Configuración del ámbito de Microsoft Sentinel (RBAC de nivel de fila) (versión preliminar)

Microsoft Sentinel ámbito proporciona control de acceso basado en rol (RBAC) de nivel de fila, lo que permite el acceso pormenorizado a nivel de fila sin necesidad de separación del área de trabajo. Esta funcionalidad permite que varios equipos funcionen de forma segura dentro de un entorno de Microsoft Sentinel compartido mientras se usan definiciones de ámbito coherentes y reutilizables entre tablas y experiencias.

El ámbito se configura en el portal de Microsoft Defender.

¿Qué es Microsoft Sentinel ámbito?

Microsoft Sentinel ámbito amplía la administración de permisos en el portal de Defender para que el administrador pueda conceder permisos a subconjuntos específicos de datos de Sentinel tablas. Para crear ámbitos, haga lo siguiente:

Nota:

Los ámbitos son aditivos. Los usuarios asignados a varios roles obtienen los permisos más amplios disponibles de todas sus asignaciones. Por ejemplo, si tiene un rol de lector global Entra y un rol URBAC de Defender XDR que proporciona permisos con ámbito en las tablas del sistema, los ámbitos de las tablas del sistema no le restringen debido al rol Entra. Otro ejemplo es si tiene los mismos permisos de rol en Microsoft Defender XDR para un área de trabajo, con dos ámbitos diferentes, tiene ese permiso para ambos ámbitos.

Los ámbitos se aplican a las tablas de Sentinel que admiten transformaciones en tiempo de ingesta.

Casos de uso

  • Equipos soc distribuidos o federados: las grandes empresas y los MSSP suelen operar modelos de SOC federados en los que distintos equipos son responsables de regiones, unidades de negocio o clientes específicos. El ámbito permite que cada equipo de SOC funcione de forma independiente dentro de un área de trabajo de Sentinel compartida, lo que garantiza que pueda investigar y responder a amenazas dentro de su dominio sin tener acceso a datos no relacionados.
  • Acceso con ámbito para equipos externos y no de seguridad: los equipos como redes, operaciones de TI o cumplimiento suelen requerir acceso a orígenes de datos sin procesar específicos sin necesidad de visibilidad del contenido de seguridad más amplio. El ámbito de nivel de fila permite a estos equipos externos acceder de forma segura solo a los datos relevantes para su función.
  • Protección de datos confidenciales: proteja determinados datos o tablas mediante la aplicación de un enfoque de acceso a datos con privilegios mínimos, lo que garantiza que la información confidencial solo sea accesible para los usuarios autorizados.

Requisitos previos

Antes de empezar, compruebe los siguientes requisitos previos:

  • Acceso al portal de Microsoft Defender:https://security.microsoft.com
  • Microsoft Sentinel áreas de trabajo incorporadas al portal de Defender: Sentinel áreas de trabajo deben estar disponibles en el portal de Defender para poder asignar roles y permisos
  • Sentinel habilitado en RBAC unificado: debe habilitar Microsoft Sentinel en URBAC antes de usar esta característica.
  • Permisos necesarios para la persona que asigna el ámbito y las tablas de etiquetado:
    • Permiso de autorización de seguridad (administrar) (URBAC) para crear ámbitos y asignaciones
    • Permiso de operaciones de datos (administrar) (URBAC) para Table Management
    • Propietario de la suscripción o asignado con el Microsoft.Insights/DataCollectionRules/Write permiso para crear reglas de recopilación de datos (DCR)

Paso 1: Crear un ámbito de Sentinel

  1. En el portal de Microsoft Defender, vaya aPermisosdel sistema>.
  2. Seleccione Microsoft Defender XDR.
  3. Abra la pestaña Ámbitos .
  4. Seleccione Agregar Sentinel ámbito.
  5. Escriba un nombre de ámbito y una descripción opcional.
  6. Seleccione Crear ámbito.

Puede crear varios ámbitos y definir sus propios valores para cada ámbito para reflejar la estructura y las directivas de la organización.

Nota:

Puede crear hasta 100 ámbitos de Sentinel únicos por inquilino.

Captura de pantalla de la pestaña y el cuadro de diálogo Agregar ámbito de Sentinel.

Paso 2: Asignación de etiquetas de ámbitos a usuarios o grupos

  1. En Permisos, abra la pestaña Roles .

  2. Seleccione Crear rol personalizado.

  3. Configure el nombre y la descripción del rol y seleccione Siguiente.

    Captura de pantalla del cuadro de diálogo para crear el nombre y la descripción de un rol personalizado.

  4. Asigne los permisos necesarios al rol y seleccione Aplicar.

    Captura de pantalla del cuadro de diálogo para asignar permisos a un rol personalizado.

  5. En Asignaciones, asígnele un nombre y seleccione:

    • Usuarios o grupos de usuarios (Azure grupos de AD)
    • Orígenes de datos y recopilaciones de datos (Sentinel áreas de trabajo)

  6. En Ámbito, seleccione Editar.

  7. Seleccione uno o varios ámbitos para asignar a este rol.

  8. Guarde el rol.

Los usuarios se pueden asignar a varios ámbitos simultáneamente en varias áreas de trabajo, con derechos de acceso agregados en todos los ámbitos asignados. Los usuarios restringidos solo pueden acceder a los datos SIEM asociados a sus ámbitos asignados.

Captura de pantalla de la asignación de ámbitos de Sentinel a un rol personalizado.

Paso 3: Etiquetar tablas con ámbito

Los ámbitos se aplican mediante el etiquetado de datos durante la ingesta. Este etiquetado crea una regla de recopilación de datos (DCR) que aplica etiquetas de ámbito a los datos recién ingeridos.

  1. En Microsoft Sentinel, vaya aTablasde configuración>.

  2. Seleccione una tabla que admita transformaciones en tiempo de ingesta.

  3. Seleccione Regla de etiqueta de ámbito.

    Captura de pantalla de la pestaña Regla de etiqueta de ámbito.

  4. Habilite la opción Permitir el uso de etiquetas de ámbito para RBAC .

  5. Habilite el botón de alternancia De la regla de etiquetas de ámbito .

  6. Defina una expresión KQL que seleccione filas mediante los operadores y límites admitidos por transformKQL.

    Ejemplo para el ámbito por ubicación:

    Location == 'Spain'

  7. Seleccione el ámbito que se va a aplicar a las filas que coinciden con la expresión.

  8. Guarde la regla.

Solo se etiquetan los datos recién ingeridos. Los datos ingeridos anteriormente no se incluyen. Después del etiquetado, la nueva regla puede tardar hasta una hora en surtir efecto.

Sugerencia

Puede crear varias reglas de etiquetas de ámbito en la misma tabla para etiquetar diferentes filas con ámbitos diferentes. Los registros pueden pertenecer a varios ámbitos simultáneamente.

Captura de pantalla de la regla de etiqueta de ámbito de tabla.

Paso 4: Acceso a datos con ámbito

Después de crear, asignar y aplicar ámbitos a las tablas, los usuarios con ámbito pueden acceder a Sentinel experiencias en función de su ámbito asignado. Todos los datos recién ingeridos se etiquetan automáticamente con ámbito. No se incluyen los datos históricos (ingeridos anteriormente). Los datos no con ámbito explícito no son visibles para los usuarios con ámbito. Los usuarios sin ámbito tienen visibilidad sobre todos los datos dentro del área de trabajo

Los usuarios con ámbito pueden:

  • Visualización de alertas generadas a partir de datos con ámbito
  • Administrar alertas si tienen acceso a todos los eventos vinculados a esa alerta
  • Visualización de incidentes que contienen al menos una alerta con ámbito
  • Administrar incidentes si tienen acceso a todas las alertas subyacentes y tienen el permiso necesario
  • Ejecución de consultas de búsqueda avanzadas solo en filas con ámbito
  • Consulta y exploración de datos en el lago Sentinel (tablas con ámbito)
  • Filtrar alertas e incidentes en función de su ámbito de Sentinel

Las alertas heredan el ámbito de los datos subyacentes. Los incidentes son visibles si al menos una alerta está dentro del ámbito.

El SentinelScope_CF campo personalizado está disponible para su uso en consultas y reglas de detección para hacer referencia al ámbito en el análisis.

Nota:

Al crear detecciones personalizadas y reglas de análisis, debe proyectar la SentinelScope_CF columna en su KQL para que las alertas desencadenadas sean visibles para los analistas con ámbito. Si no proyecta esta columna, las alertas se desajustan y ocultan a los usuarios con ámbito.

Captura de pantalla de las alertas filtradas por Sentinel ámbito.

Limitaciones

Se aplican las limitaciones siguientes:

  • Datos históricos: solo se limita a los datos recién ingeridos. Los datos ingeridos anteriormente no se incluyen y no se pueden limitar con carácter retroactivo.
  • Compatibilidad con tablas: solo se pueden etiquetar las tablas que admiten transformaciones en tiempo de ingesta. No se admiten tablas personalizadas (CLv1). Se admiten las tablas CLv2.
  • Ubicación de transformación: las transformaciones solo se pueden agregar en la misma suscripción que la suscripción del usuario.
  • Ámbitos máximos: puede crear un máximo de 100 ámbitos de Sentinel únicos por inquilino.
  • Solo portal de Defender: Sentinel en el Azure Portal (Ibiza) no admite el ámbito. En su lugar, use el portal de Defender.
  • No se admiten tablas XDR: las tablas XDR no se admiten directamente. Si extiende la retención de tablas XDR a Log Analytics, puede etiquetar, pero solo los datos con retención de más de 30 días, y no los datos entre 0 y 30 días.
  • Sin herencia de ámbito automática: las tablas SecurityAlerts de Log Analytics y SecurityIncidents no heredan automáticamente el ámbito de los datos o tablas sin procesar desde los que se generaron. Por lo tanto, los usuarios con ámbito no pueden acceder a ellos de forma predeterminada. Como solución alternativa, puede realizar una de las siguientes acciones:
    • Use el XDR AlertsInfo y AlertsEvidence las tablas donde el ámbito se hereda automáticamente, o
    • Aplique el ámbito a estas tablas de Log Analytics manualmente (este método se limita a los atributos de la tabla y podría no ser equivalente a la herencia de las tablas de datos que generaron estas alertas).
  • Experiencias admitidas: Sentinel ámbitos solo se pueden asignar a Defender XDR roles de RBAC. Azure no se admiten los permisos de RBAC en áreas de trabajo o Entra permisos de rol globales. Las experiencias que no pueden usar RBAC de nivel de fila, como cuadernos de Jupyter Notebook, no permiten a los usuarios que están restringidos a un ámbito ver los datos de esas áreas de trabajo respectivas.

Permisos y acceso

  • Los usuarios pueden ver un incidente si tienen acceso a al menos una alerta en el incidente. Solo pueden administrar el incidente si tienen acceso a todas las alertas del incidente y tienen el permiso necesario.
  • El usuario con ámbito solo puede ver los datos asociados a su ámbito. Si la alerta contiene entidades a las que el usuario no tiene acceso, el usuario no podrá verlas. Si el usuario tiene acceso a al menos una de las entidades asociadas, puede ver la propia alerta.
  • Para definir el ámbito de una tabla completa, use una regla que coincida con todas las filas (por ejemplo, con una condición que siempre sea true). Los datos ingeridos anteriormente no se pueden limitar con carácter retroactivo.
  • Los usuarios con ámbito no pueden administrar recursos (como reglas de detección, cuadernos de estrategias, reglas de automatización) a menos que se les asigne permiso en una asignación de roles independiente.

Pasos siguientes

  • Last updated on