Partilhar via

Configurar Microsoft Sentinel âmbito (RBAC ao nível da linha) (pré-visualização)

Microsoft Sentinel âmbito fornece controlo de acesso baseado em funções (RBAC) ao nível da linha, permitindo o acesso granular ao nível da linha sem que seja necessária separação da área de trabalho. Esta capacidade permite que várias equipas operem de forma segura num ambiente de Microsoft Sentinel partilhado, ao mesmo tempo que utilizam definições de âmbito consistentes e reutilizáveis entre tabelas e experiências.

O âmbito está configurado no portal do Microsoft Defender.

O que é Microsoft Sentinel âmbito?

Microsoft Sentinel âmbito expande a gestão de permissões no portal do Defender para que o administrador possa conceder permissões a subconjuntos específicos de dados em tabelas Sentinel. Para criar âmbitos, faça o seguinte:

Nota

Os âmbitos são aditivos. Os utilizadores com múltiplas funções atribuídas obtêm as permissões mais amplas disponíveis a partir de todas as respetivas atribuições. Por exemplo, se tiver uma função de leitor global Entra e uma função de URBAC Defender XDR que fornece permissões de âmbito em Tabelas de sistema, não tem restrições de âmbitos em Tabelas de sistema devido à função Entra. Outro exemplo é se tiver as mesmas permissões de função no Microsoft Defender XDR de uma área de trabalho, com dois âmbitos diferentes, tiver essa permissão para ambos os âmbitos.

Os âmbitos aplicam-se a tabelas Sentinel que suportam transformações de tempo de ingestão.

Casos de utilização

  • Equipas SOC Distribuídas/Federadas: as grandes empresas e MSSPs operam frequentemente modelos SOC federados em que diferentes equipas são responsáveis por regiões, unidades de negócio ou clientes específicos. O âmbito permite que cada equipa do SOC opere de forma independente numa área de trabalho partilhada Sentinel, garantindo que podem investigar e responder a ameaças no seu domínio sem aceder a dados não relacionados.
  • Acesso no Âmbito das Equipas Externas e Não Relacionadas com Segurança: as equipas, como a rede, as operações de TI ou a conformidade, exigem frequentemente acesso a origens de dados não processadas específicas sem precisarem de visibilidade sobre conteúdos de segurança mais amplos. O âmbito ao nível da linha permite que estas equipas externas acedam de forma segura apenas aos dados relevantes para a respetiva função.
  • Proteção de Dados Confidenciais: proteja determinados dados/tabelas ao aplicar uma abordagem de acesso a dados com menos privilégios, garantindo que as informações confidenciais só estão acessíveis aos utilizadores autorizados.

Pré-requisitos

Antes de começar, verifique os seguintes pré-requisitos:

  • Acesso ao portal do Microsoft Defender:https://security.microsoft.com
  • Microsoft Sentinel áreas de trabalho integradas no portal do Defender: Sentinel áreas de trabalho têm de estar disponíveis no portal do Defender antes de as funções e permissões poderem ser atribuídas
  • Sentinel ativado no RBAC Unificado: tem de ativar Microsoft Sentinel no URBAC antes de utilizar esta funcionalidade.
  • Permissões necessárias para a pessoa que atribui o âmbito e as tabelas de etiquetagem:
    • Permissão de Autorização de Segurança (Gerir) (URBAC) para criar âmbitos e atribuições
    • Permissão de Operações de Dados (Gerir) (URBAC) para Gestão de Tabelas
    • Proprietário da subscrição ou atribuído com a Microsoft.Insights/DataCollectionRules/Write permissão para criar Regras de Recolha de Dados (DCRs)

Passo 1: Criar um âmbito de Sentinel

  1. No portal Microsoft Defender, aceda aPermissões do Sistema>.
  2. Selecione Microsoft Defender XDR.
  3. Abra o separador Âmbitos .
  4. Selecione Adicionar Sentinel âmbito.
  5. Introduza um nome de âmbito e uma descrição opcional.
  6. Selecione Criar âmbito.

Pode criar múltiplos âmbitos e definir os seus próprios valores para cada âmbito para refletir a sua estrutura e políticas organizacionais.

Nota

Pode criar até 100 âmbitos de Sentinel exclusivos por inquilino.

Captura de ecrã a mostrar o separador e a caixa de diálogo Adicionar Sentinel âmbito.

Passo 2: atribuir etiquetas de âmbitos a utilizadores ou grupos

  1. Em Permissões, abra o separador Funções .

  2. Selecione Criar função personalizada.

  3. Configure o nome e a descrição da função e selecione Seguinte.

    Captura de ecrã da caixa de diálogo para criar o nome e a descrição de uma função personalizada.

  4. Atribua as permissões necessárias à função e selecione Aplicar.

    Captura de ecrã da caixa de diálogo para atribuir permissões a uma função personalizada.

  5. Em Atribuições, atribua-lhe um nome e selecione:

    • Utilizadores ou grupos de utilizadores (grupos de Azure AD)
    • Origens de dados e coleções de dados (Sentinel áreas de trabalho)

  6. Em Âmbito, selecione Editar.

  7. Selecione um ou mais âmbitos para atribuir a esta função.

  8. Guarde a função.

Os utilizadores podem ser atribuídos a vários âmbitos em simultâneo em várias áreas de trabalho, com direitos de acesso agregados em todos os âmbitos atribuídos. Os utilizadores restritos só podem aceder aos dados SIEM associados aos âmbitos atribuídos.

Captura de ecrã a mostrar a atribuição de âmbitos Sentinel a uma função personalizada.

Passo 3: Etiquetar tabelas com âmbito

Pode impor âmbitos ao identificar dados durante a ingestão. Esta identificação cria uma Regra de Recolha de Dados (DCR) que aplica etiquetas de âmbito a dados recentemente ingeridos.

  1. Em Microsoft Sentinel, aceda aTabelas de Configuração>.

  2. Selecione uma tabela que suporte transformações de tempo de ingestão.

  3. Selecione Regra de etiqueta de âmbito.

    Captura de ecrã a mostrar o separador Regra de etiqueta de âmbito.

  4. Ative o botão permitir a utilização de etiquetas de âmbito para RBAC .

  5. Ative o botão de alternar Regra de etiqueta de âmbito .

  6. Defina uma expressão KQL que selecione linhas com os operadores e limites suportados por transformKQL.

    Exemplo para definir o âmbito por localização:

    Location == 'Spain'

  7. Selecione o âmbito a aplicar às linhas que correspondem à expressão.

  8. Guarde a regra.

Apenas os dados ingeridos recentemente são etiquetados. Os dados ingeridos anteriormente não estão incluídos. Após a identificação, pode demorar até uma hora para que a nova regra entre em vigor.

Sugestão

Pode criar várias regras de etiquetas de âmbito na mesma tabela para etiquetar linhas diferentes com âmbitos diferentes. Os registos podem pertencer a vários âmbitos em simultâneo.

Captura de ecrã a mostrar a regra da etiqueta de âmbito da tabela.

Passo 4: aceder a dados no âmbito

Depois de os âmbitos serem criados, atribuídos e aplicados a tabelas, os utilizadores no âmbito podem aceder Sentinel experiências com base no âmbito atribuído. Todos os dados recentemente ingeridos são automaticamente etiquetados com âmbito. Os dados históricos (ingeridos anteriormente) não estão incluídos. Os dados não explicitamente confinados não são visíveis para os utilizadores no âmbito. Os utilizadores sem âmbito têm visibilidade sobre todos os dados na área de trabalho

Os utilizadores com âmbito podem:

  • Ver alertas gerados a partir de dados no âmbito
  • Gerir alertas se tiverem acesso a todos os eventos ligados a esse alerta
  • Ver incidentes que contêm, pelo menos, um alerta no âmbito
  • Gerir incidentes se tiverem acesso a todos os alertas subjacentes e tiverem a permissão necessária
  • Executar consultas de investigação avançadas apenas em linhas no âmbito
  • Consultar e explorar dados no Sentinel lake (tabelas com âmbito)
  • Filtrar alertas e incidentes com base no respetivo Âmbito de Sentinel

Os alertas herdam o âmbito dos dados subjacentes. Os incidentes são visíveis se, pelo menos, um alerta estiver dentro do âmbito.

O SentinelScope_CF campo personalizado está disponível para utilização em consultas e regras de deteção para referenciar o âmbito na análise.

Nota

Quando cria regras de análise e deteções personalizadas, tem de projetar a SentinelScope_CF coluna no KQL para tornar os alertas acionados visíveis para os analistas no âmbito. Se não projetar esta coluna, os alertas não são âmbito e ocultados dos utilizadores no âmbito.

Captura de ecrã a mostrar os alertas filtrados por Sentinel âmbito.

Limitações

Aplicam-se as seguintes limitações:

  • Dados históricos: apenas os dados ingeridos recentemente estão no âmbito. Os dados ingeridos anteriormente não estão incluídos e não podem ser colocados no âmbito retroativamente.
  • Suporte de tabela: apenas as tabelas que suportam transformações de tempo de ingestão podem ser etiquetadas. As tabelas personalizadas (CLv1) não são suportadas. As Tabelas CLv2 são suportadas.
  • Colocação da transformação: as transformações só podem ser adicionadas na mesma subscrição que a subscrição do utilizador.
  • Âmbitos máximos: pode criar um máximo de 100 âmbitos de Sentinel exclusivos por inquilino.
  • Apenas no portal do Defender: Sentinel no portal do Azure (Ibiza) não suporta o âmbito. Em alternativa, utilize o portal do Defender.
  • Tabelas XDR não suportadas: as tabelas XDR não são suportadas diretamente. Se expandir a retenção de tabelas XDR para o Log Analytics, pode etiquetar, mas apenas dados com retenção de mais de 30 dias e não dados entre 0 e 30 dias.
  • Nenhuma herança de âmbito automática: as tabelas SecurityAlerts do Log Analytics e SecurityIncidents não herdam automaticamente o âmbito das tabelas/dados não processados a partir das quais foram geradas. Por conseguinte, os utilizadores no âmbito não podem aceder aos mesmos por predefinição. Como solução, pode efetuar uma das seguintes ações:
    • Utilize o XDR AlertsInfo e AlertsEvidence as tabelas em que o âmbito é herdado automaticamente ou
    • Aplicar âmbito a estas tabelas do Log Analytics manualmente (este método está limitado aos atributos na tabela e pode não ser equivalente à herança das tabelas de dados que geraram estes alertas).
  • Experiências suportadas: Sentinel âmbitos só podem ser atribuídos a funções RBAC Defender XDR. Azure permissões RBAC em áreas de trabalho ou Entra permissões de função global não são suportadas. As experiências que não podem utilizar o RBAC ao nível da linha, como o Jupyter Notebooks, não permitem que os utilizadores restritos a um âmbito vejam os dados dessas respetivas áreas de trabalho.

Permissões e acesso

  • Os utilizadores podem ver um incidente se tiverem acesso a, pelo menos, um alerta no incidente. Só podem gerir o incidente se tiverem acesso a todos os alertas no incidente e tiverem a permissão necessária.
  • O utilizador no âmbito só pode ver os dados associados ao respetivo âmbito. Se o alerta contiver entidades às quais o utilizador não tem acesso, o utilizador não poderá vê-las. Se o utilizador tiver acesso a, pelo menos, uma das entidades associadas, pode ver o alerta em si.
  • Para definir o âmbito de uma tabela inteira, utilize uma regra que corresponda a todas as linhas (por exemplo, utilizando uma condição que é sempre verdadeira). Os dados ingeridos anteriormente não podem ser confinados retroativamente.
  • Os utilizadores com âmbito não podem gerir recursos (como regras de deteção, manuais de procedimentos, regras de automatização), a menos que lhes seja atribuída permissão numa atribuição de função separada.

Passos seguintes

  • Last updated on