e le aree di lavoro in monitoraggio Azure