Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Tilgang til et arbeidsområde administreres ved hjelp av Azure RBAC. Vanligvis har brukere som har tilgang til et log analytics-arbeidsområde aktivert for Microsoft Sentinel også tilgang til alle arbeidsområdedataene, inkludert sikkerhetsinnhold. Administratorer kan bruke Azure roller til å konfigurere tilgang til bestemte funksjoner i Microsoft Sentinel, avhengig av tilgangskravene i teamet.
Det kan imidlertid hende at du har noen brukere som bare trenger tilgang til bestemte data i arbeidsområdet, men som ikke skal ha tilgang til hele Microsoft Sentinel miljøet. Du kan for eksempel gi et ikke-sikkerhetsrelatert team (ikke-SOC) tilgang til Windows-hendelsesdataene for serverne de eier.
I slike tilfeller anbefaler vi at du konfigurerer den rollebaserte tilgangskontrollen (RBAC) basert på ressursene som er tillatt for brukerne, i stedet for å gi dem tilgang til arbeidsområdet eller bestemte Microsoft Sentinel funksjoner. Denne metoden kalles også konfigurering av RBAC for ressurskontekst.
Når brukere har tilgang til Microsoft Sentinel data via ressursene de har tilgang til i stedet for arbeidsområdet, kan de vise logger og arbeidsbøker ved hjelp av følgende metoder:
Via selve ressursen, for eksempel en Azure virtuell maskin. Bruk denne metoden til å vise logger og arbeidsbøker bare for en bestemt ressurs.
Via Azure Monitor. Bruk denne metoden når du vil opprette spørringer som strekker seg over flere ressurser og/eller ressursgrupper. Når du navigerer til logger og arbeidsbøker i Azure Monitor, definerer du omfanget til én eller flere bestemte ressursgrupper eller ressurser.
Aktiver RBAC for ressurskontekst i Azure Monitor. Hvis du vil ha mer informasjon, kan du se Administrere tilgang til loggdata og arbeidsområder i Azure Overvåke.
Obs!
Hvis dataene ikke er en Azure ressurs, for eksempel Syslog, CEF eller Microsoft Entra ID data, eller data som samles inn av en egendefinert samler, må du konfigurere ressurs-ID-en som brukes til å identifisere dataene og aktivere tilgang manuelt. Hvis du vil ha mer informasjon, kan du se Eksplisitt konfigurere RBAC for ressurskontekst for ikke-Azure ressurser.
I tillegg støttes ikke funksjoner og lagrede søk i ressursorienterte kontekster. Derfor støttes ikke Microsoft Sentinel funksjoner som analyse og normalisering for RBAC for ressurskontekst i Microsoft Sentinel.
Scenarioer for RBAC for ressurskontekst
Tabellen nedenfor uthever scenarioene der RBAC for ressurskontekst er mest nyttig. Legg merke til forskjellene i tilgangskrav mellom SOC-team og ikke-SOC-team.
| Kravtype | SOC-team | Ikke-SOC-team |
|---|---|---|
| Tillatelser | Hele arbeidsområdet | Bare bestemte ressurser |
| Datatilgang | Alle data i arbeidsområdet | Bare data for ressurser som gruppen har tillatelse til å få tilgang til |
| Opplevelse | Den fullstendige Microsoft Sentinel opplevelsen, muligens begrenset av funksjonstillatelsene som er tilordnet brukeren | Bare loggspørringer og arbeidsbøker |
Hvis teamet har lignende tilgangskrav til ikke-SOC-teamet som er beskrevet i tabellen ovenfor, kan RBAC for ressurskontekst være en god løsning for organisasjonen.
Bildet nedenfor viser for eksempel en forenklet versjon av en arbeidsområdearkitektur der sikkerhets- og driftsteam trenger tilgang til ulike sett med data, og rbac for ressurskontekst brukes til å gi de nødvendige tillatelsene.
I dette bildet:
- Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel er plassert i et eget abonnement for bedre å isolere tillatelser fra abonnementet som programteamene bruker til å være vert for arbeidsbelastningene sine.
- Programteamene får tilgang til sine respektive ressursgrupper, der de kan administrere ressursene sine.
Dette separate abonnementet og ressurskontekst-RBAC gjør det mulig for disse teamene å vise logger generert av ressurser de har tilgang til, selv når loggene er lagret i et arbeidsområde der de ikke har direkte tilgang. Programteamene kan få tilgang til loggene sine via Logger-området i Azure Portal, for å vise logger for en bestemt ressurs, eller via Azure Monitor, for å vise alle loggene de har tilgang til samtidig.
Konfigurer eksplisitt RBAC for ressurskontekst for ikke-Azure ressurser
Azure ressurser har innebygd støtte for RBAC for ressurskontekst, men kan kreve ytterligere finjustering når du arbeider med ressurser som ikke Azure. Data i Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel som ikke er Azure ressurser, inkluderer Syslog-, CEF- eller AAD-data eller data som samles inn av en egendefinert samler.
Bruk følgende fremgangsmåte hvis du vil konfigurere RBAC for ressurskontekst, men dataene er ikke en Azure ressurs.
Slik konfigurerer du eksplisitt RBAC for ressurskontekst:
Kontroller at du har aktivert RBAC for ressurskontekst i Azure Monitor.
Opprett en ressursgruppe for hver gruppe med brukere som trenger tilgang til ressursene dine uten hele Microsoft Sentinel miljøet.
Tilordne logglesertillatelser for hvert av teammedlemmene.
Tilordne ressurser til ressursgruppegruppene du opprettet, og merk hendelser med de relevante ressurs-ID-ene.
Når Azure ressurser sender data til Microsoft Sentinel, merkes loggpostene automatisk med ressurs-ID-en for datakilden.
Tips
Vi anbefaler at du grupperer ressursene du gir tilgang til under en bestemt ressursgruppe som er opprettet for formålet.
Hvis du ikke kan, må du kontrollere at gruppen har logglesertillatelser direkte til ressursene du vil at de skal få tilgang til.
Hvis du vil ha mer informasjon om ressurs-ID-er, kan du se:
Ressurs-ID-er med videresending av logg
Når hendelser samles inn ved hjelp av Common Event Format (CEF) eller Syslog, brukes videresending av logg til å samle hendelser fra flere kildesystemer.
Når for eksempel en VM for videresending av CEF eller Syslog lytter etter kildene som sender Syslog-hendelser, og videresender dem til Microsoft Sentinel, tilordnes ressurs-ID-en for den viderekoblede vm-maskinen til alle hendelsene de videresender.
Hvis du har flere team, må du kontrollere at du har separate virtuelle maskiner for videresending av logger som behandler hendelsene for hvert eget team.
Hvis du for eksempel skiller virtuelle maskiner, sikrer du at Syslog-hendelser som tilhører Team A samles inn ved hjelp av samler-VM A.
Tips
- Når du bruker en lokal virtuell maskin eller en annen virtuell maskin i skyen, for eksempel AWS, må du sørge for at den har en ressurs-ID ved å implementere Azure Arc.
- Hvis du vil skalere det virtuelle miljøet for videresending av loggen, kan du vurdere å opprette et VM-skalasett for å samle cef- og syslogloggene.
Ressurs-ID-er med Logstash-samling
Hvis du samler inn dataene ved hjelp av plugin-modulen Microsoft Sentinel Logstash-utdata, bruker du azure_resource_id-feltet til å konfigurere den egendefinerte samleren til å inkludere ressurs-ID-en i utdataene.
Hvis du bruker RBAC for ressurskontekst og vil at hendelsene som samles inn av API-en skal være tilgjengelige for bestemte brukere, kan du bruke ressurs-ID-en for ressursgruppen du opprettet for brukerne.
Følgende kode viser for eksempel en logstash-konfigurasjonsfil:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contosotest" # <your resource ID>
}
}
Tips
Du kan legge til flere output inndelinger for å skille mellom kodene som brukes på forskjellige hendelser.
Ressurs-ID-er med API-samlingen log analytics
Når du samler inn ved hjelp av API-en for Log Analytics-datainnsamling, kan du tilordne hendelser med en ressurs-ID ved hjelp av forespørselshodet HTTP x-ms-AzureResourceId .
Hvis du bruker RBAC for ressurskontekst og vil at hendelsene som samles inn av API-en skal være tilgjengelige for bestemte brukere, kan du bruke ressurs-ID-en for ressursgruppen du opprettet for brukerne.
Alternativer til RBAC for ressurskontekst
Avhengig av tillatelsene som kreves i organisasjonen, kan det hende at det å bruke RBAC for ressurskontekst ikke gir en fullstendig løsning. Vurder for eksempel om organisasjonen hvis arkitektur er beskrevet i forrige del, også må gi tilgang til Office 365 logger til et internt overvåkingsteam. I dette tilfellet kan de bruke RBAC på tabellnivå til å gi overvåkingsteamet tilgang til hele OfficeActivity-tabellen , uten å gi tillatelser til noen annen tabell.
Listen nedenfor beskriver scenarioer der andre løsninger for datatilgang kan passe bedre til kravene dine:
| Scenario | Løsning |
|---|---|
| Et datterselskap har et SOC-team som krever en fullstendig Microsoft Sentinel opplevelse. | I dette tilfellet kan du bruke en arkitektur med flere arbeidsområder til å skille datatillatelsene dine. Hvis du vil ha mer informasjon, kan du se: |
| Du vil gi tilgang til en bestemt type hendelse. | Gi for eksempel en Windows-administrator tilgang til Windows Sikkerhet hendelser i alle systemer. I slike tilfeller kan du bruke RBAC på tabellnivå til å definere tillatelser for hver tabell. |
| Begrens tilgangen til et mer detaljert nivå, enten ikke basert på ressursen, eller til bare et delsett av feltene i en hendelse | Du kan for eksempel begrense tilgangen til Office 365 logger basert på en brukers datterselskap. I dette tilfellet gir du tilgang til data ved hjelp av innebygd integrering med Power BI-instrumentbord og -rapporter. |
| Begrens tilgang etter administrasjonsgruppe | Plasser Microsoft Sentinel under en egen administrasjonsgruppe som er dedikert til sikkerhet, slik at bare minimale tillatelser arves til gruppemedlemmer. Tilordne tillatelser til forskjellige grupper i henhold til hver gruppefunksjon i sikkerhetsteamet. Siden alle teamene har tilgang til hele arbeidsområdet, får de tilgang til den fullstendige Microsoft Sentinel opplevelsen, begrenset bare av Microsoft Sentinel rollene de er tilordnet. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Sentinel. |
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: