Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como o Microsoft Sentinel atribui permissões a funções de usuário para o SIEM do Microsoft Sentinel e o data lake do Microsoft Sentinel, identificando as ações permitidas para cada função.
O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (Azure RBAC) para fornecer funções integradas e personalizadas para o Microsoft Sentinel SIEM e o controle de acesso baseado em função do Microsoft Entra ID (Microsoft Entra ID RBAC) para fornecer funções integradas e personalizadas para o data lake do Microsoft Sentinel. As funções podem ser atribuídas a usuários, grupos e serviços no Azure ou na ID do Microsoft Entra, respectivamente.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Funções internas do Azure para Microsoft Sentinel
As seguintes funções internas do Azure são usadas para o Microsoft Sentinel SIEM e concedem acesso de leitura aos dados do espaço de trabalho, incluindo suporte para o data lake do Microsoft Sentinel. Atribua essas funções no nível do grupo de recursos para obter melhores resultados.
| Função | Suporte ao SIEM | Suporte ao Data Lake |
|---|---|---|
| Leitor do Microsoft Sentinel | Exibir dados, incidentes, pastas de trabalho e outros recursos | Acesse a análise avançada e execute consultas interativas somente em workspaces. |
| Respondente do Microsoft Sentinel | Todas as permissões de Leitor, além de gerenciar incidentes | Não aplicável |
| Colaborador do Microsoft Sentinel | Todas as permissões de Respondente, além de instalar/atualizar soluções, criar/editar recursos | Acesse análises avançadas e execute consultas interativas apenas em espaços de trabalho. |
| Operador de guia estratégico do Microsoft Sentinel | Listar, exibir e executar manualmente guias estratégicos | Não aplicável |
| Colaborador de Automação do Microsoft Sentinel | Permite que o Microsoft Sentinel adicione guias estratégicos às regras de automação. Não usado para contas de usuário. | Não aplicável |
Por exemplo, a tabela a seguir mostra exemplos de tarefas que cada função pode executar no Microsoft Sentinel:
| Função | Executar guias estratégicos | Criar/editar guias estratégicos | Criar/editar regras de análise, pastas de trabalho etc. | Gerenciar incidentes | Exibir dados, incidentes, pastas de trabalho | Gerenciar o hub de conteúdo |
|---|---|---|---|---|---|---|
| Leitor do Microsoft Sentinel | -- | -- | --* | -- | ✓ | -- |
| Respondente do Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Colaborador do Microsoft Sentinel | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Operador de guia estratégico do Microsoft Sentinel | ✓ | -- | -- | -- | -- | -- |
| Colaborador de Aplicativo Lógico | ✓ | ✓ | -- | -- | -- | -- |
*Com a função Colaborador da pasta de trabalho.
Recomendamos que você atribua funções ao grupo de recursos que contém o workspace do Microsoft Sentinel. Isso garante que todos os recursos relacionados, como Logic Apps e playbooks, sejam cobertos pelas mesmas atribuições de função.
Como outra opção, atribua as funções diretamente ao próprio espaço de trabalho do Microsoft Sentinel. Caso faça isto, deverá atribuir as mesmas funções ao recurso da solução SecurityInsights neste espaço de trabalho. Talvez você também precise atribuí-los a outros recursos e gerenciar continuamente as atribuições de função aos recursos.
Funções adicionais para tarefas específicas
Os usuários com exigências específicas de trabalho poderão precisar ser designados a outras funções ou permissões específicas para realizar tarefas. Por exemplo:
| Tarefa | Funções/permissões necessárias |
|---|---|
| Conectar fontes de dados | Permissão de gravação no workspace. Verifique os documentos do conector para obter permissões extras necessárias por conector. |
| Gerenciar conteúdo do Hub de Conteúdo | Colaborador do Microsoft Sentinel no nível do grupo de recursos |
| Automatizar respostas com guias estratégicos | Operador de guia estratégico do Microsoft Sentinel, para executar guias estratégicos e Colaborador de Aplicativo Lógico para criar/editar guias estratégicos. O Microsoft Sentinel usa guias estratégicos para resposta automatizada contra ameaças. Os guias estratégicos são criados nos Aplicativos Lógicos do Azure e são um recurso separado do Azure. Para membros específicos de sua equipe de operações de segurança, talvez você queira atribuir a habilidade de usar os Aplicativos Lógicos para SOAR (Orquestração de Segurança, Automação e Resposta). |
| Permitir que o Microsoft Sentinel execute guias estratégicos por meio da automação | A conta de serviço precisa de permissões explícitas para o grupo de recursos do guia estratégico; sua conta precisa de permissões de Proprietário para atribuí-las. O Azure Sentinel usa uma conta de serviço especial para executar manualmente guias estratégicos de gatilho de incidentes ou para chamá-los por meio de regras de automação. O uso dessa conta (em vez da conta de usuário) aumenta o nível de segurança do serviço. Para que uma regra de automação execute um guia estratégico, essa conta deve receber permissões explícitas para o grupo de recursos em que o guia estratégico reside. Nesse ponto, qualquer regra de automação poderá executar qualquer guia estratégico nesse grupo de recursos. |
| Usuários convidados atribuem incidentes | Leitor de Diretório E Microsoft Sentinel Responde A função Leitor de Diretório não é uma função do Azure, mas uma função de ID do Microsoft Entra e usuários regulares (nonguest) têm essa função atribuída por padrão. |
| Criar/excluir pastas de trabalho | Colaborador do Microsoft Sentinel ou uma função menor do Microsoft Sentinel E Colaborador de Workbook |
Outras funções do Azure e do Log Analytics
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode encontrar outras funções do Azure e do Log Analytics que podem ser atribuídas aos usuários para outras finalidades. Estas funções concedem um conjunto mais amplo de permissões que incluem acesso ao seu espaço de trabalho do Microsoft Sentinel e outros recursos:
- Funções do Azure:Proprietário, Colaborador, Leitor – concede amplo acesso aos recursos do Azure.
- Funções do Log Analytics:Colaborador do Log Analytics, Leitor do Log Analytics – conceda acesso aos workspaces do Log Analytics.
Importante
As atribuições de função são cumulativas. Um usuário com funções de Leitor e Colaborador do Microsoft Sentinel pode ter mais permissões do que o esperado.
Atribuições de função recomendadas para usuários do Microsoft Sentinel
| Tipo de usuário | Função | Resource group | Descrição |
|---|---|---|---|
| Analistas de segurança | Respondente do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Exibir/gerenciar incidentes, dados, pastas de trabalho |
| Operador de Guia Estratégico do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel/playbook | Anexar/executar guias estratégicos | |
| Engenheiros de segurança | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Gerenciar incidentes, conteúdo, recursos |
| Colaborador do Aplicativo Lógico | Grupo de recursos do Microsoft Sentinel/playbook | Executar/modificar guias estratégicos | |
| Entidade de Serviço | Colaborador do Microsoft Sentinel | Grupo de recursos do Microsoft Sentinel | Tarefas de gerenciamento automatizado |
Funções e permissões para o data lake do Microsoft Sentinel (versão prévia)
Para usar o data lake do Microsoft Sentinel, seu workspace deve ser integrado ao portal do Defender e ao data lake do Microsoft Sentinel.
Permissões de leitura do Data Lake do Microsoft Sentinel
As funções do Microsoft Entra ID fornecem amplo acesso em todos os workspaces no data lake. Use as funções a seguir para fornecer acesso de leitura a todos os workspaces dentro do data lake do Microsoft Sentinel, como para executar consultas.
| Tipo de permissão | Funções compatíveis |
|---|---|
| Acesso de leitura em todos os espaços de trabalho | Use qualquer uma das seguintes funções do Microsoft Entra ID: - Leitor global - Leitor de segurança - Operador de segurança - Administrador de segurança - Administrador global |
Como alternativa, talvez você queira atribuir a capacidade de ler tabelas de dentro de um espaço de trabalho específico. Nesses casos, use um dos seguintes:
| Tarefas | Permissões |
|---|---|
| Permissões de leitura no workspace padrão | Use uma função RBAC unificada do Microsoft Defender XDR personalizada com permissões de dados (leitura) na coleção de dados do Microsoft Sentinel. |
| Permissões de leitura em qualquer outro espaço de trabalho habilitado para Microsoft Sentinel no data lake | Use uma das seguintes funções predefinidas no RBAC do Azure para permissões nesse workspace: - Leitor do Log Analytics - Colaborador do Log Analytics - Colaborador do Microsoft Sentinel - Leitor do Microsoft Sentinel - Leitor - Colaborador - Proprietário |
Permissões de gravação do Data Lake do Microsoft Sentinel
As funções de ID do Microsoft Entra fornecem amplo acesso em todos os workspaces no data lake. Use as seguintes funções para fornecer acesso de gravação às tabelas data lake do Microsoft Sentinel:
| Tipo de permissão | Funções compatíveis |
|---|---|
| Gravar em tabelas na camada de análise de dados usando tarefas KQL ou notebooks | Use uma das seguintes funções de ID do Microsoft Entra: - Operador de segurança - Administrador de segurança - Administrador global |
| Escrever em tabelas no lake de dados do Microsoft Sentinel | Use uma das seguintes roles do Microsoft Entra ID: - Operador de segurança - Administrador de segurança - Administrador global |
Como alternativa, talvez você queira atribuir a capacidade de gravar a saída em um workspace específico, incluindo criar, atualizar e excluir tabelas nesse workspace. Nesses casos, use um dos seguintes:
| Tarefas | Permissões |
|---|---|
| Para permissões de edição no workspace padrão | Use uma função RBAC unificada do Microsoft Defender XDR personalizada com permissões de dados (gerenciar) na coleção de dados do Microsoft Sentinel. |
| Para qualquer outro espaço de trabalho do Microsoft Sentinel no lago de dados | Use qualquer função interna ou personalizada que inclua as seguintes permissões de insights operacionais da Microsoft do RBAC do Azure nesse workspace: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete Por exemplo, funções internas que incluem essas permissões: Colaborador do Log Analytics, Proprietário e Colaborador. |
Gerenciar trabalhos no data lake do Microsoft Sentinel
Para criar trabalhos agendados ou gerenciar trabalhos no data lake do Microsoft Sentinel, você deve ter uma das seguintes funções de ID do Microsoft Entra:
Funções personalizadas e RBAC avançado
Para restringir o acesso a dados específicos, mas não a todo o espaço de trabalho, use RBAC de contexto de recurso ou RBAC de nível de tabela. Isso é útil para equipes que precisam de acesso apenas a determinados tipos de dados ou tabelas.
Caso contrário, use uma das seguintes opções para RBAC avançado.
- Para acesso ao SIEM do Microsoft Sentinel, use funções personalizadas do Azure.
- Para o data lake do Microsoft Sentinel, use funções personalizadas RBAC unificadas do Defender XDR.
Conteúdo relacionado
Para obter mais informações, consulte Gerenciar dados de log e workspaces no Azure Monitor