Microsoft Sentinel 권한 및 역할 이해
Microsoft Sentinel은 Azure에서 사용자, 그룹, 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다.
Azure RBAC를 사용하여 역할을 만들고 보안 운영 팀 내에 할당하여 Microsoft Sentinel에 대한 적절한 액세스 권한을 부여합니다. 다양한 역할을 사용하면 Microsoft Sentinel 사용자가 보고 수행할 수 있는 항목을 세밀하게 제어할 수 있습니다. Azure 역할을 Microsoft Sentinel 작업 영역에서 직접 할당하거나 작업 영역이 속해 있는 구독이나 리소스 그룹(Azure Sentinel에서 상속)에서 할당할 수 있습니다.
Microsoft Sentinel 전용 역할
모든 기본 제공 Microsoft Sentinel 역할은 Microsoft Sentinel 작업 영역에 있는 데이터에 대한 읽기 권한을 부여합니다.
Microsoft Sentinel 읽기 권한자: 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스를 볼 수 있습니다.
Microsoft Sentinel 응답자: 위와 더불어 인시던트를 할당하거나 해제하는 등 관리할 수 있습니다.
Microsoft Sentinel 기여자: 위 항목 외에도 통합 문서, 분석 규칙 및 기타 Microsoft Sentinel 리소스를 만들고 편집할 수 있습니다.
Microsoft Sentinel 자동화 기여자: Microsoft Sentinel에서 플레이북을 자동화 규칙에 추가하도록 허용합니다. 이 역할은 사용자 계정에 할당할 수 없습니다.
최상의 결과를 얻으려면 이러한 역할을 Microsoft Sentinel 작업 영역을 포함하는 리소스 그룹에 할당해야 합니다. 그러면 같은 리소스 그룹에 있을 경우, Microsoft Sentinel을 지원하기 위해 배포되는 모든 리소스에 역할이 적용됩니다.
추가 역할 및 권한
특정 작업 요구 사항을 가진 사용자는 작업을 수행하기 위해 기타 역할 또는 특정 권한을 할당받아야 할 수 있습니다.
플레이북을 사용하여 위협에 대한 대응 자동화
Microsoft Sentinel은 자동화된 위협 대응에 플레이북을 사용합니다. 플레이북은 Azure Logic Apps를 기반으로 하는 별도의 Azure 리소스입니다. SOAR(보안 오케스트레이션, 자동화, 응답) 작업에 Logic Apps를 사용하는 기능은 보안 운영 팀의 특정 구성원에게 할당하는 것이 좋습니다. Logic App 기여자 역할을 사용하여 플레이북 사용에 대한 명시적 권한을 할당할 수 있습니다.
Microsoft Sentinel에 플레이북을 실행하기 위한 권한 부여
Microsoft Sentinel은 특수 서비스 계정을 사용하여 인시던트 트리거 플레이북을 수동으로 실행하거나 자동화 규칙에서 호출합니다. 사용자 계정이 아닌 이 계정을 사용하면 서비스의 보안 수준이 향상됩니다.
자동화 규칙에서 플레이북을 실행하려면 플레이북이 있는 리소스 그룹에 대한 명시적 권한을 이 계정에 부여해야 합니다. 이때 모든 자동화 규칙은 해당 리소스 그룹에서 모든 플레이북을 실행할 수 있습니다. 이 서비스 계정에 이러한 권한을 부여하려면 계정에 플레이북이 포함된 리소스 그룹에 대한 소유자 권한이 있어야 합니다.
Microsoft Sentinel에 데이터 원본 연결
사용자가 데이터 커넥터를 추가할 수 있으려면 사용자에게 Microsoft Sentinel 작업 영역에서의 쓰기 권한을 할당해야 합니다. 커넥터별로 필요한 다른 권한도 확인하세요. 관련 커넥터 페이지에 나열되어 있습니다.
인시던트를 할당하는 게스트 사용자
게스트 사용자가 인시던트를 할당할 수 있어야 하는 경우 사용자에게 Microsoft Sentinel 응답자 역할 외에 디렉터리 읽기 권한자 역할도 할당해야 합니다. 이 역할은 Azure 역할이 아닌 Microsoft Entra 역할이며, 일반(비 게스트) 사용자에게는 이 역할이 기본적으로 할당되어 있습니다.
통합 문서 만들기 및 삭제
Microsoft Sentinel 통합 문서를 만들고 삭제하려면 사용자에게 Microsoft Sentinel 기여자 역할 또는 더 작은 Microsoft Sentinel 역할과 통합 문서 기여자의 Azure Monitor 역할이 필요합니다. 이 역할은 통합 문서를 사용하는 데 필요하지 않으며 만들고 삭제하는 경우에만 필요합니다.
Azure 역할 및 Azure Monitor Log Analytics 역할
Microsoft Sentinel 전용 Azure RBAC 역할 외에도 다른 Azure 및 Log Analytics Azure RBAC 역할이 더 광범위한 권한 세트를 부여할 수 있습니다. 해당 역할에는 Microsoft Sentinel 작업 영역 및 기타 리소스에 대한 액세스 권한이 포함됩니다.
Azure 역할은 모든 Azure 리소스에 대한 액세스 권한을 부여합니다. Log Analytics 작업 영역 및 Microsoft Sentinel 리소스가 포함됩니다.
소유자
기여자
판독기
Log Analytics 역할은 모든 Log Analytics 작업 영역에 대한 액세스 권한을 부여합니다.
Log Analytics 참가자
Log Analytics 독자
예를 들어 Microsoft Sentinel 읽기 권한자 및 Azure 기여자(Microsoft Sentinel 기여자 아님) 역할이 할당된 사용자는 Microsoft Sentinel에서 데이터를 편집할 수 있습니다. Microsoft Sentinel에만 권한을 부여하려면 사용자의 이전 권한을 신중하게 제거해야 합니다. 다른 리소스에 대한 필요한 권한 역할이 손상되지 않도록 합니다.
Microsoft Sentinel 역할 및 허용되는 작업
다음 표에는 Microsoft Sentinel에서의 역할 및 허용되는 작업이 요약되어 있습니다.
| 역할 | 플레이북 생성 및 실행 | 통합 문서, 분석 규칙 및 기타 Microsoft Sentinel 리소스 만들기 및 편집 | 인시던트 관리(해제 및 할당 등) | 데이터 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 |
|---|---|---|---|---|
| Microsoft Sentinel 읽기 권한자 | 아니요 | 아니요 | 아니요 | 예 |
| Microsoft Sentinel 응답자 | 아니요 | 아니요 | 예 | 예 |
| Microsoft Sentinel 기여자 | 아니요 | 예 | 예 | 예 |
| Microsoft Sentinel 기여자 및 논리 앱 기여자 | 예 | 예 | 예 | 예 |
사용자 지정 역할 및 고급 Azure RBAC
기본 제공 Azure 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들면 됩니다. 기본 제공 역할처럼 관리-그룹, 구독, 리소스-그룹 범위에서 사용자, 그룹, 서비스 주체에게 사용자 지정 역할을 할당할 수 있습니다.