Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Työtilan käyttöä hallitaan Azure RBAC:n avulla. Yleensä käyttäjillä, joilla on käytössään Log Analytics -työtilan käyttöoikeus Microsoft Sentinel, on myös pääsy kaikkiin työtilan tietoihin, mukaan lukien suojaussisältöön. Järjestelmänvalvojat voivat Azure roolien avulla määrittää käyttöoikeudet tiettyihin Microsoft Sentinel ominaisuuksiin tiiminsä käyttöoikeusvaatimusten mukaan.
Sinulla saattaa kuitenkin olla käyttäjiä, joiden on käytettävä vain tiettyjä tietoja työtilassasi, mutta joilla ei pitäisi olla käyttöoikeutta koko Microsoft Sentinel ympäristöön. Saatat esimerkiksi haluta tarjota muille kuin suojaustoiminnoille (muu kuin SOC)-tiimille pääsyn omistamiensa palvelinten Windows-tapahtumatietoihin.
Tällaisissa tapauksissa suosittelemme, että määrität roolipohjaisen käytön hallinnan (RBAC) käyttäjille sallittujen resurssien perusteella sen sijaan, että tarjoaisit heille käyttöoikeuden työtilaan tai tiettyihin Microsoft Sentinel ominaisuuksiin. Tätä menetelmää kutsutaan myös resurssikontekstin RBAC:n määrittämiseksi.
Kun käyttäjillä on oikeus Microsoft Sentinel tietoihin niiden resurssien kautta, joita he voivat käyttää työtilan sijaan, he voivat tarkastella lokeja ja työkirjoja seuraavilla tavoilla:
Itse resurssin, kuten Azure näennäiskoneen, kautta. Tämän menetelmän avulla voit tarkastella vain tietyn resurssin lokeja ja työkirjoja.
Näytön Azure kautta. Käytä tätä menetelmää, kun haluat luoda kyselyjä, jotka kattavat useita resursseja ja/tai resurssiryhmiä. Kun siirryt lokeihin ja työkirjoihin Azure Monitorissa, määritä vaikutusalue vähintään yhdelle tietylle resurssiryhmälle tai resurssille.
Ota resurssikontekstin RBAC käyttöön Azure Monitorissa. Lisätietoja on artikkelissa Lokitietojen ja työtilojen käyttöoikeuksien hallinta Azure Monitorissa.
Huomautus
Jos tiedot eivät ole Azure resurssi, kuten Syslog, CEF tai Microsoft Entra ID, tai mukautetun keräystoiminnon keräämät tiedot, sinun on määritettävä manuaalisesti resurssitunnus, jota käytetään tietojen tunnistamiseen ja käytön mahdollistamiseen. Lisätietoja on kohdassa Resurssikontekstin RBAC:n eksplisiittinen määrittäminen muille kuin Azure resursseille.
Lisäksi funktioita ja tallennettuja hakuja ei tueta resurssikeskeissä konteksteissa. Siksi Microsoft Sentinel ominaisuuksia, kuten jäsennystä ja normalisointia, ei tueta resurssikontekstin RBAC:ssä Microsoft Sentinel.
Resurssikontekstin RBAC-skenaariot
Seuraavassa taulukossa esitellään skenaariot, joissa resurssikontekstista RBAC on eniten hyötyä. Huomaa käyttöoikeusvaatimusten erot SOC-tiimien ja muiden kuin SOC-tiimien välillä.
| Vaatimuksen tyyppi | SOC-tiimi | Muu kuin SOC-ryhmä |
|---|---|---|
| Käyttöoikeudet | Koko työtila | Vain tietyt resurssit |
| Tietojen käyttö | Kaikki työtilan tiedot | Vain niiden resurssien tiedot, joihin ryhmällä on käyttöoikeus |
| Kokemus | Koko Microsoft Sentinel käyttökokemus, jota käyttäjälle määritetyt toiminnalliset käyttöoikeudet mahdollisesti rajoittavat | Vain kyselyiden ja työkirjojen kirjaaminen lokiin |
Jos tiimilläsi on samanlaiset käyttöoikeusvaatimukset kuin yllä olevassa taulukossa kuvatulla ei-SOC-tiimillä, resurssikontekstin RBAC voi olla hyvä ratkaisu organisaatiollesi.
Esimerkiksi seuraavassa kuvassa näkyy yksinkertaistettu versio työtilaarkkitehtuurista, jossa suojaus- ja toimintotiimit tarvitsevat pääsyn eri tietojoukkoihin, ja resurssikontekstin RBAC:n avulla annetaan tarvittavat käyttöoikeudet.
Tässä kuvassa:
- Microsoft Sentinel käytössä oleva Log Analytics -työtila sijoitetaan erilliseen tilaukseen, jotta käyttöoikeudet eristetään paremmin tilauksesta, jota sovellustiimit käyttävät kuormitustensa isännöinnissä.
- Sovellusryhmille myönnetään käyttöoikeus omiin resurssiryhmiinsä, joissa ne voivat hallita resurssejaan.
Tämän erillisen tilauksen ja resurssikontekstin RBAC:n avulla nämä ryhmät voivat tarkastella lokeja, jotka on luotu kaikista resursseista, joihin heillä on käyttöoikeus, vaikka lokit olisi tallennettu työtilaan, jossa heillä ei ole suoraa käyttöoikeutta. Sovellustiimit voivat käyttää lokejaan Azure-portaali Lokit-alueen kautta, näyttääkseen tietyn resurssin lokit tai Azure Monitorin kautta näyttääkseen kaikki lokit, joita he voivat käyttää samanaikaisesti.
Määritä resurssikontekstin RBAC eksplisiittisesti muille kuin Azure resursseille
Azure resursseilla on sisäinen tuki resurssikontekstin RBAC:lle, mutta ne saattavat vaatia lisäsäätöä, kun käsittelet muita kuin Azure resursseja. Esimerkiksi Log Analytics -työtilan tiedot, jotka on otettu käyttöön Microsoft Sentinel jotka eivät ole Azure resursseja, ovat Syslog, CEF tai AAD-tiedot tai mukautetun keräimen keräämät tiedot.
Käytä seuraavia vaiheita, jos haluat määrittää resurssikontekstin RBAC:n, mutta tietosi eivät ole Azure resurssi.
Resurssikontekstin RBAC:n eksplisiittinen määrittäminen:
Varmista, että olet ottanut resurssikontekstin RBAC:n käyttöön monitorin Azure.
Luo resurssiryhmä kullekin käyttäjäryhmälle, jonka on käytettävä resurssejasi ilman koko Microsoft Sentinel ympäristöä.
Määritä lokinlukuohjelman käyttöoikeudet kullekin ryhmän jäsenelle.
Varaa resursseja luomiasi resurssitiimiryhmille ja merkitse tapahtumat asianmukaisilla resurssitunnoilla.
Kun Azure resurssit lähettävät tietoja Microsoft Sentinel, lokitietueet merkitään automaattisesti tietolähteen resurssitunnuksella.
Vihje
Suosittelemme, että ryhmittelet käyttöoikeudet myöntämäsi resurssit tiettyyn tarkoitukseen luotuun resurssiryhmään.
Jos et pysty, varmista, että tiimilläsi on lokinlukijan käyttöoikeudet suoraan resursseihin, joita haluat heidän voivan käyttää.
Lisätietoja resurssitunnuksista on seuraavissa tiedoissa:
Resurssitunnukset, joissa on loki edelleenlähetys
Kun tapahtumia kerätään käyttämällä Common Event Format (CEF) - tai Syslog-muotoa, lokinsiirtoa käytetään useiden lähdejärjestelmien tapahtumien keräämiseen.
Kun esimerkiksi CEF- tai Syslog-edelleenlähetysten näennäiskone kuuntelee lähteitä, jotka lähettävät Syslog-tapahtumia, ja lähettää ne edelleen Microsoft Sentinel, lokiin välittävä näennäiskoneen resurssitunnus määritetään kaikille niille edelleen lähetetyille tapahtumille.
Jos sinulla on useita tiimejä, varmista, että sinulla on erilliset lokinsiirto näennäiskoneet, jotka käsittelevät kunkin erillisen tiimin tapahtumia.
Esimerkiksi näennäiskoneiden erottaminen varmistaa, että tiimiin A kuuluvat Syslog-tapahtumat kerätään käyttämällä keräilyn näennäiskone A:a.
Vihje
- Kun käytät paikallista näennäiskonetta tai muuta pilvipalvelun näennäiskonetta, kuten AWS:ää, lokinlähentäjänä, varmista, että sillä on resurssitunnus toteuttamalla Azure Arc.
- Jos haluat skaalata lokin edelleenlähentävää näennäiskoneympäristöä, harkitse näennäiskoneen skaalausjoukon luomista CEF- ja Syslog-lokien keräämiseksi.
Resurssitunnukset, joissa on Logstash-kokoelma
Jos keräät tietoja Microsoft Sentinel Logstash-tuloslaajennuksella, määritä azure_resource_id-kentän avulla mukautettu keräin sisällytämään resurssitunnus tulosteeseen.
Jos käytät resurssikontekstin RBAC:tä ja haluat ohjelmointirajapinnan keräämien tapahtumien olevan tiettyjen käyttäjien käytettävissä, käytä luomasi resurssiryhmän resurssitunnusta käyttäjillesi.
Esimerkiksi seuraavassa koodissa näytetään Logstash-määritystiedostoesimerkki:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contosotest" # <your resource ID>
}
}
Vihje
Haluat ehkä lisätä useita output osia, jotta eri tapahtumissa käytetyt tunnisteet erotellaan.
Resurssitunnukset Log Analytics -ohjelmointirajapintakokoelmassa
Kun keräät log analytics -tiedonkeruutoiminnon ohjelmointirajapinnan avulla, voit määrittää tapahtumia resurssitunnuksella käyttämällä HTTP x-ms-AzureResourceId -pyyntöotsikkoa.
Jos käytät resurssikontekstin RBAC:tä ja haluat ohjelmointirajapinnan keräämien tapahtumien olevan tiettyjen käyttäjien käytettävissä, käytä luomasi resurssiryhmän resurssitunnusta käyttäjillesi.
Vaihtoehdot resurssikontekstille RBAC
Organisaatiosi edellyttämien käyttöoikeuksien mukaan resurssikontekstin RBAC:n käyttäminen ei välttämättä tarjoa täydellistä ratkaisua. Mieti esimerkiksi, onko organisaation, jonka arkkitehtuuri on kuvattu edellisessä osiossa, myönnettävä käyttöoikeus myös Office 365 lokeihin sisäiselle valvontaryhmälle. Tässä tapauksessa he saattavat käyttää taulukkotason RBAC: tä myöntääkseen valvontatiimille käyttöoikeuden koko OfficeActivity-taulukkoon myöntämättä käyttöoikeuksia mihinkään muuhun taulukkoon.
Seuraavassa luettelossa kuvataan tilanteita, joissa muut tietojen käytön ratkaisut saattavat sopia paremmin vaatimuksiisi:
| Skenaario | Ratkaisu |
|---|---|
| Tytäryhtiöllä on SOC-tiimi, joka edellyttää täydellistä Microsoft Sentinel käyttökokemusta. | Tässä tapauksessa voit käyttää usean työtilan arkkitehtuuria tietojen käyttöoikeuksien erottamiseen. Lisätietoja on seuraavissa artikkeleissa: |
| Haluat antaa käyttöoikeuden tietyntyyppiseen tapahtumaan. | Voit esimerkiksi antaa Windows-järjestelmänvalvojalle käyttöoikeuden Windowsin suojaus tapahtumiin kaikissa järjestelmissä. Tällaisissa tapauksissa voit määrittää käyttöoikeudet kullekin taulukolle taulukkotason RBAC :n avulla. |
| Rajoita käyttöoikeuksia rakeisempiin tasoihin, jotka eivät perustu resurssiin, tai vain tapahtuman kenttien alijoukkoon | Saatat esimerkiksi haluta rajoittaa Office 365 lokien käyttöä käyttäjän tytäryhtiön perusteella. Tässä tapauksessa voit tarjota pääsyn tietoihin käyttämällä sisäistä integrointia Power BI -koontinäyttöjen ja -raporttien kanssa. |
| Rajoita käyttöoikeuksia hallintaryhmän mukaan | Sijoita Microsoft Sentinel erilliseen suojausta käsittelevään hallintaryhmään ja varmista, että ryhmän jäsenille periytyvät vain vähimmäisoikeudet. Määritä käyttöoikeusryhmässä oikeudet eri ryhmille kunkin ryhmätoiminnon mukaan. Koska kaikilla tiimeillä on käyttöoikeus koko työtilaan, he voivat käyttää koko Microsoft Sentinel käyttökokemusta, jota rajoittavat vain heille määritetyt Microsoft Sentinel roolit. Lisätietoja on artikkelissa Microsoft Sentinel käyttöoikeudet. |
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: