Konfigurieren der Bereichsdefinition von Microsoft Sentinel (RBAC auf Zeilenebene) (Vorschau)

Die Bereichsdefinition von Microsoft Sentinel bietet rollenbasierte Zugriffssteuerung auf Zeilenebene (RBAC) und ermöglicht einen präzisen Zugriff auf Zeilenebene, ohne dass eine Arbeitsbereichstrennung erforderlich ist. Diese Funktion ermöglicht es mehreren Teams, innerhalb einer freigegebenen Microsoft Sentinel-Umgebung sicher zu arbeiten und gleichzeitig konsistente und wiederverwendbare Bereichsdefinitionen für Tabellen und Umgebungen zu verwenden.

Scoping wird im Microsoft Defender-Portal konfiguriert.

Was ist die Bereichsdefinition von Microsoft Sentinel?

Die Bereichsdefinition von Microsoft Sentinel erweitert die Berechtigungsverwaltung im Defender-Portal, sodass der Administrator Berechtigungen für bestimmte Teilmengen von Daten in Sentinel-Tabellen erteilen kann. Gehen Sie wie folgt vor, um Bereiche zu erstellen:

• Definieren logischer Bereiche: Erstellen von Bereichsdefinitionen, die mit Ihrer Organisationsstruktur (nach Geschäftseinheit, Region oder Datenempfindlichkeit) übereinstimmen
• Zuweisen von Benutzern oder Gruppen zu Bereichen: Zuweisen bestimmter Benutzer oder Gruppen zu einem oder mehreren Bereichen mithilfe von Unified RBAC
• Datenzeilen zum Zeitpunkt der Erfassung kennzeichnen: Anwenden von Geltungsbereichstags auf Zeilen in Tabellen mithilfe der Tabellenverwaltung, sodass Sie Regeln erstellen können, die neu erfasste Daten automatisch kennzeichnen.
• Einschränken des Zugriffs nach Bereich: Beschränken des Benutzerzugriffs auf Warnungen, Vorfälle, Jagdabfragen und Data-Lake-Exploration basierend auf dem zugewiesenen Bereich

Bereiche gelten für Sentinel-Tabellen, die Aufnahmezeittransformationen unterstützen.

Anwendungsfälle

• Verteilte/Verbund-SOC-Teams: Große Unternehmen und MSSPs betreiben häufig Verbund-SOC-Modelle, bei denen unterschiedliche Teams für bestimmte Regionen, Geschäftseinheiten oder Kunden verantwortlich sind. Die Bereichsdefinition ermöglicht es jedem SOC-Team, unabhängig innerhalb eines freigegebenen Sentinel-Arbeitsbereichs zu arbeiten, um sicherzustellen, dass sie Bedrohungen innerhalb ihrer Domäne untersuchen und darauf reagieren können, ohne auf nicht verknüpfte Daten zuzugreifen.
• Bereichsbezogener Zugriff auf externe, nicht sicherheitsrelevante Teams: Teams wie Netzwerk, IT-Vorgänge oder Compliance erfordern häufig Zugriff auf bestimmte Rohdatenquellen, ohne dass Sie Mehrsicht auf breitere Sicherheitsinhalte benötigen. Mithilfe der Bereichsdefinition auf Zeilenebene können diese externen Teams sicher nur auf die daten zugreifen, die für ihre Funktion relevant sind.
• Schutz vertraulicher Daten: Schützen Sie bestimmte Daten/Tabellen, indem Sie einen Ansatz mit geringsten Berechtigungen für den Datenzugriff anwenden, um sicherzustellen, dass vertrauliche Informationen nur für autorisierte Benutzer zugänglich sind.

Voraussetzungen

Bevor Sie beginnen, überprüfen Sie die folgenden Voraussetzungen:

• Zugriff auf das Microsoft Defender-Portal: https://security.microsoft.com
• Microsoft Sentinel-Arbeitsbereiche, die in das Defender-Portal integriert sind: Sentinel-Arbeitsbereiche müssen im Defender-Portal verfügbar sein, bevor Rollen und Berechtigungen zugewiesen werden können.
• Sentinel in Unified RBAC aktiviert: Sie müssen Microsoft Sentinel in URBAC aktivieren , bevor Sie dieses Feature verwenden.
• Erforderliche Berechtigungen für die Person, die Bereichs- und Kategorisierungstabellen zuweist:
  • Sicherheitsautorisierungsberechtigung (Verwalten) (URBAC) zum Erstellen von Bereichen und Zuweisungen
  • Datenoperationen (Verwalten)-Berechtigung (URBAC) für die Tabellenverwaltung
  • Abonnementinhaber oder zugewiesen mit der Microsoft.Insights/DataCollectionRules/Write Berechtigung zum Erstellen von Datensammlungsregeln (DCRs)

Schritt 1: Erstellen Sie einen Sentinel-Bereich

1. Wechseln Sie im Microsoft Defender-Portal zu Den>.
2. Wählen Sie Microsoft Defender XDR aus.
3. Öffnen Sie die Registerkarte "Bereiche".
4. Wählen Sie "Sentinel-Bereich hinzufügen" aus.
5. Geben Sie einen Bereichsnamen und eine optionale Beschreibung ein.
6. Wählen Sie "Bereich erstellen" aus.

Sie können mehrere Bereiche erstellen und Ihre eigenen Werte für jeden Bereich definieren, um Ihre Organisationsstruktur und -richtlinien widerzuspiegeln.

Schritt 2: Weisen Sie Scope-Tags Benutzern oder Gruppen zu

1. Öffnen Sie in "Berechtigungen" die Registerkarte "Rollen ".

2. Wählen Sie Benutzerdefinierte Rolle erstellen aus.

3. Konfigurieren Sie den Rollennamen und die Beschreibung, und wählen Sie "Weiter" aus.

   

4. Weisen Sie der Rolle die erforderlichen Berechtigungen zu, und wählen Sie "Übernehmen" aus.

   

5. Geben Sie in "Aufgaben" einen Namen ein, und wählen Sie Folgendes aus:

   • Benutzer oder Benutzergruppen (Azure AD-Gruppen)
   • Datenquellen und Datensammlungen (Sentinel-Arbeitsbereiche)

6. Wählen Sie unter "Bereich" die Option "Bearbeiten" aus.

7. Wählen Sie einen oder mehrere Bereiche aus, die dieser Rolle zugewiesen werden sollen.

8. Speichert die Rolle.

Benutzer können mehreren Bereichen gleichzeitig über mehrere Arbeitsbereiche zugewiesen werden, wobei Zugriffsberechtigungen über alle zugewiesenen Bereiche aggregiert werden. Eingeschränkte Benutzer können nur auf SIEM-Daten zugreifen, die ihren zugewiesenen Bereichen zugeordnet sind.

Schritt 3: Kategorisieren von Tabellen mit Bereich

Sie erzwingen Gültigkeitsbereiche, indem Sie Daten während der Einnahme taggen. Mit diesem Tagging wird eine Datensammlungsregel (Data Collection Rule, DCR) erstellt, die Bereichstags auf neu aufgenommene Daten anwendet.

1. Wechseln Sie in Microsoft Sentinel zuKonfigurationstabellen>.

2. Wählen Sie eine Tabelle aus, die Aufnahmezeittransformationen unterstützt.

3. Wählen Sie die Umfangs-Tag-Regel aus.

   

4. Aktivieren Sie den Schalter Zulassen der Verwendung von Bereichs-Tags für RBAC.

5. Aktivieren Sie den Umschalter für die Bereichstagsregel .

6. Definieren Sie einen KQL-Ausdruck, der Zeilen mithilfe von transformKQL unterstützten Operatoren und Grenzwerten auswählt.

   Beispiel für eine lokale Eingrenzung:

   Location == 'Spain'
   

7. Wählen Sie den Bereich aus, der auf Zeilen angewendet werden soll, die dem Ausdruck entsprechen.

8. Speichern Sie die Regel.

Nur neu aufgenommene Daten werden markiert. Zuvor aufgenommene Daten sind nicht enthalten. Nach dem Taggen kann es bis zu einer Stunde dauern, bis die neue Regel wirksam wird.

Schritt 4: Zugreifen auf bereichsbezogene Daten

Nachdem Bereiche erstellt, zugewiesen und auf Tabellen angewendet wurden, können bereichsbezogene Benutzer auf Sentinel-Erfahrungen basierend auf ihrem zugewiesenen Bereich zugreifen. Alle neu aufgenommenen Daten werden automatisch mit dem Scope getaggt. Historische (zuvor aufgenommene) Daten sind nicht enthalten. Daten, die nicht explizit einem Bereich zugewiesen sind, sind für bereichsspezifische Benutzer nicht sichtbar. Benutzer ohne spezifischen Bereichsbeschränkungen haben Sichtbarkeit für alle Daten innerhalb des Arbeitsbereichs.

Benutzer mit bestimmten Berechtigungen können:

• Anzeigen von Warnungen, die aus bereichsbezogenen Daten generiert wurden
• Verwalten von Warnungen, wenn sie Zugriff auf alle Ereignisse haben, die mit dieser Warnung verknüpft sind
• Anzeigen von Vorfällen, die mindestens eine bereichsbezogene Warnung enthalten
• Verwalten von Vorfällen, wenn sie Zugriff auf alle zugrunde liegenden Warnungen haben und über die erforderliche Berechtigung verfügen
• Erweiterte Suchabfragen nur über eingegrenzte Zeilen ausführen
• Abfragen und Untersuchen von Daten im Sentinel-See (Tabellen mit Bereich)
• Filterung von Warnungen und Vorfällen nach ihrem Sentinel-Bereich

Warnungen erben den Bereich von den zugrunde liegenden Daten. Vorfälle sind sichtbar, wenn mindestens eine Warnung innerhalb des Gültigkeitsbereichs liegt.

Das SentinelScope_CF benutzerdefinierte Feld ist für die Verwendung in Abfragen und Erkennungsregeln verfügbar, um auf den Bereich in Ihrer Analyse zu verweisen.

Wenn Sie benutzerdefinierte Erkennungs- und Analyseregeln erstellen, müssen Sie die SentinelScope_CF Spalte in ihrem KQL projizieren, um die ausgelösten Warnungen für bereichsbezogene Analysten sichtbar zu machen. Wenn Sie diese Spalte nicht projizieren, sind Warnungen ohne Bereich und für bereichsbezogene Benutzer ausgeblendet.

Einschränkungen

Es gelten die folgenden Einschränkungen:

• Historische Daten: Nur neu erfasste Daten werden berücksichtigt. Zuvor aufgenommene Daten werden nicht berücksichtigt und können nicht rückwirkend einbezogen werden.
• Tabellenunterstützung: Nur Tabellen, die Aufnahmezeittransformationen unterstützen, können markiert werden. Benutzerdefinierte Tabellen (CLv1) werden nicht unterstützt. CLv2-Tabellen werden unterstützt.
• Platzierung der Transformation: Transformationen können nur im selben Abonnement wie das Abonnement des Benutzers hinzugefügt werden.
• Maximale Bereiche: Sie können maximal 100 eindeutige Sentinel-Bereiche pro Mandant erstellen.
• Nur Defender-Portal: Sentinel im Azure-Portal (Ibiza) unterstützt keine Bereichsdefinition. Verwenden Sie stattdessen das Defender-Portal.
• XDR-Tabellen werden nicht unterstützt: XDR-Tabellen werden nicht direkt unterstützt. Wenn Sie die Aufbewahrung von XDR-Tabellen in Log Analytics erweitern, können Sie markieren, jedoch nur Daten mit einer Aufbewahrungsfrist von mehr als 30 Tagen und nicht Daten mit einer Aufbewahrungsfrist von 0 bis 30 Tagen.
• Keine automatische Bereichsvererbung: Die Log Analytics-Tabellen SecurityAlerts und SecurityIncidents erben nicht automatisch den Bereich von den Rohdaten/Tabellen, aus denen sie generiert wurden. Daher können Benutzer mit eingeschränktem Zugriff standardmäßig nicht auf sie zugreifen. Als Problemumgehung können Sie eine der folgenden Aktionen ausführen:
  • Verwenden Sie die XDR-AlertsInfo- und AlertsEvidence-Tabellen, in denen der Bereich automatisch geerbt wird oder.
  • Wenden Sie manuell den Geltungsbereich auf diese Log Analytics-Tabellen an (diese Methode ist auf die Attribute der Tabelle beschränkt und entspricht eventuell nicht der Vererbung der Datentabellen, die diese Warnungen ausgelöst haben).
• Unterstützte Erfahrungen: Sentinel-Bereiche können nur Defender XDR RBAC-Rollen zugewiesen werden. Azure RBAC-Berechtigungen für Arbeitsbereiche oder globale Entra-Rollenberechtigungen werden nicht unterstützt. Erfahrungen, die keine RBAC auf Zeilenebene nutzen können (wie z. B. Jupyter-Notizbücher), erlauben es Benutzern, die auf einen Geltungsbereich beschränkt sind, nicht, Daten für diese jeweiligen Arbeitsbereiche anzuzeigen.

Berechtigungen und Zugriff

• Benutzer können einen Vorfall einsehen, wenn sie Zugriff auf mindestens eine der Warnungen im Vorfall haben. Sie können den Vorfall nur verwalten, wenn sie Zugriff auf alle Warnungen im Vorfall haben und über die erforderliche Berechtigung verfügen.
• Der bereichsbezogene Benutzer kann nur die Daten sehen, die ihrem Bereich zugeordnet sind. Wenn die Warnung Entitäten enthält, auf die der Benutzer keinen Zugriff hat, kann der Benutzer sie nicht sehen. Wenn der Benutzer Zugriff auf mindestens eine der zugehörigen Entitäten hat, kann er die Warnung selbst sehen.
• Verwenden Sie zum Bereich einer gesamten Tabelle eine Regel, die allen Zeilen entspricht (z. B. mit einer Bedingung, die immer wahr ist). Zuvor aufgenommene Daten können nicht rückwirkend erfasst werden.
• Bereichsbezogene Benutzer können Ressourcen (z. B. Erkennungsregeln, Playbooks, Automatisierungsregeln) nicht verwalten, es sei denn, ihnen wird die Berechtigung in einer separaten Rollenzuweisung zugewiesen.

Nächste Schritte

• Überprüfen der Liste der Tabellen, die Aufnahmezeittransformationen unterstützen
• Planen von Bereichsnamen und Logik vor dem Kategorisieren von Daten
• Beginnen mit einem Pilotprojekt für ein kleines Team oder einen Datensatz
• Weitere Informationen zu Unified RBAC in Microsoft Defender XDR