Konfigurera Microsoft Sentinel omfång (RBAC på radnivå)

Microsoft Sentinel omfång ger rollbaserad åtkomstkontroll på radnivå (RBAC), vilket möjliggör detaljerad åtkomst på radnivå utan att arbetsytan separeras. Med den här funktionen kan flera team arbeta säkert i en delad Microsoft Sentinel miljö samtidigt som konsekventa och återanvändbara omfångsdefinitioner används över tabeller och upplevelser.

Omfånget konfigureras i Microsoft Defender-portalen.

Vad är Microsoft Sentinel omfång?

Microsoft Sentinel utökar behörighetshanteringen i Defender-portalen så att administratören kan bevilja behörigheter till specifika delmängder av data i Sentinel tabeller. Gör följande för att skapa omfång:

Obs!

Omfång är additiva. Användare som har tilldelats flera roller får de bredaste behörigheterna som är tillgängliga från alla deras tilldelningar. Om du till exempel har både en Entra global läsarroll och en Defender XDR URBAC-roll som ger begränsade behörigheter för systemtabeller, är du obegränsad av omfång för systemtabeller på grund av den Entra rollen. Ett annat exempel är om du har samma rollbehörigheter i Microsoft Defender XDR för en arbetsyta, med två olika omfång, så har du den behörigheten för båda omfången.

Omfång gäller för Sentinel tabeller som stöder inmatningstidsomvandlingar.

Användningsfall

  • Distribuerade/federerade SOC-team: Stora företag och MSSP:er använder ofta federerade SOC-modeller där olika team ansvarar för specifika regioner, affärsenheter eller kunder. Omfång gör att varje SOC-team kan arbeta oberoende av varandra i en delad Sentinel arbetsyta, så att de kan undersöka och svara på hot inom sin domän utan att komma åt orelaterade data.
  • Begränsad åtkomst för externa, icke-säkerhetsteam: Team som nätverk, IT-åtgärder eller efterlevnad kräver ofta åtkomst till specifika rådatakällor utan att behöva insyn i bredare säkerhetsinnehåll. Omfång på radnivå gör att dessa externa team på ett säkert sätt kan komma åt de data som är relevanta för deras funktion.
  • Känsligt dataskydd: Skydda vissa data/tabeller genom att tillämpa en dataåtkomstmetod med minsta behörighet, så att känslig information endast är tillgänglig för behöriga användare.

Förhandskrav

Innan du börjar kontrollerar du följande krav:

  • Åtkomst till Microsoft Defender-portalen:https://security.microsoft.com
  • Microsoft Sentinel arbetsytor som registrerats i Defender-portalen: Sentinel arbetsytor måste vara tillgängliga i Defender-portalen innan roller och behörigheter kan tilldelas
  • Sentinel aktiverat i Unified RBAC: Du måste aktivera Microsoft Sentinel i URBAC innan du använder den här funktionen.
  • Nödvändiga behörigheter för den person som tilldelar omfångs- och taggningstabeller:
    • Behörighet för säkerhetsauktorisering (Hantera) (URBAC) för att skapa omfång och tilldelningar
    • Behörighet för dataåtgärder (Hantera) (URBAC) för tabellhantering
    • Prenumerationsägare eller tilldelad Microsoft.Insights/DataCollectionRules/Write behörighet att skapa regler för datainsamling (DCR)

Steg 1: Skapa ett Sentinel omfång

  1. I Microsoft Defender-portalen går du tillSystembehörigheter>.
  2. Välj Microsoft Defender XDR.
  3. Öppna fliken Omfattningar .
  4. Välj Lägg till Sentinel omfång.
  5. Ange ett omfångsnamn och en valfri beskrivning.
  6. Välj Skapa omfång.

Du kan skapa flera omfång och definiera dina egna värden för varje omfång för att återspegla organisationens struktur och principer.

Obs!

Du kan skapa upp till 100 unika Sentinel omfång per klientorganisation.

Skärmbild av fliken Och dialogrutan Lägg till Sentinel omfång.

Steg 2: Tilldela omfångstaggar till användare eller grupper

  1. I Behörigheter öppnar du fliken Roller .

  2. Välj Skapa anpassad roll.

  3. Konfigurera rollnamnet och beskrivningen och välj Nästa.

    Skärmbild av dialogrutan för att skapa namn och beskrivning av en anpassad roll.

  4. Tilldela de behörigheter som krävs till rollen och välj Använd.

    Skärmbild av dialogrutan för att tilldela behörigheter till en anpassad roll.

  5. I Tilldelningar ger du den ett namn och väljer:

    • Användare eller användargrupper (Azure AD grupper)
    • Datakällor och datasamlingar (Sentinel arbetsytor)

  6. Under Omfång väljer du Redigera.

  7. Välj ett eller flera omfång att tilldela till den här rollen.

  8. Spara rollen.

Användare kan tilldelas flera omfång samtidigt över flera arbetsytor, med åtkomsträttigheter aggregerade över alla tilldelade omfång. Begränsade användare kan bara komma åt SIEM-data som är associerade med deras tilldelade omfång.

Skärmbild av tilldelning av Sentinel omfång till en anpassad roll.

Steg 3: Tagga tabeller med omfång

Du framtvingar omfång genom att tagga data under inmatningen. Den här taggningen skapar en datainsamlingsregel (DCR) som tillämpar omfångstaggar på nyligen inmatade data.

  1. I Microsoft Sentinel går du till Konfigurationstabeller>.

  2. Välj en tabell som stöder inmatningstidstransformeringar.

  3. Välj Omfångstaggregel.

    Skärmbild av fliken Omfångstaggregel.

  4. Aktivera växlingsknappen Tillåt användning av omfångstaggar för RBAC .

  5. Aktivera regel för omfångstagg .

  6. Definiera ett KQL-uttryck som väljer rader med transformKQL-operatorer och gränser som stöds.

    Exempel på omfång efter plats:

    Location == 'Spain'

  7. Välj det omfång som ska tillämpas på rader som matchar uttrycket.

  8. Spara regeln.

Endast nyligen inmatade data är taggade. Tidigare inmatade data ingår inte. Efter taggning kan det ta upp till en timme innan den nya regeln börjar gälla.

Tips

Du kan skapa flera omfångstaggregler i samma tabell för att tagga olika rader med olika omfång. Poster kan tillhöra flera omfång samtidigt.

Skärmbild av taggregeln för tabellomfång.

Steg 4: Åtkomst till begränsade data

När omfång har skapats, tilldelats och tillämpats på tabeller kan begränsade användare komma åt Sentinel upplevelser baserat på deras tilldelade omfång. Alla nyligen inmatade data taggas automatiskt med omfång. Historiska (tidigare inmatade) data ingår inte. Alla data som inte uttryckligen är begränsade är inte synliga för begränsade användare. Oomfångade användare har insyn i alla data på arbetsytan

Begränsade användare kan:

  • Visa aviseringar som genererats från begränsade data
  • Hantera aviseringar om de har åtkomst till alla händelser som är länkade till aviseringen
  • Visa incidenter som innehåller minst en begränsad avisering
  • Hantera incidenter om de har åtkomst till alla underliggande aviseringar och har den behörighet som krävs
  • Kör endast avancerade jaktfrågor över begränsade rader
  • Fråga och utforska data i Sentinel lake (tabeller med omfång)
  • Filtrera aviseringar och incidenter baserat på deras Sentinel omfång

Aviseringar ärver omfånget från underliggande data. Incidenter visas om minst en avisering är inom omfånget.

Det SentinelScope_CF anpassade fältet är tillgängligt för användning i frågor och identifieringsregler för att referera till omfånget i din analys.

Obs!

När du skapar anpassade identifieringar och analysregler måste du projicera SentinelScope_CF kolumnen i deras KQL för att göra de utlösta aviseringarna synliga för begränsade analytiker. Om du inte projicerar den här kolumnen är aviseringar oomfångade och dolda för begränsade användare.

Skärmbild av aviseringar som filtrerats efter Sentinel omfång.

Begränsningar

Följande begränsningar gäller:

  • Historiska data: Endast nyligen inmatade data är begränsade. Tidigare inmatade data ingår inte och kan inte begränsas retroaktivt.
  • Tabellstöd: Endast tabeller som stöder inmatningstidstransformeringar kan taggas. Anpassade tabeller (CLv1) stöds inte. CLv2-tabeller stöds.
  • Omvandlingsplacering: Transformeringar kan bara läggas till i samma prenumeration som användarens prenumeration.
  • Maximalt antal omfattningar: Du kan skapa högst 100 unika Sentinel omfång per klientorganisation.
  • Endast Defender-portalen: Sentinel i Azure Portal (Ibiza) stöder inte omfång. Använd Defender-portalen i stället.
  • XDR-tabeller stöds inte: XDR-tabeller stöds inte. Detta inkluderar utökad kvarhållning av XDR-tabeller i sjön.
  • Inget automatiskt omfångsarv: Log Analytics-tabellerna SecurityAlerts och SecurityIncidents ärver inte automatiskt omfånget från rådata/tabeller som de genererades från. Därför kan begränsade användare inte komma åt dem som standard. Som en lösning kan du utföra någon av följande åtgärder:
    • Använd XDR AlertsInfo och AlertsEvidence tabeller där omfånget ärvs automatiskt, eller
    • Använd omfånget för dessa Log Analytics-tabeller manuellt (den här metoden är begränsad till attributen i tabellen och kanske inte motsvarar arv av de datatabeller som genererade dessa aviseringar).
  • Funktioner som stöds: Sentinel omfång kan bara tilldelas till Defender XDR RBAC-roller. Azure RBAC-behörigheter på arbetsytor eller Entra globala rollbehörigheter stöds inte. Funktioner som inte kan använda RBAC på radnivå, till exempel Jupyter Notebooks, tillåter inte användare som är begränsade till ett omfång att visa data för de respektive arbetsytorna.

Behörigheter och åtkomst

  • Användare kan visa en incident om de har åtkomst till minst en avisering i incidenten. De kan endast hantera incidenten om de har åtkomst till alla aviseringar i incidenten och har den behörighet som krävs.
  • Den begränsade användaren kan bara se de data som är associerade med deras omfång. Om aviseringen innehåller entiteter som användaren inte har åtkomst till kan användaren inte se dem. Om användaren har åtkomst till minst en av de associerade entiteterna kan användaren se själva aviseringen.
  • Om du vill begränsa en hel tabell använder du en regel som matchar alla rader (till exempel med ett villkor som alltid är sant). Tidigare inmatade data kan inte begränsas retroaktivt.
  • Begränsade användare kan inte hantera resurser (till exempel identifieringsregler, spelböcker, automatiseringsregler) om inte behörighet tilldelas dem i en separat rolltilldelning.

Nästa steg

  • Last updated on