安全中心/前哨手册的自动化RBAC要求

时间:2019-07-17 09:05:57

标签: azure azure-logic-apps azure-security azure-rbac azure-sentinel

我目前正在设置Sentinel POC,在Sentinel中,您有一些剧本,基本上是Logic Apps,它与安全中心中的剧本相同。

我需要知道我需要对目标订阅进行哪些权限才能自动修复警报,例如隔离VM,停止VM等。

我们的Sentinel将在有100个订阅的租户中拥有自己的订阅。

1 个答案:

答案 0 :(得分:0)

最好使用service principal进行集中式访问控制。

这样,您可以使用服务主体对资源进行身份验证和授权操作。也可以在Logic Apps中为Azure Resource Manager连接器进行配置。

logic apps arm connector with service principal

另一种选择是使用Managed Identity,但这仅受HTTP Action支持。

关于此服务主体/受管身份的确切权限,您可以use this reference个内置角色来提供精细控制。例如,仅停止/启动VM,您的服务主体将需要Virtual Machine Contributor

您还可以通过creating custom roles提供对资源的更好访问。

相关问题
最新问题