Información sobre los permisos y roles de Microsoft Sentinel

Microsoft Sentinel utiliza el control de acceso basado en rol de Azure (RBAC de Azure) para proporcionar roles integrados que se pueden asignar a usuarios, grupos y servicios en Azure.

Use RBAC de Azure para crear y asignar roles en el equipo de operaciones de seguridad para conceder acceso adecuado a Microsoft Sentinel. Los distintos roles proporcionan un control específico sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo de Microsoft Sentinel, o bien en una suscripción o un grupo de recursos al que pertenece el área de trabajo, y que Microsoft Sentinel heredará.

Roles específicos de Microsoft Sentinel

Todos los roles integrados de Microsoft Sentinel conceden acceso de lectura a los datos del área de trabajo de Microsoft Sentinel:

• Lector de Microsoft Sentinel: puede ver datos, incidentes, libros y otros recursos de Microsoft Sentinel.

• Respondedor de Microsoft Sentinel: puede, además de lo anterior, administrar incidentes (asignar, descartar, etc.)

• Colaborador de Microsoft Sentinel: puede, además de lo anterior, crear y editar libros, reglas de análisis y otros recursos de Microsoft Sentinel.

• Colaborador de automatización de Microsoft Sentinel: permite que Microsoft Sentinel agregue cuadernos de estrategias a las reglas de automatización. No está diseñado para las cuentas de usuario.

Para obtener los mejores resultados, estos roles se deben asignar al grupo de recursos que contiene el área de trabajo de Microsoft Sentinel. Luego, los roles se aplican a todos los recursos que se implementan para admitir Microsoft Sentinel, siempre que esos recursos se encuentren en el mismo grupo.

Roles y permisos adicionales

Es posible que sea necesario asignar otros roles o permisos específicos a los usuarios con requisitos de trabajo concretos para que puedan realizar sus tareas.

• Trabajar con cuadernos de estrategias para automatizar las respuestas a las amenazas

  Microsoft Sentinel utiliza cuadernos de estrategias para la respuesta automatizada a amenazas. Los cuadernos de estrategias se basan en Azure Logic Apps y son un recurso de Azure independiente. Es posible que desee asignar a miembros específicos del equipo de operaciones de seguridad la capacidad de usar las operaciones de orquestación, automatización y respuesta de Logic Apps for Security Orchestration, Automation y Response (SOAR). Puede usar el rol Colaborador de aplicación lógica para asignar permisos explícitos para usar cuadernos de estrategias.

• Concesión de permisos de Microsoft Sentinel para ejecutar cuadernos de estrategias

  Microsoft Sentinel usa una cuenta de servicio especial para ejecutar manualmente cuadernos de estrategias desencadenadores de incidentes o llamarlos a partir de reglas de automatización. El uso de esta cuenta (en lugar de su cuenta de usuario) aumenta el nivel de seguridad del servicio.

  Para que una regla de automatización ejecute un cuaderno de estrategias, esta cuenta debe conceder permisos explícitos al grupo de recursos donde reside el cuaderno de estrategias. En ese momento, cualquier regla de automatización podrá ejecutar cualquier cuaderno de estrategias de ese grupo de recursos. Para conceder estos permisos a esta cuenta de servicio, la cuenta debe tener permisos de propietario en los grupos de recursos que contienen los cuadernos de estrategias.

• Conexión de orígenes de datos a Microsoft Sentinel

  Para que un usuario agregue conectores de datos, deberá asignar permisos de escritura de usuario en el área de trabajo de Microsoft Sentinel. Además, tenga en cuenta los otros permisos necesarios para cada conector, tal como se muestra en la página del conector correspondiente.

• Los usuarios invitados asignan incidentes

  Si un usuario invitado necesita poder asignar incidentes, además del rol de respondedor de Microsoft Sentinel, el usuario también tendrá que tener asignado el rol lector de directorios. Este no es un rol de Azure, sino de Microsoft Entra y los usuarios normales (no invitados) tienen este rol asignado de manera predeterminada.

• Creación y eliminación de libros

  Para crear y eliminar un libro de Microsoft Sentinel, el usuario requiere el rol Colaborador de Microsoft Sentinel o un rol de Microsoft Sentinel menor más el rol de Colaborador del libro de Azure Monitor. Este rol no es necesario para usar los libros, solo para crearlos y eliminarlos.

Roles de Azure y roles de Log Analytics de Azure Monitor

Además de los roles RBAC de Azure dedicados a Microsoft Sentinel, otros roles RBAC de Log Analytics y Azure pueden conceder un conjunto más amplio de permisos. Estos roles incluyen el acceso al área de trabajo de Microsoft Sentinel y a otros recursos.

• Los roles de Azure conceden acceso a todos los recursos de Azure. Incluyen áreas de trabajo de Log Analytics y recursos de Microsoft Sentinel:

  • Propietario

  • Colaborador

  • Lector

• Los roles de Log Analytics conceden acceso a todas las áreas de trabajo de Log Analytics:

  • Colaborador de Log Analytics

  • Lector de Log Analytics

Por ejemplo, un usuario al que se le asignen los roles Lector de Microsoft Sentinel y Colaborador de Azure (no Colaborador de Microsoft Sentinel) puede editar datos en Microsoft Sentinel. Si solo quiere conceder permisos para Microsoft Sentinel, debe quitar detenidamente los permisos anteriores del usuario. Asegúrese de no interrumpir ningún rol de permisos necesario para otro recurso.

Roles de Microsoft Sentinel y acciones permitidas

En la tabla siguiente se resumen los roles y las acciones permitidas en Microsoft Sentinel.

Roles personalizados y Azure RBAC avanzado

Si los roles integrados de Azure no satisfacen las necesidades específicas de su organización, puede crear sus propios roles personalizados. Al igual que los roles integrados, puede asignar roles personalizados a usuarios, grupos y entidades de servicio en ámbitos de grupo de administración, suscripción y grupo de recursos.