Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra in che modo Microsoft Sentinel assegna le autorizzazioni ai ruoli utente per microsoft Sentinel SIEM e Microsoft Sentinel data lake, identificando le azioni consentite per ogni ruolo.
Microsoft Sentinel usa il controllo degli accessi in base al ruolo di Azure per fornire ruoli predefiniti e personalizzati per il siem di Microsoft Sentinel e il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo microsoft Entra ID) per fornire ruoli predefiniti e personalizzati per il data lake di Microsoft Sentinel. I ruoli possono essere assegnati rispettivamente a utenti, gruppi e servizi in Azure o microsoft Entra ID.
Important
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Important
Microsoft consiglia di usare i ruoli con minori autorizzazioni. Ciò consente di migliorare la sicurezza dell'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Ruoli predefiniti di Azure per Microsoft Sentinel
I ruoli predefiniti di Azure seguenti vengono usati per il sistema SIEM di Microsoft Sentinel e consentono l'accesso in lettura ai dati dell'area di lavoro, incluso il supporto per il data lake di Microsoft Sentinel. Assegnare questi ruoli a livello di gruppo di risorse per ottenere risultati ottimali.
| Role | Supporto SIEM | Supporto di Data Lake |
|---|---|---|
| Lettore di Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| Risponditore di Microsoft Sentinel | Tutte le autorizzazioni lettore, oltre alla gestione degli incidenti | N/A |
| Collaboratore di Microsoft Sentinel | Tutte le autorizzazioni del risponditore, oltre alle soluzioni di installazione/aggiornamento, alla creazione/modifica delle risorse | Accedere all'analisi avanzata ed eseguire query interattive solo nelle aree di lavoro. |
| Operatore playbook di Microsoft Sentinel | Elencare, visualizzare ed eseguire manualmente playbook | N/A |
| Collaboratore all'automazione di Microsoft Sentinel | Consente a Microsoft Sentinel di aggiungere i playbook alle regole di automazione. Non usato per gli account utente. | N/A |
Ad esempio, la tabella seguente mostra esempi di attività che ogni ruolo può eseguire in Microsoft Sentinel:
| Role | Eseguire playbook | Creare/modificare playbook | Creare/modificare regole di analisi, cartelle di lavoro e così via. | Gestire gli incidenti | Visualizzare dati, eventi imprevisti, cartelle di lavoro | Gestire l'hub del contenuto |
|---|---|---|---|---|---|---|
| Lettore di Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Risponditore di Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Collaboratore di Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operatore playbook di Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Collaboratore app per la logica | ✓ | ✓ | -- | -- | -- | -- |
Con il ruolo di Collaboratore della cartella di lavoro.
È consigliabile assegnare ruoli al gruppo di risorse che contiene l'area di lavoro di Microsoft Sentinel. Ciò garantisce che tutte le risorse correlate, ad esempio App per la logica e playbook, siano coperte dalle stesse assegnazioni di ruolo.
Un'altra opzione consiste nell'assegnare i ruoli direttamente nell'area di lavoro di Microsoft Sentinel. In questo caso, è necessario assegnare gli stessi ruoli alla risorsa della soluzione SecurityInsights in tale area di lavoro. Potrebbe anche essere necessario assegnarli ad altre risorse e gestire continuamente le assegnazioni di ruolo alle risorse.
Ruoli aggiuntivi per attività specifiche
Gli utenti con requisiti di processo specifici potrebbero dover essere assegnati ad altri ruoli o autorizzazioni specifiche per eseguire le attività. Per esempio:
| Task | Ruoli/autorizzazioni necessari |
|---|---|
| Connettere le origini dati | Autorizzazione di scrittura per l'area di lavoro. Controllare la documentazione del connettore per ottenere autorizzazioni aggiuntive necessarie per ogni connettore. |
| Gestire il contenuto da Content Hub | Collaboratore di Microsoft Sentinel a livello di gruppo di risorse |
| Automatizzare le risposte con playbook |
Operatore playbook di Microsoft Sentinel, per eseguire playbook e Collaboratore app per la logica per creare/modificare playbook. Microsoft Sentinel usa i playbook per la risposta automatica alle minacce. I playbook sono costruiti su Azure Logic Apps e costituiscono una risorsa Azure separata. Per membri specifici del team delle operazioni di sicurezza, potresti voler assegnare la possibilità di utilizzare le app di Logica per le operazioni di Orchestrazione, Automazione e Risposta della Sicurezza (SOAR). |
| Consentire a Microsoft Sentinel di eseguire playbook tramite automazione | L'account del servizio richiede autorizzazioni esplicite per il gruppo di risorse playbook; l'account deve disporre delle autorizzazioni di proprietario per assegnarle. Microsoft Sentinel usa uno speciale account del servizio per eseguire manualmente i playbook di trigger degli eventi imprevisti o per chiamarli dalle regole di automazione. L'uso di questo account al posto dell'account utente aumenta il livello di sicurezza del servizio. Affinché una regola di automazione esegua un playbook, all'account devono essere concesse autorizzazioni esplicite al gruppo di risorse in cui risiede il playbook. A questo punto, qualsiasi regola di automazione può eseguire qualsiasi playbook in tale gruppo di risorse. |
| Gli utenti guest assegnano incidenti |
Lettore di directory AND Microsoft Sentinel Responder Il ruolo Lettore directory non è un ruolo di Azure, ma un ruolo ID Entra Microsoft e gli utenti normali (non guest) hanno questo ruolo assegnato per impostazione predefinita. |
| Creare/eliminare cartelle di lavoro | Collaboratore di Microsoft Sentinel o ruolo minore di Microsoft Sentinel E Collaboratore cartella di lavoro |
Altri ruoli di Azure e Log Analytics
Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere assegnati agli utenti per altri scopi. Questi ruoli concedono un set più ampio di autorizzazioni che includono l'accesso all'area di lavoro di Microsoft Sentinel e ad altre risorse:
- Ruoli di Azure:Proprietario, Collaboratore, Lettore: concedere l'accesso generale tra le risorse di Azure.
- Ruoli di Log Analytics:Collaboratore Log Analytics, Lettore Log Analytics : concedere l'accesso alle aree di lavoro Log Analytics.
Important
Le assegnazioni di ruolo sono cumulative. Un utente con ruoli lettore e collaboratore di Microsoft Sentinel può avere più autorizzazioni di quelle previste.
Assegnazioni di ruolo consigliate per gli utenti di Microsoft Sentinel
| Tipo utente | Role | Gruppo di risorse | Description |
|---|---|---|---|
| Analisti della sicurezza | Risponditore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Visualizzare/gestire eventi imprevisti, dati, cartelle di lavoro |
| Operatore playbook di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel/playbook | Allegare/eseguire playbook | |
| Ingegneri della sicurezza | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Gestire eventi imprevisti, contenuto, risorse |
| Collaboratore di Logic App | Gruppo di risorse di Microsoft Sentinel/playbook | Eseguire/modificare playbook | |
| Entità servizio | Collaboratore di Microsoft Sentinel | Gruppo di risorse di Microsoft Sentinel | Attività di gestione automatizzate |
Ruoli e autorizzazioni per il data lake di Microsoft Sentinel
Per usare il data lake di Microsoft Sentinel, è necessario eseguire l'onboarding dell'area di lavoro nel portale di Defender e nel data lake di Microsoft Sentinel.
Autorizzazioni di lettura del data lake di Microsoft Sentinel
I ruoli ID Di Microsoft Entra offrono un accesso ampio a tutti i contenuti nel data lake. Usare i ruoli seguenti per fornire l'accesso in lettura a tutte le aree di lavoro all'interno del data lake di Microsoft Sentinel, ad esempio per l'esecuzione di query.
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Accesso in lettura in tutte le aree di lavoro | Usare uno qualsiasi dei seguenti ruoli Microsoft Entra ID: - Lettore globale - Lettore di sicurezza - Operatore della sicurezza - Amministratore della sicurezza - Amministratore globale |
In alternativa, è possibile assegnare la possibilità di leggere le tabelle dall'interno di un'area di lavoro specifica. In questi casi, usare una delle opzioni seguenti:
| Tasks | Permissions |
|---|---|
| Autorizzazioni di lettura per le tabelle di sistema | Usare un ruolo personalizzato di Controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR con dati (lettura) per la raccolta di dati di Microsoft Sentinel. |
| Autorizzazioni di lettura per qualsiasi altra area di lavoro abilitata per Microsoft Sentinel nel data lake | Usare uno dei seguenti ruoli predefiniti in Azure RBAC per le autorizzazioni di quell'area di lavoro. - Lettore Log Analytics - Collaboratore Log Analytics - Collaboratore Microsoft Sentinel - Lettore Microsoft Sentinel - Lettore - Collaboratore - Proprietario |
Autorizzazioni di scrittura per Data Lake di Microsoft Sentinel
I ruoli ID Di Microsoft Entra offrono un accesso ampio in tutte le aree di lavoro nel data lake. Usare i ruoli seguenti per fornire l'accesso in scrittura alle tabelle data lake di Microsoft Sentinel:
| Tipo di autorizzazione | Ruoli supportati |
|---|---|
| Scrivere in tabelle nel livello di analisi usando processi o notebook KQL | Usare uno dei ruoli seguenti di Microsoft Entra ID: - Operatore della sicurezza - Amministratore della sicurezza - Amministratore globale |
| Scrivere in tabelle nel data lake di Microsoft Sentinel | Usare uno dei ruoli seguenti di Microsoft Entra ID: - Operatore della sicurezza - Amministratore della sicurezza - Amministratore globale |
In alternativa, è possibile assegnare la possibilità di scrivere output in un'area di lavoro specifica. Ciò può includere la possibilità di configurare i connettori per tale area di lavoro, di modificare le impostazioni di conservazione per le tabelle nell'area di lavoro o di creare, aggiornare ed eliminare tabelle personalizzate in tale area di lavoro. In questi casi, usare una delle opzioni seguenti:
| Tasks | Permissions |
|---|---|
| Aggiornare le tabelle di sistema nel data lake | Usare un ruolo personalizzato Controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR con autorizzazioni (di gestione) dati per la raccolta di dati di Microsoft Sentinel. |
| Per qualsiasi altra area di lavoro di Microsoft Sentinel nel data lake | Usare qualsiasi ruolo predefinito o personalizzato che includa le autorizzazioni seguenti Dati dettagliati operativi di Microsoft di controllo degli accessi in base al ruolo per tale area di lavoro: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Ad esempio, i ruoli predefiniti che includono queste autorizzazioni Collaboratore Log Analytics, Proprietario e Collaboratore. |
Gestire i processi nel data lake di Microsoft Sentinel
Per creare processi pianificati o per gestire i processi nel data lake di Microsoft Sentinel, è necessario disporre di uno dei ruoli seguenti per l'ID Entra di Microsoft:
Ruoli personalizzati e RBAC avanzato
Per limitare l'accesso a dati specifici, ma non all'intera area di lavoro, usa RBAC nel contesto delle risorse o RBAC a livello di tabella. Ciò è utile per i team che necessitano dell'accesso solo a determinati tipi di dati o tabelle.
In caso contrario, usa una delle seguenti opzioni per l'RBAC avanzato.
- Per l'accesso SIEM di Microsoft Sentinel, usare i ruoli personalizzati di Azure.
- Per il data lake di Microsoft Sentinel, utilizzare ruoli RBAC unificati personalizzati di Defender XDR.
Contenuti correlati
Per altre informazioni, vedere Gestire i dati di log e le aree di lavoro in Monitoraggio di Azure