この記事では、Microsoft Sentinelが SIEM と Microsoft Sentinel Microsoft Sentinel データ レイクの両方のユーザー ロールにアクセス許可を割り当てる方法について説明します。各ロールで許可されるアクションを識別します。
Microsoft Sentinelでは、Azureロールベースのアクセス制御 (Azure RBAC) を使用して、Microsoft Sentinel SIEM の組み込みロールとカスタム ロールを提供し、ロールベース Microsoft Entra IDのアクセス制御 (MICROSOFT ENTRA ID RBAC)data lake に組み込みロールとカスタム ロールMicrosoft Sentinel提供します。
ロールを割り当てる前に、計画ガイド「Azureロールを割り当てる手順」を参照して、アクセスが必要なユーザー、選択するロール、適用するスコープを決定する方法を確認してください。
ロールの種類に基づいて、ユーザー、グループ、およびサービスにロールを割り当てるには、次の手順に従います。
- Azureロール: Azure portalを使用してAzureロールを割り当てる
- Microsoft Entra IDロール: Microsoft Entraロールを割り当てる
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
注:
Microsoft Defender XDR プレビュー プログラムを実行している場合は、新しい Microsoft Defender Unified Role-Based Access Control (URBAC) モデルを体験できます。 詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Sentinelの組み込みのAzure ロール
次の組み込みのAzureロールは、SIEM のMicrosoft Sentinelに使用され、ワークスペース データへの読み取りアクセス権 (Microsoft Sentinel データ レイクのサポートを含む) に付与されます。 最適な結果を得るには、リソース グループ レベルでこれらのロールを割り当てます。
| 役割 | SIEM サポート | Data Lake のサポート |
|---|---|---|
| Microsoft Sentinel リーダー | データ、インシデント、ブック、推奨事項、その他のリソースを表示する | 高度な分析にアクセスし、ワークスペースでのみ対話型クエリを実行します。 |
| レスポンダー Microsoft Sentinel | すべての閲覧者のアクセス許可とインシデントの管理 | 該当なし |
| Microsoft Sentinel共同作成者 | すべてのレスポンダーアクセス許可に加え、ソリューションのインストール/更新、リソースの作成/編集 | 高度な分析にアクセスし、ワークスペースでのみ対話型クエリを実行します。 |
| Microsoft Sentinel プレイブック オペレーター | プレイブックを一覧表示、表示、手動で実行する | 該当なし |
| Microsoft Sentinel Automation 共同作成者 | Microsoft Sentinelがオートメーション ルールにプレイブックを追加できるようにします。 ユーザー アカウントには使用されません。 | 該当なし |
たとえば、次の表は、各ロールがMicrosoft Sentinelで実行できるタスクの例を示しています。
| 役割 | プレイブックを実行する | プレイブックの作成/編集 | 分析ルール、ブックなどを作成/編集します。 | インシデントを管理する | データ、インシデント、ブック、推奨事項を表示する | コンテンツ ハブを管理する |
|---|---|---|---|---|---|---|
| Microsoft Sentinel リーダー | -- | -- | --* | -- | ✓ | -- |
| レスポンダー Microsoft Sentinel | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel共同作成者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel プレイブック オペレーター | ✓ | -- | -- | -- | -- | -- |
| ロジック アプリ共同作成者 | ✓ | ✓ | -- | -- | -- | -- |
* ブック共同作成者 ロールを使用します。
Microsoft Sentinel ワークスペースを含むリソース グループにロールを割り当てることをお勧めします。 これにより、Logic Apps やプレイブックなどの関連するすべてのリソースが、同じロールの割り当てによってカバーされるようになります。
別のオプションとして、Microsoft Sentinel ワークスペース自体にロールを直接割り当てます。 その場合は、そのワークスペース内の SecurityInsights ソリューション リソース に同じロールを割り当てる必要があります。 また、他のリソースに割り当て、リソースへのロールの割り当てを継続的に管理する必要がある場合もあります。
特定のタスクの追加ロール
特定のジョブ要件を持つユーザーは、タスクを実行するために、他のロールまたは特定のアクセス許可を割り当てる必要がある場合があります。 例:
| タスク | 必要なロール/アクセス許可 |
|---|---|
| データ ソースの接続 | ワークスペースに対する書き込みアクセス許可。 コネクタごとに必要な追加のアクセス許可がないか、コネクタ ドキュメントを確認します。 |
| コンテンツ ハブからコンテンツを管理する | リソース グループ レベルでの共同作成者のMicrosoft Sentinel |
| プレイブックを使用して応答を自動化する |
プレイブック オペレーター Microsoft Sentinel、プレイブックを実行するには、ロジック アプリ共同作成者を使用してプレイブックを作成/編集します。 Microsoft Sentinelは、自動脅威対応にプレイブックを使用します。 プレイブックは、Azure Logic Apps 上に構築され、別のAzure リソースです。 セキュリティ運用チームの特定のメンバーに対して、Logic Apps for Security Orchestration、Automation、Response (SOAR) 操作を使用する機能を割り当てることをお勧めします。 |
| Microsoft Sentinelがオートメーションを介してプレイブックを実行できるようにする | サービス アカウントには、プレイブック リソース グループに対する明示的なアクセス許可が必要です。アカウントには、これらを割り当てる 所有者 アクセス許可が必要です。 Microsoft Sentinelでは、インシデント トリガー プレイブックを手動で実行したり、自動化ルールから呼び出したりするために、特別なサービス アカウントを使用します。 (ユーザー アカウントではなく) このアカウントを使用すると、サービスのセキュリティ レベルが向上します。 オートメーション ルールでプレイブックを実行するには、プレイブックが存在するリソース グループに対する明示的なアクセス許可をこのアカウントに付与する必要があります。 その時点で、自動化ルールは、そのリソース グループ内の任意のプレイブックを実行できます。 |
| ゲスト ユーザーがインシデントを割り当てる |
ディレクトリ リーダーAND Microsoft Sentinel レスポンダー ディレクトリ閲覧者ロールはAzureロールではなく、Microsoft Entra IDロールであり、通常の (非ゲスト) ユーザーには既定でこのロールが割り当てられます。 |
| ブックの作成/削除 | 共同作成者のMicrosoft Sentinelか、より少ないMicrosoft Sentinelロールとブックの共同作成者 |
その他のAzureロールと Log Analytics ロール
Microsoft Sentinel固有のAzureロールを割り当てると、他の目的でユーザーに割り当てられる可能性のある他のAzureロールや Log Analytics ロールが表示される場合があります。 これらのロールは、Microsoft Sentinel ワークスペースやその他のリソースへのアクセスを含む、より広範なアクセス許可セットを付与します。
- Azureロール:所有者、共同作成者、閲覧者 - Azure リソース全体に広範なアクセス権を付与します。
- Log Analytics ロール:Log Analytics 共同作成者、 Log Analytics 閲覧者 - Log Analytics ワークスペースへのアクセス権を付与します。
重要
ロールの割り当ては累積的です。 Microsoft Sentinel閲覧者ロールと共同作成者ロールの両方を持つユーザーは、意図したよりも多くのアクセス許可を持つ場合があります。
Microsoft Sentinel ユーザーに推奨されるロールの割り当て
| ユーザーの種類 | 役割 | リソース グループ | 説明 |
|---|---|---|---|
| セキュリティ アナリスト | レスポンダー Microsoft Sentinel | リソース グループMicrosoft Sentinel | インシデント、データ、ブックの表示/管理 |
| Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinel/プレイブック リソース グループ | プレイブックのアタッチ/実行 | |
| セキュリティ エンジニア | Microsoft Sentinel共同作成者 | リソース グループMicrosoft Sentinel | インシデント、コンテンツ、リソースを管理する |
| ロジック アプリ共同作成者 | Microsoft Sentinel/プレイブック リソース グループ | プレイブックの実行/変更 | |
| サービス プリンシパル | Microsoft Sentinel共同作成者 | リソース グループMicrosoft Sentinel | 自動管理タスク |
Microsoft Sentinel データ レイクのロールとアクセス許可
Microsoft Sentinel データ レイクを使用するには、ワークスペースを Defender ポータルとMicrosoft Sentinel データ レイクにオンボードする必要があります。
データ レイクの読み取りアクセス許可をMicrosoft Sentinelする
Microsoft Entra IDロールは、データ レイク内のすべてのコンテンツに広範なアクセスを提供します。 クエリの実行など、Microsoft Sentinel データ レイク内のすべてのワークスペースに読み取りアクセスを提供するには、次のロールを使用します。
| アクセス許可の種類 | サポートされているロール |
|---|---|
| すべてのワークスペースの読み取りアクセス | 次のいずれかのMicrosoft Entra IDロールを使用します。 - グローバル リーダー - セキュリティ リーダー - セキュリティオペレーター - セキュリティ管理者 - グローバル管理者 |
または、特定のワークスペース内からテーブルを読み取る機能を割り当てることができます。 このような場合は、次のいずれかを使用します。
| タスク | アクセス許可 |
|---|---|
| システム テーブルに対する読み取りアクセス許可 | Microsoft Sentinel データ収集に対するセキュリティ データの基本 (読み取り) アクセス許可を持つカスタム Microsoft Defender XDR統合 RBAC ロールを使用します。 |
| データ レイクでMicrosoft Sentinelが有効になっている他のワークスペースに対する読み取りアクセス許可 | そのワークスペースに対するアクセス許可については、AZURE RBAC で次のいずれかの組み込みロールを使用します。 - Log Analytics 閲覧者 - Log Analytics 共同作成者 - Microsoft Sentinel共同作成者 - Microsoft Sentinel リーダー - リーダー - 貢献 - 所有者 |
data lake 書き込みアクセス許可のMicrosoft Sentinel
Microsoft Entra ID ロールは、データ レイク内のすべてのワークスペースに広範なアクセスを提供します。 Microsoft Sentinel データ レイク テーブルへの書き込みアクセスを提供するには、次のロールを使用します。
| アクセス許可の種類 | サポートされているロール |
|---|---|
| KQL ジョブまたはノートブックを使用して分析レベルのテーブルに書き込む | 次のいずれかのMicrosoft Entra IDロールを使用します。 - セキュリティオペレーター - セキュリティ管理者 - グローバル管理者 |
| Microsoft Sentinel データ レイク内のテーブルへの書き込み | 次のいずれかのMicrosoft Entra IDロールを使用します。 - セキュリティオペレーター - セキュリティ管理者 - グローバル管理者 |
または、特定のワークスペースに出力を書き込む機能を割り当てることをお勧めします。 これには、そのワークスペースへのコネクタの構成、ワークスペース内のテーブルの保持設定の変更、そのワークスペース内のカスタム テーブルの作成、更新、削除が含まれます。 このような場合は、次のいずれかを使用します。
| タスク | アクセス許可 |
|---|---|
| データ レイクの システム テーブル を更新する | Microsoft Sentinel データ コレクションに対するデータ (管理) アクセス許可を持つカスタム Microsoft Defender XDR統合 RBAC ロールを使用します。 |
| Data Lake 内の他のMicrosoft Sentinel ワークスペースの場合 | そのワークスペースに対する次のAzure RBAC Microsoft 運用分析情報のアクセス許可を含む組み込みロールまたはカスタム ロールを使用します。 - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete たとえば、これらのアクセス許可を含む組み込みのロール Log Analytics 共同作成者、 所有者、 共同作成者などです。 |
Microsoft Sentinel Data Lake でジョブを管理する
スケジュールされたジョブを作成したり、Microsoft Sentinel データ レイクでジョブを管理したりするには、次のいずれかのMicrosoft Entra IDロールが必要です。
カスタム ロールと高度な RBAC
ワークスペース全体ではなく特定のデータへのアクセスを制限するには、 リソース コンテキスト RBAC または テーブル レベルの RBAC を使用します。 これは、特定のデータ型またはテーブルにのみアクセスする必要があるチームに役立ちます。
それ以外の場合は、高度な RBAC に次のいずれかのオプションを使用します。
- SIEM アクセスをMicrosoft Sentinelする場合は、カスタム ロールAzure使用します。
- Microsoft Sentinel データ レイクでは、統合 RBAC カスタム ロールDefender XDR使用します。
関連コンテンツ
詳細については、「Azure Monitor でログ データとワークスペースを管理する」を参照してください。