Condividi tramite

Configurare l'ambito di Microsoft Sentinel (controllo degli accessi in base al ruolo a livello di riga) (anteprima)

Le funzionalità di scoping di Microsoft Sentinel forniscono controllo degli accessi basato sui ruoli a livello di riga, consentendo un accesso granulare a livello di singola riga senza richiedere la separazione dell'area di lavoro. Questa funzionalità consente a più team di operare in modo sicuro all'interno di un ambiente Microsoft Sentinel condiviso usando definizioni di ambito coerenti e riutilizzabili tra tabelle ed esperienze.

La definizione dell'ambito è configurata nel portale di Microsoft Defender.

Che cos'è l'ambito di Microsoft Sentinel?

La definizione dell'ambito di Microsoft Sentinel estende la gestione delle autorizzazioni nel portale di Defender in modo che l'amministratore possa concedere autorizzazioni a subset specifici di dati nelle tabelle di Sentinel. Per creare ambiti, eseguire le operazioni seguenti:

Annotazioni

Gli ambiti sono cumulativi. Gli utenti assegnati a più ruoli ottengono le autorizzazioni più ampie disponibili per loro da tutte le assegnazioni. Ad esempio, se si mantiene sia un ruolo lettore globale Entra che un ruolo URBAC di Defender XDR che fornisce autorizzazioni con ambito per le tabelle di sistema, non ci sono restrizioni sugli ambiti delle tabelle di sistema grazie al ruolo Entra. Un altro esempio è che si hanno le stesse autorizzazioni di ruolo in Microsoft Defender XDR per un'area di lavoro, con due ambiti diversi, si dispone dell'autorizzazione per entrambi gli ambiti.

Gli ambiti si applicano alle tabelle di Sentinel che supportano le trasformazioni in fase di inserimento.

Casi d'uso

  • Team SOC distribuiti/federati: le grandi aziende e i provider di servizi gestito operano spesso modelli SOC federati in cui team diversi sono responsabili di aree, business unit o clienti specifici. L'ambito di competenza consente a ogni team SOC di operare in modo indipendente all'interno di un'area di lavoro di Sentinel condivisa, garantendo di poter analizzare e rispondere alle minacce all'interno del proprio dominio senza accedere ai dati non correlati.
  • Accesso con ambito per squadre esterne, non di sicurezza: Squadre come rete, operazioni IT o conformità spesso richiedono l'accesso a dati grezzi specifici senza dover avere visibilità su contenuti di sicurezza più ampi. La definizione dell'ambito a livello di riga consente a questi team esterni di accedere in modo sicuro solo ai dati rilevanti per la loro funzione.
  • Protezione dei dati sensibili: proteggere determinati dati/tabelle applicando un approccio di accesso ai dati con privilegi minimi, assicurando che le informazioni riservate siano accessibili solo agli utenti autorizzati.

Prerequisiti

Prima di iniziare, verificare i prerequisiti seguenti:

  • Accesso al portale di Microsoft Defender: https://security.microsoft.com
  • Aree di lavoro di Microsoft Sentinel caricate nel portale di Defender: le aree di lavoro di Sentinel devono essere disponibili nel portale di Defender prima che sia possibile assegnare ruoli e autorizzazioni
  • Sentinel abilitato in URBAC unificato: è necessario abilitare Microsoft Sentinel in URBAC prima di usare questa funzionalità.
  • Autorizzazioni necessarie per la persona che assegna le tabelle di ambito e assegnazione di tag:
    • Autorizzazione di sicurezza (Gestisci) autorizzazione (URBAC) per creare ambiti e assegnazioni
    • Autorizzazione URBAC per Data Operations (Gestisci) nella Gestione delle tabelle
    • Proprietario della sottoscrizione o con l'autorizzazione assegnata Microsoft.Insights/DataCollectionRules/Write per creare regole di raccolta dati

Passaggio 1: Creare un ambito di Sentinel

  1. Nel portale di Microsoft Defender passare aAutorizzazioni>.
  2. Selezionare Microsoft Defender XDR.
  3. Apri la scheda Ambiti.
  4. Selezionare Aggiungi ambito Sentinel.
  5. Immettere un nome di ambito e una descrizione facoltativa.
  6. Selezionare Crea ambito.

È possibile creare più ambiti e definire valori personalizzati per ogni ambito per riflettere la struttura e i criteri dell'organizzazione.

Annotazioni

È possibile creare fino a 100 ambiti Sentinel univoci per ogni tenant.

Screenshot della scheda Aggiungi ambito di Sentinel e della finestra di dialogo.

Passaggio 2: Assegnare tag di ambito a utenti o gruppi

  1. In Autorizzazioni aprire la scheda Ruoli .

  2. Selezionare Crea ruolo personalizzato.

  3. Configurare il nome e la descrizione del ruolo e selezionare Avanti.

    Screenshot della finestra di dialogo per la creazione di un nome e una descrizione di un ruolo personalizzato.

  4. Assegnare le autorizzazioni necessarie al ruolo e selezionare Applica.

    Screenshot della finestra di dialogo per l'assegnazione delle autorizzazioni a un ruolo personalizzato.

  5. In Assegnazioni assegnare un nome e selezionare:

    • Utenti o gruppi di utenti (gruppi di Azure AD)
    • Origini dati e raccolte dati (aree di lavoro di Sentinel)

  6. In Ambito selezionare Modifica.

  7. Selezionare uno o più ambiti da assegnare a questo ruolo.

  8. Fare clic su Salva per salvare il ruolo.

Gli utenti possono essere assegnati a più ambiti contemporaneamente su più aree di lavoro, con diritti di accesso aggregati in tutti gli ambiti assegnati. Gli utenti con restrizioni possono accedere solo ai dati SIEM associati agli ambiti assegnati.

Screenshot dell'assegnazione di ambiti di Sentinel a un ruolo personalizzato.

Passaggio 3: Assegna un ambito alle tabelle

Applichi gli ambiti contrassegnando i dati durante l'ingestione. Questo tag crea una regola di raccolta dati (DCR) che applica i tag di ambito ai dati appena inseriti.

  1. In Microsoft Sentinel passare a Tabelle di configurazione>.

  2. Selezionare una tabella che supporta le trasformazioni in fase di inserimento.

  3. Selezionare Regola tag ambito.

    Screenshot della scheda Regola tag ambito.

  4. Abilitare l'interruttore Consenti l'uso dei tag di ambito per RBAC.

  5. Abilita Regola tag ambito.

  6. Definire un'espressione KQL che seleziona le righe usando operatori e limiti supportati da transformKQL.

    Esempio per definire l'ambito in base alla posizione:

    Location == 'Spain'

  7. Selezionare l'ambito da applicare alle righe corrispondenti all'espressione.

  8. Salva la regola.

Vengono contrassegnati solo i dati appena acquisiti. I dati ingeriti in precedenza non sono inclusi. Dopo l'assegnazione di tag, l'applicazione della nuova regola può richiedere fino a un'ora.

Suggerimento

È possibile creare più regole di tag di ambito nella stessa tabella per contrassegnare righe diverse con ambiti diversi. I record possono appartenere a più ambiti contemporaneamente.

Screenshot della regola dell'ambito del tag della tabella.

Passaggio 4: Accedere ai dati con ambito definito

Dopo la creazione, l'assegnazione e l'applicazione degli ambiti alle tabelle, gli utenti con ambito possono accedere alle esperienze di Sentinel in base all'ambito assegnato. Tutti i nuovi dati inseriti vengono automaticamente contrassegnati con un ambito di applicazione. I dati cronologici (inseriti in precedenza) non sono inclusi. Tutti i dati non con ambito esplicito non sono visibili agli utenti con ambito. Gli utenti senza ambito hanno visibilità su tutti i dati all'interno dell'area di lavoro

Gli utenti limitati dall'ambito possono:

  • Visualizzare gli avvisi generati dai dati con ambito definito
  • Gestire gli avvisi se hanno accesso a tutti gli eventi collegati a tale avviso
  • Visualizza gli incidenti che contengono almeno un avviso mirato
  • Gestire gli eventi imprevisti se hanno accesso a tutti gli avvisi sottostanti e hanno l'autorizzazione necessaria
  • Eseguire query di ricerca avanzate solo su righe selezionate per ambito
  • Eseguire query ed esplorare i dati nel data lake di Sentinel (tabelle con ambito)
  • Filtrare gli avvisi e gli incidenti in base all'Ambito di Sentinel

Gli avvisi ereditano l'ambito dai dati sottostanti. Gli eventi imprevisti sono visibili se almeno un avviso rientra nell'ambito.

Il SentinelScope_CF campo personalizzato è disponibile per l'uso nelle query e nelle regole di rilevamento per fare riferimento all'ambito nell'analisi.

Annotazioni

Quando si creano rilevamenti personalizzati e regole di analisi, è necessario proiettare la SentinelScope_CF colonna nel loro KQL per rendere visibili gli avvisi attivati agli analisti con un ambito definito. Se non si proietta questa colonna, gli avvisi non hanno ambito e sono nascosti agli utenti con ambito definito.

Screenshot degli avvisi filtrati in base all'ambito di Sentinel.

Limitazioni

Si applicano le seguenti limitazioni:

  • Dati cronologici: solo i dati appena inseriti sono presi in considerazione. I dati inseriti in precedenza non sono inclusi e non possono essere considerati retroattivamente.
  • Supporto tabelle: è possibile contrassegnare solo le tabelle che supportano le trasformazioni in fase di inserimento. Le tabelle personalizzate (CLv1) non sono supportate. Le tabelle CLv2 sono supportate.
  • Posizionamento trasformazione: le trasformazioni possono essere aggiunte solo nello stesso abbonamento dell'abbonamento dell'utente.
  • Ambiti massimi: è possibile creare un massimo di 100 ambiti Sentinel univoci per ogni tenant.
  • Solo portale di Defender: Sentinel nel portale di Azure (Ibiza) non supporta la definizione dell'ambito. Usare invece il portale di Defender.
  • Tabelle XDR non supportate: le tabelle XDR non sono supportate direttamente. Se si estende la conservazione delle tabelle XDR in Log Analytics, è possibile contrassegnarli, ma solo i dati con conservazione di 30 giorni e non i dati compresi tra 0 e 30 giorni.
  • Nessuna ereditarietà automatica dell'ambito: le tabelle SecurityAlerts di Log Analytics e SecurityIncidents non ereditano automaticamente l'ambito dai dati/tabelle non elaborati da cui sono stati generati. Pertanto, gli utenti con ambito definito non possono accedervi per impostazione predefinita. Come soluzione alternativa, è possibile eseguire una delle azioni seguenti:
    • Usare le tabelle XDR AlertsInfo e AlertsEvidence in cui l'ambito viene ereditato automaticamente o
    • Applicare manualmente l'ambito a queste tabelle di Log Analytics. Questo metodo è limitato agli attributi nella tabella e potrebbe non essere equivalente all'ereditarietà delle tabelle di dati che hanno generato questi avvisi.
  • Esperienze supportate: gli ambiti di Sentinel possono essere assegnati solo ai ruoli RBAC di Defender XDR. Le autorizzazioni di Controllo degli accessi in base al ruolo di Azure per le aree di lavoro o le autorizzazioni del ruolo globale di Entra non sono supportate. Le esperienze che non possono usare il controllo degli accessi in base al ruolo a livello di riga, come Jupyter Notebooks, non consentono agli utenti limitati a un certo ambito di visualizzare i dati per le rispettive aree di lavoro.

Autorizzazioni e accesso

  • Gli utenti possono visualizzare un evento imprevisto se hanno accesso ad almeno un avviso nell'evento imprevisto. Possono gestire l'evento imprevisto solo se hanno accesso a tutti gli avvisi nell'evento imprevisto e hanno l'autorizzazione necessaria.
  • L'utente con l'ambito definito può visualizzare solo i dati associati al proprio ambito. Se l'avviso contiene entità a cui l'utente non ha accesso, l'utente non può visualizzarli. Se l'utente ha accesso ad almeno una delle entità associate, può visualizzare l'avviso stesso.
  • Per definire l'ambito di un'intera tabella, usare una regola che corrisponda a tutte le righe, ad esempio utilizzando una condizione sempre vera. I dati inseriti in precedenza non possono essere definiti retroattivamente.
  • Gli utenti con ambiti definiti non possono gestire le risorse, come le regole di rilevamento, i playbook e le regole di automazione, a meno che non siano loro assegnate autorizzazioni tramite un'assegnazione di ruolo separata.

Passaggi successivi

  • Last updated on