你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍了Microsoft Sentinel 如何为Microsoft Sentinel SIEM 和 Microsoft Sentinel 数据湖的用户角色分配权限,从而标识每个角色的允许作。
Microsoft Sentinel 使用 Azure 基于角色的访问控制(Azure RBAC) 为 Microsoft Sentinel SIEM 提供内置和自定义角色,Microsoft Entra ID 基于角色的访问控制(Microsoft Entra ID RBAC) 为 Microsoft Sentinel 数据湖提供内置和自定义角色。 可将角色分别分配给 Azure 或 Microsoft Entra ID 中的用户、组和服务。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户中推出正式版,没有 Microsoft Defender XDR 或 E5 许可证的客户也可以使用它。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
Microsoft Sentinel 的内置 Azure 角色
以下内置 Azure 角色用于 Microsoft Sentinel SIEM 并授予对工作区数据的读取访问权限,包括对 Microsoft Sentinel 数据湖的支持。 在资源组级别分配这些角色以获取最佳结果。
| 角色 | SIEM 支持 | Data Lake 支持 |
|---|---|---|
| Microsoft Sentinel 读者 | 查看数据、事件、工作簿和其他资源 | 访问高级分析,并仅在工作区上运行交互式查询。 |
| Microsoft Sentinel 响应者 | 所有读者权限,以及管理事件 | 无 |
| Microsoft Sentinel 参与者 | 所有响应者权限,以及安装/更新解决方案、创建/编辑资源 | 访问高级分析,并仅在工作区上运行交互式查询。 |
| Microsoft Sentinel Playbook 操作员 | 列出、查看和手动运行 playbook | 无 |
| Microsoft Sentinel 自动化参与者 | 允许 Microsoft Sentinel 将剧本添加到自动化规则中。 不用于用户帐户。 | 无 |
例如,下表显示了每个角色可以在 Microsoft Sentinel 中执行的任务示例:
| 角色 | 运行 playbook | 创建和编辑操作手册 | 创建/编辑分析规则、工作簿等。 | 管理事件 | 查看数据、事件、工作簿 | 管理内容中心 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 读者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 响应者 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 参与者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel Playbook 操作员 | ✓ | -- | -- | -- | -- | -- |
| 逻辑应用参与者 | ✓ | ✓ | -- | -- | -- | -- |
*具有工作簿参与者角色。
建议将角色分配给包含 Microsoft Sentinel 工作区的资源组。 这可确保所有相关资源(如“Logic Apps”和“playbooks”)都由相同的角色分配涵盖。
另一种选择是直接向 Microsoft Sentinel 工作区分配角色。 如果执行此操作,必须向该工作区中的 SecurityInsights 解决方案资源分配相同的角色。 可能还需要将它们分配给其他资源,并持续管理对资源的角色分配。
特定任务的其他角色
具有特定作业要求的用户可能需要分配有其他角色或特定的权限才能完成其任务。 例如:
| 任务 | 所需的角色/权限 |
|---|---|
| 连接数据源 | 对工作区的写入权限。 检查连接器文档,了解每个连接器所需的额外权限。 |
| 从内容中心管理内容 | 在资源组级别的 Microsoft Sentinel 参与者 |
| 使用 playbook 自动响应 | Microsoft Sentinel Playbook 操作员用于运行 playbook,逻辑应用参与者用来创建/编辑 playbook。 Microsoft Sentinel 使用剧本进行自动化威胁响应。 Playbooks 基于 Azure Logic Apps 构建,并且是独立的 Azure 资源。 对于安全运营团队的特定成员,你可能希望分配使用逻辑应用执行安全编排、自动化与响应 (SOAR) 操作的权限。 |
| 允许 Microsoft Sentinel 通过自动化运行 playbook | 服务帐户需要对 playbook 资源组具有显式权限;你的帐户需要 所有者 权限才能分配这些权限。 Microsoft Sentinel 使用特殊服务帐户手动运行事件触发器 playbook,或者通过自动化规则调用它们。 使用此帐户(相对于你的用户帐户)可提高服务的安全级别。 为使自动化规则可以运行 playbook,此帐户必须被授予访问 playbook 所在资源组的显式权限。 届时,任何自动化规则都将能够运行该资源组中的任何操作手册。 |
| 来宾用户分配事件 | 目录读取器 AND Microsoft Sentinel 响应程序 目录读取角色不是 Azure 角色,而是 Microsoft Entra ID 角色,普通用户默认被分配此角色。 |
| 创建/删除工作簿 | Microsoft Sentinel 参与者或等级更低的 Microsoft Sentinel 角色 AND 工作簿参与者 |
其他 Azure 和 Log Analytics 角色
分配特定于 Microsoft Sentinel 的 Azure 角色时,你可能会遇到可能向用户分配的用于其他用途的其他 Azure 和 Log Analytics 角色。 这些角色会授予更广泛的一组权限,包括访问 Microsoft Sentinel 工作区和其他资源的权限:
- Azure 角色:所有者、 参与者、 读者 – 跨 Azure 资源授予广泛访问权限。
- Log Analytics 角色:Log Analytics 参与者、 Log Analytics 读取者 – 授予对 Log Analytics 工作区的访问权限。
重要
角色的分配是渐进累积的。 具有 Microsoft Sentinel 读者 和 参与者 角色的用户可能具有比预期更多的权限。
Microsoft Sentinel 用户的建议角色分配
| 用户类型 | 角色 | 资源组 | 说明 |
|---|---|---|---|
| 安全分析师 | Microsoft Sentinel 响应者 | Microsoft Sentinel 资源组 | 查看/管理事件、数据、工作簿 |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel/playbook 资源组 | 附加/运行 playbook | |
| 安全工程师 | Microsoft Sentinel 参与者 | Microsoft Sentinel 资源组 | 管理事件、内容、资源 |
| 逻辑应用参与者 | Microsoft Sentinel/playbook 资源组 | 运行/修改剧本 | |
| Service Principal | Microsoft Sentinel 参与者 | Microsoft Sentinel 资源组 | 自动管理任务 |
Microsoft Sentinel data lake 的角色和权限(预览版)
若要使用 Microsoft Sentinel 数据湖,必须将工作区 载入 Defender 门户 和 Microsoft Sentinel 数据湖。
Microsoft Sentinel 数据湖读取权限
Microsoft Entra ID 角色提供跨数据湖中所有工作区的广泛访问权限。 使用以下角色提供对 Microsoft Sentinel data lake 中的所有工作区的读取访问权限,例如用于运行查询。
| 权限类型 | 支持的角色 |
|---|---|
| 跨所有工作区读取访问权限 | 使用以下任何 Microsoft Entra ID 角色: - 全局阅读器 - 安全读取器 - 安全作员 - 安全管理员 - 全局管理员 |
或者,你可能希望分配从特定工作区中读取表的功能。 在这种情况下,请使用以下项之一:
| 任务 | 权限 |
|---|---|
| 对默认工作区的读取权限 | 对 Microsoft Sentinel 数据收集,使用具有数据(读取)权限的自定义 Microsoft Defender XDR 统一 RBAC 角色。 |
| 对数据湖中为 Microsoft Sentinel 启用的任何其他工作区的读取权限 | 对于该工作区的权限,请使用 Azure RBAC 中的以下内置角色之一。 - Log Analytics 读者 - Log Analytics 参与者 - Microsoft Sentinel 参与者 - Microsoft Sentinel 读者 - 读者 - 参与者 - 所有者 |
Microsoft Sentinel 数据湖写入权限
Microsoft Entra ID 角色提供跨数据湖中所有工作区的广泛访问权限。 使用以下角色提供对 Microsoft Sentinel data lake 表的写入访问权限:
| 权限类型 | 支持的角色 |
|---|---|
| 使用 KQL 作业或笔记本写入分析层中的表 | 使用以下Microsoft Entra ID 角色之一: - 安全作员 - 安全管理员 - 全局管理员 |
| 向 Microsoft Sentinel 数据湖中的表写入 | 使用以下Microsoft Entra ID 角色之一: - 安全作员 - 安全管理员 - 全局管理员 |
或者,你可能想要分配将输出写入特定工作区的功能,包括在该工作区中创建、更新和删除的表。 在这种情况下,请使用以下项之一:
| 任务 | 权限 |
|---|---|
| 对于默认工作区的编辑权限 | 对 Microsoft Sentinel 数据收集,使用具有数据(管理)权限的自定义 Microsoft Defender XDR 统一 RBAC 角色。 |
| 对于数据湖中的其他任何 Microsoft Sentinel 工作区 | 使用在该工作区具有以下 Azure RBAC Microsoft Operational Insights 权限的任何内置角色或自定义角色: - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete 例如,包含这些权限的内置角色 Log Analytics 参与者、 所有者和 参与者。 |
管理 Microsoft Sentinel 数据湖中的作业
若要创建计划作业或管理 Microsoft Sentinel data lake 中的作业,必须具有以下Microsoft Entra ID 角色之一:
自定义角色和高级基于角色的访问控制(RBAC)
若要限制对特定数据(而不是整个工作区)的访问,请使用 资源上下文 RBAC 或 表级 RBAC。 这对于需要访问特定数据类型或表的团队非常有用。
否则,可以使用以下选项之一来实现高级访问控制(RBAC):
- 若要Microsoft Sentinel SIEM 访问,请使用 Azure 自定义角色。
- 对于 Microsoft Sentinel 数据湖,请使用 Defender XDR 统一的 RBAC 自定义角色。
相关内容
有关详细信息,请参阅 管理 Azure Monitor 中的日志数据和工作区