Bereik van Microsoft Sentinel configureren (RBAC op rijniveau) (preview)

Microsoft Sentinel bereik biedt op rijniveau op rollen gebaseerd toegangsbeheer (RBAC), waardoor gedetailleerde toegang op rijniveau mogelijk is zonder scheiding van werkruimten. Met deze mogelijkheid kunnen meerdere teams veilig werken binnen een gedeelde Microsoft Sentinel omgeving en tegelijkertijd consistente en herbruikbare bereikdefinities gebruiken voor tabellen en ervaringen.

Bereik wordt geconfigureerd in de Microsoft Defender-portal.

Wat is Microsoft Sentinel bereik?

Microsoft Sentinel bereik breidt het machtigingenbeheer in de Defender-portal uit, zodat de beheerder machtigingen kan verlenen aan specifieke subsets met gegevens in Sentinel tabellen. Ga als volgt te werk om bereiken te maken:

Opmerking

Bereiken zijn additief. Gebruikers waaraan meerdere rollen zijn toegewezen, krijgen de breedste machtigingen die beschikbaar zijn voor al hun toewijzingen. Als u bijvoorbeeld zowel een Entra globale lezerrol als een Defender XDR URBAC-rol hebt die machtigingen voor systeemtabellen biedt, bent u onbeperkt voor bereiken in systeemtabellen vanwege de Entra rol. Een ander voorbeeld is als u dezelfde rolmachtigingen hebt in Microsoft Defender XDR voor een werkruimte, met twee verschillende bereiken, hebt u die machtiging voor beide bereiken.

Bereiken zijn van toepassing op Sentinel tabellen die opnametijdtransformaties ondersteunen.

Gebruiksvoorbeelden

  • Gedistribueerde/federatieve SOC-teams: grote ondernemingen en MSSP's gebruiken vaak federatieve SOC-modellen waarbij verschillende teams verantwoordelijk zijn voor specifieke regio's, bedrijfseenheden of klanten. Met een bereik kan elk SOC-team onafhankelijk werken binnen een gedeelde Sentinel werkruimte, zodat ze bedreigingen binnen hun domein kunnen onderzoeken en erop kunnen reageren zonder toegang te krijgen tot niet-gerelateerde gegevens.
  • Toegang met bereik voor externe, niet-beveiligingsteams: Teams zoals netwerken, IT-bewerkingen of naleving vereisen vaak toegang tot specifieke onbewerkte gegevensbronnen zonder dat ze inzicht nodig hebben in bredere beveiligingsinhoud. Bereik op rijniveau stelt deze externe teams in staat om alleen veilig toegang te krijgen tot de gegevens die relevant zijn voor hun functie.
  • Bescherming van gevoelige gegevens: beveilig bepaalde gegevens/tabellen door een benadering voor gegevenstoegang met minimale bevoegdheden toe te passen, zodat gevoelige informatie alleen toegankelijk is voor geautoriseerde gebruikers.

Vereisten

Controleer de volgende vereisten voordat u begint:

  • Toegang tot de Microsoft Defender-portal:https://security.microsoft.com
  • Microsoft Sentinel werkruimten die zijn toegevoegd aan de Defender-portal: Sentinel werkruimten moeten beschikbaar zijn in de Defender-portal voordat rollen en machtigingen kunnen worden toegewezen
  • Sentinel ingeschakeld in Unified RBAC: U moet Microsoft Sentinel in URBAC inschakelen voordat u deze functie gebruikt.
  • Vereiste machtigingen voor de persoon die het bereik toewijst en tabellen taggen:
    • Machtiging voor beveiligingsautorisatie (beheren) (URBAC) om bereiken en toewijzingen te maken
    • Machtigingen voor gegevensbewerkingen (beheren) (URBAC) voor tabelbeheer
    • Abonnementseigenaar of toegewezen met de machtiging voor het Microsoft.Insights/DataCollectionRules/Write maken van regels voor gegevensverzameling (DCR's)

Stap 1: een Sentinel bereik maken

  1. Ga in de Microsoft Defender portal naarSysteemmachtigingen>.
  2. Selecteer Microsoft Defender XDR.
  3. Open het tabblad Bereiken .
  4. Selecteer Sentinel bereik toevoegen.
  5. Voer een bereiknaam en optionele beschrijving in.
  6. Selecteer Bereik maken.

U kunt meerdere bereiken maken en uw eigen waarden definiëren voor elk bereik om de structuur en het beleid van uw organisatie te weerspiegelen.

Opmerking

U kunt maximaal 100 unieke Sentinel bereiken per tenant maken.

Schermopname van het tabblad En dialoogvenster Sentinel bereik toevoegen.

Stap 2: bereiktags toewijzen aan gebruikers of groepen

  1. Open in Machtigingen het tabblad Rollen .

  2. Selecteer Aangepaste rol maken.

  3. Configureer de naam en beschrijving van de rol en selecteer Volgende.

    Schermopname van het dialoogvenster voor het maken van de naam en beschrijving van een aangepaste rol.

  4. Wijs de vereiste machtigingen toe aan de rol en selecteer Toepassen.

    Schermopname van het dialoogvenster voor het toewijzen van machtigingen aan een aangepaste rol.

  5. Geef het in Toewijzingen een naam en selecteer:

    • Gebruikers of gebruikersgroepen (Azure AD groepen)
    • Gegevensbronnen en gegevensverzamelingen (Sentinel werkruimten)

  6. Selecteer bewerken onder Bereik.

  7. Selecteer een of meer bereiken die u aan deze rol wilt toewijzen.

  8. Sla de rol op.

Gebruikers kunnen worden toegewezen aan meerdere bereiken tegelijk via meerdere werkruimten, waarbij toegangsrechten zijn geaggregeerd voor alle toegewezen bereiken. Beperkte gebruikers hebben alleen toegang tot SIEM-gegevens die zijn gekoppeld aan hun toegewezen bereiken.

Schermopname van het toewijzen van Sentinel bereiken aan een aangepaste rol.

Stap 3: Tabellen labelen met bereik

U dwingt bereiken af door gegevens te taggen tijdens opname. Met deze tagging wordt een regel voor gegevensverzameling (DCR) gemaakt waarmee bereiktags worden toegepast op nieuw opgenomen gegevens.

  1. Ga in Microsoft Sentinel naarConfiguratietabellen>.

  2. Selecteer een tabel die ondersteuning biedt voor opnametijdtransformaties.

  3. Selecteer Regel voor bereiktag.

    Schermopname van het tabblad Regel voor bereiktags.

  4. Schakel de wisselknop Gebruik van bereiktags voor RBAC toestaan in.

  5. Schakel de wisselknop Bereikcoderegel in.

  6. Definieer een KQL-expressie waarmee rijen worden geselecteerd met behulp van door transformKQL ondersteunde operators en limieten.

    Voorbeeld van bereik per locatie:

    Location == 'Spain'

  7. Selecteer het bereik dat moet worden toegepast op rijen die overeenkomen met de expressie.

  8. Sla de regel op.

Alleen nieuw opgenomen gegevens worden getagd. Eerder opgenomen gegevens zijn niet opgenomen. Na het taggen kan het tot een uur duren voordat de nieuwe regel van kracht wordt.

Tip

U kunt meerdere bereiktagregels in dezelfde tabel maken om verschillende rijen met verschillende bereiken te taggen. Records kunnen tot meerdere bereiken tegelijk behoren.

Schermopname van de tagregel voor tabelbereik.

Stap 4: Toegang tot gegevens met bereik

Nadat bereiken zijn gemaakt, toegewezen en toegepast op tabellen, hebben gebruikers met een bereik toegang tot Sentinel ervaringen op basis van hun toegewezen bereik. Alle zojuist opgenomen gegevens worden automatisch getagd met het bereik. Historische (eerder opgenomen) gegevens zijn niet opgenomen. Alle gegevens die niet expliciet zijn bereikt, zijn niet zichtbaar voor gebruikers met een bereik. Gebruikers zonder eenscope hebben inzicht in alle gegevens in de werkruimte

Gebruikers met een bereik kunnen het volgende doen:

  • Waarschuwingen weergeven die zijn gegenereerd op gegevens met een bereik
  • Waarschuwingen beheren als ze toegang hebben tot alle gebeurtenissen die aan die waarschuwing zijn gekoppeld
  • Incidenten weergeven die ten minste één waarschuwing binnen het bereik bevatten
  • Incidenten beheren als ze toegang hebben tot alle onderliggende waarschuwingen en de vereiste machtiging hebben
  • Geavanceerde opsporingsquery's uitvoeren voor alleen rijen met bereik
  • Gegevens opvragen en verkennen in het Sentinel lake (tabellen met bereik)
  • Waarschuwingen en incidenten filteren op basis van hun Sentinel bereik

Waarschuwingen nemen het bereik over van de onderliggende gegevens. Incidenten zijn zichtbaar als ten minste één waarschuwing binnen het bereik valt.

Het SentinelScope_CF aangepaste veld is beschikbaar voor gebruik in query's en detectieregels om te verwijzen naar het bereik in uw analyses.

Opmerking

Wanneer u aangepaste detectie- en analyseregels maakt, moet u de kolom in hun SentinelScope_CF KQL projecteren om de geactiveerde waarschuwingen zichtbaar te maken voor analisten met een bereik. Als u deze kolom niet projecteert, worden waarschuwingen niet in het bereik geplaatst en verborgen voor gebruikers met een bereik.

Schermopname van waarschuwingen gefilterd op Sentinel bereik.

Beperkingen

De volgende beperkingen zijn van toepassing:

  • Historische gegevens: alleen nieuw opgenomen gegevens zijn binnen het bereik. Eerder opgenomen gegevens zijn niet opgenomen en kunnen niet met terugwerkende kracht worden bereikt.
  • Tabelondersteuning: alleen tabellen die opnametijdtransformaties ondersteunen, kunnen worden getagd. Aangepaste tabellen (CLv1) worden niet ondersteund. CLv2-tabellen worden ondersteund.
  • Transformatieplaatsing: transformaties kunnen alleen worden toegevoegd in hetzelfde abonnement als het abonnement van de gebruiker.
  • Maximumbereiken: U kunt maximaal 100 unieke Sentinel bereiken per tenant maken.
  • Alleen Defender-portal: Sentinel in de Azure Portal (Ibiza) biedt geen ondersteuning voor bereik. Gebruik in plaats hiervan de Defender-portal.
  • XDR-tabellen worden niet ondersteund: XDR-tabellen worden niet rechtstreeks ondersteund. Als u de retentie van XDR-tabellen uitbreidt naar Log Analytics, kunt u alleen gegevens taggen met een retentie van meer dan 30 dagen en geen gegevens tussen 0 en 30 dagen.
  • Geen automatische overname van het bereik: De Log Analytics-tabellen SecurityAlerts nemen SecurityIncidents niet automatisch het bereik over van de onbewerkte gegevens/tabellen waaruit ze zijn gegenereerd. Daarom hebben gebruikers met een bereik niet standaard toegang tot deze gebruikers. Als tijdelijke oplossing kunt u een van de volgende acties uitvoeren:
    • Gebruik de XDR AlertsInfo en AlertsEvidence tabellen waarin het bereik automatisch wordt overgenomen, of
    • Pas het bereik handmatig toe op deze Log Analytics-tabellen (deze methode is beperkt tot de kenmerken in de tabel en is mogelijk niet gelijk aan overname van de gegevenstabellen die deze waarschuwingen hebben gegenereerd).
  • Ondersteunde ervaringen: Sentinel bereiken kunnen alleen worden toegewezen aan Defender XDR RBAC-rollen. Azure RBAC-machtigingen voor werkruimten of Entra globale rolmachtigingen worden niet ondersteund. Ervaringen die geen RBAC op rijniveau kunnen gebruiken, zoals Jupyter Notebooks, staan gebruikers die beperkt zijn tot een bereik niet toe om gegevens voor die respectieve werkruimten te bekijken.

Machtigingen en toegang

  • Gebruikers kunnen een incident bekijken als ze toegang hebben tot ten minste één waarschuwing in het incident. Ze kunnen het incident alleen beheren als ze toegang hebben tot alle waarschuwingen in het incident en de vereiste machtiging hebben.
  • De gebruiker met het bereik kan alleen de gegevens zien die zijn gekoppeld aan het bereik. Als de waarschuwing entiteiten bevat waartoe de gebruiker geen toegang heeft, kan de gebruiker deze niet zien. Als de gebruiker toegang heeft tot ten minste één van de gekoppelde entiteiten, kan deze de waarschuwing zelf zien.
  • Als u een hele tabel wilt bereiken, gebruikt u een regel die overeenkomt met alle rijen (bijvoorbeeld met een voorwaarde die altijd waar is). Eerder opgenomen gegevens kunnen niet met terugwerkende kracht worden bereikt.
  • Gebruikers met een bereik kunnen geen resources (zoals detectieregels, playbooks, automatiseringsregels) beheren, tenzij er machtigingen aan hen zijn toegewezen in een afzonderlijke roltoewijzing.

Volgende stappen

  • Last updated on