Konfigurer Microsoft Sentinel område (RBAC på rækkeniveau) (eksempelvisning)

Microsoft Sentinel giver mulighed for rollebaseret adgangskontrol på rækkeniveau, hvilket muliggør detaljeret adgang på rækkeniveau uden at kræve adskillelse af arbejdsområdet. Denne funktion gør det muligt for flere teams at arbejde sikkert i et delt Microsoft Sentinel miljø, samtidig med at der bruges ensartede og genanvendelige omfangsdefinitioner på tværs af tabeller og oplevelser.

Området er konfigureret på Microsoft Defender-portalen.

Hvad er Microsoft Sentinel omfang?

Microsoft Sentinel udvider administrationen af tilladelser på Defender-portalen, så administratoren kan tildele tilladelser til bestemte dataundersæt i Sentinel tabeller. Benyt følgende fremgangsmåde for at oprette områder:

Bemærk!

Områder er additive. Brugere, der har fået tildelt flere roller, får de bredeste tilladelser, der er tilgængelige for dem, fra alle deres tildelinger. Hvis du f.eks. har både en Entra rolle som global læser og en Defender XDR URBAC-rolle, der giver områdebaserede tilladelser til systemtabeller, er du ubegrænset af områder i systemtabeller på grund af rollen Entra. Et andet eksempel er, at hvis du har de samme rolletilladelser i Microsoft Defender XDR for et arbejdsområde med to forskellige områder, har du denne tilladelse for begge områder.

Områder gælder for Sentinel tabeller, der understøtter transformationer af indtagelsestid.

Use cases

  • Distribuerede/sammenkædede SOC-teams: Store virksomheder og MSP'er driver ofte soc-modeller i organisationsnetværk, hvor forskellige teams er ansvarlige for bestemte områder, forretningsenheder eller kunder. Scoping gør det muligt for hvert SOC-team at arbejde uafhængigt inden for et delt Sentinel arbejdsområde og sikre, at de kan undersøge og reagere på trusler inden for deres domæne uden at få adgang til ikke-relaterede data.
  • Begrænset adgang til eksterne, ikke-sikkerhedsrelaterede teams: Teams som netværk, it-handlinger eller overholdelse af angivne standarder kræver ofte adgang til specifikke rådatakilder, uden at det er nødvendigt at få indblik i bredere sikkerhedsindhold. Området for rækkeniveau gør det muligt for disse eksterne teams kun at få sikker adgang til de data, der er relevante for deres funktion.
  • Beskyttelse af følsomme data: Beskyt visse data/tabeller ved at anvende en tilgang med færrest mulige rettigheder for at sikre, at følsomme oplysninger kun er tilgængelige for godkendte brugere.

Forudsætninger

Før du begynder, skal du kontrollere følgende forudsætninger:

  • Adgang til Microsoft Defender-portalen:https://security.microsoft.com
  • Microsoft Sentinel arbejdsområder, der er onboardet på Defender-portalen: Sentinel arbejdsområder skal være tilgængelige på Defender-portalen, før roller og tilladelser kan tildeles
  • Sentinel aktiveret i Unified RBAC: Du skal aktivere Microsoft Sentinel i URBAC, før du bruger denne funktion.
  • Påkrævede tilladelser for den person, der tildeler område- og mærkningstabeller:
    • URBAC-tilladelse (Security Authorization ( Administrer) til oprettelse af områder og tildelinger
    • URBAC-tilladelse (Data Operations) (Manage) til tabelstyring
    • Abonnementsejer eller tildelt med Microsoft.Insights/DataCollectionRules/Write tilladelse til at oprette regler for dataindsamling

Trin 1: Opret et Sentinel område

  1. Gå til Systemtilladelser> i Microsoft Defender-portalen.
  2. Vælg Microsoft Defender XDR.
  3. Åbn fanen Områder .
  4. Vælg Tilføj Sentinel område.
  5. Angiv et områdenavn og en valgfri beskrivelse.
  6. Vælg Opret område.

Du kan oprette flere områder og definere dine egne værdier for hvert område, så de afspejler organisationens struktur og politikker.

Bemærk!

Du kan oprette op til 100 entydige Sentinel områder pr. lejer.

Skærmbillede af fanen og dialogboksen Tilføj Sentinel område.

Trin 2: Tildel områdekoder til brugere eller grupper

  1. Åbn fanen Roller under Tilladelser.

  2. Vælg Opret brugerdefineret rolle.

  3. Konfigurer rollenavnet og beskrivelsen, og vælg Næste.

    Skærmbillede af dialogboks til oprettelse af navn og beskrivelse af en brugerdefineret rolle.

  4. Tildel de påkrævede tilladelser til rollen, og vælg Anvend.

    Skærmbillede af dialogboks til tildeling af tilladelser til en brugerdefineret rolle.

  5. I Tildelinger skal du give den et navn og vælge:

    • Brugere eller brugergrupper (Azure AD grupper)
    • Datakilder og datasamlinger (Sentinel arbejdsområder)

  6. Under Område skal du vælge Rediger.

  7. Vælg et eller flere områder, der skal tildeles til denne rolle.

  8. Gem rollen.

Brugere kan tildeles til flere områder samtidigt over flere arbejdsområder, hvor adgangsrettighederne er samlet på tværs af alle tildelte områder. Begrænsede brugere kan kun få adgang til SIEM-data, der er knyttet til deres tildelte områder.

Skærmbillede af tildeling af Sentinel områder til en brugerdefineret rolle.

Trin 3: Mærk tabeller med område

Du gennemtvinger områder ved at mærke data under indtagelse. Denne mærkning opretter en DCR-regel (Data Collection Rule), der anvender områdekoder på nyligt indtagne data.

  1. I Microsoft Sentinel skal du gå til Konfigurationstabeller>.

  2. Vælg en tabel, der understøtter transformationer af indtagelsestid.

  3. Vælg Regel for områdemærke.

    Skærmbillede af fanen Områdekoderegel.

  4. Aktivér til/fra-knappen Tillad brug af områdekoder for RBAC .

  5. Aktivér til/ fra-reglen for områdekode .

  6. Definer et KQL-udtryk, der vælger rækker ved hjælp af transformKQL-understøttede operatorer og grænser.

    Eksempel på område efter placering:

    Location == 'Spain'

  7. Vælg det område, der skal anvendes på rækker, der svarer til udtrykket.

  8. Gem reglen.

Det er kun nyligt indtagede data, der mærkes. Tidligere indtagne data er ikke inkluderet. Efter mærkningen kan det tage op til en time, før den nye regel træder i kraft.

Tip

Du kan oprette flere regler for områdemærker i den samme tabel for at mærke forskellige rækker med forskellige områder. Poster kan tilhøre flere områder samtidigt.

Skærmbillede af tabellens regel for områdekode.

Trin 4: Få adgang til data, der er begrænset til området

Når områder er oprettet, tildelt og anvendt på tabeller, kan brugere med områdeadgang få adgang til Sentinel oplevelser baseret på deres tildelte omfang. Alle nyligt indtagne data mærkes automatisk med omfanget. Historiske (tidligere indtagede) data er ikke inkluderet. Alle data, der ikke er udtrykkeligt begrænset, er ikke synlige for brugere, der er omfattet af området. Brugere uden for området har synlighed på alle data i arbejdsområdet

Brugere, der er omfattet af området, kan:

  • Få vist beskeder, der er genereret ud fra områdedata
  • Administrer beskeder, hvis de har adgang til alle hændelser, der er knyttet til den pågældende besked
  • Få vist hændelser, der indeholder mindst én vigtig besked
  • Administrer hændelser, hvis de har adgang til alle underliggende beskeder og har den nødvendige tilladelse
  • Kør kun avancerede jagtforespørgsler over rækker, der er begrænset
  • Forespørg om og udforsk data i den Sentinel sø (tabeller med område)
  • Filtrer beskeder og hændelser baseret på deres Sentinel område

Beskeder nedarver omfanget fra de underliggende data. Hændelser er synlige, hvis mindst én besked er inden for området.

Det SentinelScope_CF brugerdefinerede felt er tilgængeligt til brug i forespørgsler og registreringsregler til at referere til omfanget i din analyse.

Bemærk!

Når du opretter brugerdefinerede registreringer og analyseregler, skal du projektere SentinelScope_CF kolonnen i deres KQL for at gøre de udløste beskeder synlige for områdeanalytikere. Hvis du ikke projekterer denne kolonne, er beskeder uden for omfanget og skjult for brugere, der er omfattet af området.

Skærmbillede af beskeder, der er filtreret efter Sentinel område.

Begrænsninger

Følgende begrænsninger gælder:

  • Historiske data: Kun nyligt indtagede data er begrænset. Data, der tidligere er blevet indtaget, er ikke inkluderet og kan ikke anvendes med tilbagevirkende kraft.
  • Tabelunderstøttelser: Det er kun tabeller, der understøtter transformationer af indtagelsestid, der kan mærkes. Brugerdefinerede tabeller (CLv1) understøttes ikke. CLv2-tabeller understøttes.
  • Placering af transformation: Transformationer kan kun tilføjes i det samme abonnement som brugerens abonnement.
  • Maksimalt antal områder: Du kan maksimalt oprette 100 entydige Sentinel områder pr. lejer.
  • Kun Defender-portalen: Sentinel i Azure Portal (Ibiza) understøtter ikke området. Brug i stedet Defender-portalen.
  • XDR-tabeller understøttes ikke: XDR-tabeller understøttes ikke direkte. Hvis du udvider opbevaringen af XDR-tabeller til Log Analytics, kan du mærke, men kun data med opbevaring af mere end 30 dage og ikke data mellem 0-30 dage.
  • Ingen automatisk nedarvning af omfang: Log Analytics-tabellerne SecurityAlerts og SecurityIncidents nedarver ikke automatisk området fra de rådata/tabeller, som de blev oprettet ud fra. Derfor kan de brugere, der er omfattet af området, ikke få adgang til dem som standard. Du kan løse problemet ved at gøre en af følgende handlinger:
    • Brug XDR AlertsInfo og AlertsEvidence tabeller, hvor omfanget nedarves automatisk, eller
    • Anvend omfanget på disse Log Analytics-tabeller manuelt (denne metode er begrænset til attributterne i tabellen og svarer muligvis ikke til nedarvning af de datatabeller, der genererede disse beskeder).
  • Understøttede oplevelser: Sentinel områder kan kun tildeles til Defender XDR RBAC-roller. Azure RBAC-tilladelser til arbejdsområder eller Entra globale rolletilladelser understøttes ikke. Oplevelser, der ikke kan bruge RBAC på rækkeniveau, f.eks. Jupyter-notesbøger, tillader ikke brugere, der er begrænset til et område, at få vist data for disse respektive arbejdsområder.

Tilladelser og adgang

  • Brugerne kan få vist en hændelse, hvis de har adgang til mindst én besked i hændelsen. De kan kun administrere hændelsen, hvis de har adgang til alle beskeder i hændelsen og har den nødvendige tilladelse.
  • Den omfangserede bruger kan kun se de data, der er knyttet til deres område. Hvis beskeden indeholder enheder, som brugeren ikke har adgang til, kan brugeren ikke se dem. Hvis brugeren har adgang til mindst ét af de tilknyttede objekter, kan brugeren se selve beskeden.
  • Hvis du vil bruge en hel tabel, skal du bruge en regel, der stemmer overens med alle rækker (f.eks. ved hjælp af en betingelse, der altid er true). Tidligere indtagne data kan ikke begrænses med tilbagevirkende kraft.
  • Omfangsbaserede brugere kan ikke administrere ressourcer (f.eks. registreringsregler, playbooks, automatiseringsregler), medmindre der er tildelt tilladelse til dem i en separat rolletildeling.

Næste trin

  • Last updated on