määritä Microsoft Sentinel (rivitason RBAC) (esikatselu)

Microsoft Sentinel scoping tarjoaa rivitason roolipohjaisen käytön hallinnan (RBAC), joka mahdollistaa hajautuksen, rivitason käytön ilman työtilan erottelua. Tämän ominaisuuden avulla useat tiimit voivat toimia turvallisesti jaetussa Microsoft Sentinel ympäristössä käyttämällä yhdenmukaisia ja uudelleenkäytettäviä vaikutusaluemäärityksiä taulukoissa ja käyttökokemuksissa.

Scoping on määritetty Microsoft Defender-portaalissa.

Mitä Microsoft Sentinel on?

Microsoft Sentinel laajentaminen laajentaa käyttöoikeuksien hallintaa Defender-portaalissa, jotta järjestelmänvalvoja voi myöntää käyttöoikeudet tiettyihin Sentinel taulukoiden tietojen alijoukkoihin. Voit luoda käyttöalueita seuraavasti:

• Loogisten käyttöalueiden määrittäminen: Luo käyttöaluemäärityksiä, jotka ovat yhdenmukaisia organisaatiorakenteen kanssa (liiketoimintayksikön, alueen tai tietojen luottamuksellisuusasteen mukaan)
• Käyttäjien tai ryhmien määrittäminen käyttöalueisiin: Määritä tiettyjä käyttäjiä tai ryhmiä yhteen tai useampaan vaikutusalueeseen Unified RBAC:n avulla
• Merkitse tietorivejä tietojen käsittelyaikana: Käytä vaikutusaluetunnisteita taulukoiden riveihin taulukon hallinnan avulla, jolloin voit luoda säännöt, jotka merkitsevät uudet sisäänotetut tiedot automaattisesti
• Rajoita käyttöä laajuuden mukaan: Rajoita käyttäjien käyttöoikeuksia hälytyksiin, tapauksiin, metsästyskyselyihin ja Data Lake -tietojen tarkasteluun niiden määritetyn laajuuden mukaan

Käyttöalueet koskevat Sentinel taulukoita, jotka tukevat käsittelyajan muunnoksia.

Käyttötapaukset

• Hajautetut ja liitetyt SOC-tiimit: Suuret yritykset ja msSP:t käyttävät usein liitettyjä SOC-malleja, joissa eri tiimit vastaavat tietyistä alueista, liiketoimintayksiköistä tai asiakkaista. Koodauksen avulla kukin SOC-tiimi voi toimia itsenäisesti jaetussa Sentinel työtilassa. Näin varmistetaan, että ne voivat tutkia toimialueensa uhkia ja vastata niihin käyttämättä toisiinsa liittymättömiä tietoja.
• Ulkoisten, muiden kuin tietoturvaryhmien käyttöalue: Sellaiset tiimit kuin verkko, IT-toiminnot tai vaatimustenmukaisuus edellyttävät usein pääsyä tiettyihin raakatietolähteisiin ilman näkyvyyttä laajempaan suojaussisältöön. Rivitason kopioinnin avulla nämä ulkoiset ryhmät voivat turvallisesti käyttää vain niiden toimintoon liittyviä tietoja.
• Luottamuksellisten tietojen suojaus: Suojaa tietyt tiedot/taulukot käyttämällä tietojen käyttöoikeutta mahdollisimman vähän ja varmista, että luottamuksellisia tietoja voivat käyttää vain valtuutetut käyttäjät.

Ennakkovaatimukset

Ennen kuin aloitat, tarkista seuraavat edellytykset:

• Microsoft Defender portaalin käyttöoikeus:https://security.microsoft.com
• Microsoft Sentinel Defender-portaaliin lisättävät työtilat: Sentinel työtilojen on oltava käytettävissä Defender-portaalissa, ennen kuin rooleja ja käyttöoikeuksia voidaan määrittää
• Sentinel käytössä Unified RBAC:ssä: sinun on otettava Microsoft Sentinel käyttöön URBACissa, ennen kuin voit käyttää tätä ominaisuutta.
• Käyttöalueen ja taulukoiden merkitsemisen määrittävän henkilön pakolliset käyttöoikeudet:
  • Suojauksen valtuutus (Hallinta) -oikeus (URBAC) käyttöalueiden ja varausten luomiseksi
  • Tietotoimintojen (hallinta) oikeus (URBAC) taulukonhallintaa varten
  • Tilauksen omistaja tai määritetty tietojen keräämisen sääntöjen luontioikeuksin Microsoft.Insights/DataCollectionRules/Write (DCR-oikeudet)

Vaihe 1: luo Sentinel vaikutusalue

1. Siirry Microsoft Defender-portaalissa kohtaan Järjestelmän>käyttöoikeudet.
2. Valitse Microsoft Defender XDR.
3. Avaa Käyttöalueet-välilehti .
4. Valitse Lisää Sentinel vaikutusalue.
5. Kirjoita käyttöalueen nimi ja valinnainen kuvaus.
6. Valitse Luo käyttöalue.

Voit luoda useita käyttöalueita ja määrittää kullekin vaikutusalueelle omat arvosi, jotka vastaavat organisaation rakennetta ja käytäntöjä.

Vaihe 2: Käyttöalueiden tunnisteiden määrittäminen käyttäjille tai ryhmille

1. Avaa Käyttöoikeudet-kohdassa Roolit-välilehti.

2. Valitse Luo mukautettu rooli.

3. Määritä roolin nimi ja kuvaus ja valitse Seuraava.

   

4. Määritä roolille vaaditut käyttöoikeudet ja valitse Käytä.

   

5. Anna Määritykset-kohdassa nimi ja valitse:

   • Käyttäjät tai käyttäjäryhmät (Azure AD ryhmät)
   • Tietolähteet ja tietokokoelmat (Sentinel työtilat)

6. Valitse Käyttöalue-kohdastaMuokkaa.

7. Valitse vähintään yksi tälle roolille määritettävä käyttöalue.

8. Tallenna rooli.

Käyttäjät voidaan määrittää useisiin käyttöalueisiin samanaikaisesti useissa työtiloissa, ja käyttöoikeusoikeudet on koostettu kaikkiin määritettyihin käyttöalueisiin. Rajoitetut käyttäjät voivat käyttää vain siem-tietoja, jotka on liitetty heidän määritettyihin vaikutusalueisiinsa.

Vaihe 3: Merkitse taulukot, joilla on vaikutusalue

Voit ottaa vaikutusalueet käyttöön merkitsemällä tiedot tietojen käsittelyaikana. Tämä merkintä luo tietojen keräämissäännön (DCR), joka käyttää käyttöaluetunnisteita vasta käytettyihin tietoihin.

1. Siirry Microsoft Sentinel kohtaanMääritystaulukot>.

2. Valitse taulukko, joka tukee käsittelyajan muunnoksia.

3. Valitse Käyttöalue-tunnistesääntö.

   

4. Ota käyttöön Salli käyttöaluetunnisteiden käyttö RBAC:lle -vaihto.

5. Ota käyttöalueen tunnistesäännön vaihto käyttöön.

6. Määritä KQL-lauseke, joka valitsee rivejä transformKQL:n tukemien operaattoreiden ja rajoitusten avulla.

   Esimerkki laajuudesta sijainnin mukaan:

   Location == 'Spain'
   

7. Valitse käyttöalue, jota käytetään lauseketta vastaavilla riveillä.

8. Tallenna sääntö.

Vain äskettäin käyttöönotetut tiedot on merkitty. Aiemmin kirjattuja tietoja ei sisällytetä. Merkitsemisen jälkeen voi kestää jopa tunnin, ennen kuin uusi sääntö tulee voimaan.

Vaihe 4: Tietojen käyttö

Kun vaikutusalueet on luotu, määritetty ja otettu käyttöön taulukoissa, alueen käyttäjät voivat käyttää Sentinel käyttökokemuksia määritetyn alueen perusteella. Kaikki juuri käyttöönotetut tiedot merkitään automaattisesti vaikutusalueella. Aiempia (aiemmin kulutettuja) tietoja ei sisällytetä. Tiedot, joita ei ole eksplisiittisesti suodatettu, eivät näy suodatetuille käyttäjille. Suojaamattomille käyttäjille on näkyvyys kaikkiin työtilan tietoihin

Alueen käyttäjät voivat:

• Näytä alueen tiedoista luodut hälytykset
• Hallitse ilmoituksia, jos heillä on käyttöoikeus kaikkiin kyseiseen ilmoitmiseen linkitettyihin tapahtumiin
• Näytä tapaukset, jotka sisältävät vähintään yhden alueen hälytyksen
• Hallitse tapauksia, jos heillä on pääsy kaikkiin pohjana oleviin hälytyksiin ja heillä on tarvittavat käyttöoikeudet
• Suorita kehittyneet metsästyskyselyt vain laajennetuille riveille
• Tietojen kyseleminen ja tutkiminen Sentinel järvellä (taulukot, joissa on vaikutusalue)
• Suodata hälytykset ja tapaukset niiden Sentinel laajuuden perusteella

Ilmoitukset perivät vaikutusalueen pohjana olevista tiedoista. Tapaukset näkyvät, jos ainakin yksi hälytys on vaikutusalueella.

Mukautettu SentinelScope_CF kenttä on käytettävissä kyselyissä ja tunnistussäännöissä viittaamaan vaikutusalueeseen analytiikassa.

Rajoitukset

Seuraavat rajoitukset ovat voimassa:

• Historialliset tiedot: Vain uudet käyttöönotetut tiedot on suodatettu. Aiemmin käytettyjä tietoja ei sisällytetä eikä niitä voi rajata takautuvasti.
• Taulukkotuki: Vain taulukot, jotka tukevat käsittelyajan muunnoksia, voidaan merkitä. Mukautettuja taulukoita (CLv1) ei tueta. CLv2-taulukoita tuetaan.
• Muunnossijainti: Muunnoksia voi lisätä vain samaan tilaukseen kuin käyttäjän tilaus.
• Alueiden enimmäismäärä: Voit luoda enintään 100 yksilöllistä Sentinel käyttöaluetta vuokraajaa kohden.
• Vain Defender-portaali: Sentinel Azure-portaali (Ibiza) ei tue kopiointia. Käytä sen sijaan Defender-portaalia.
• XDR-taulukoita ei tueta: XDR-taulukoita ei tueta suoraan. Jos laajennat XDR-taulukoiden säilytyksen Log Analyticsiin, voit merkitä tunnisteen, mutta vain tiedot, joissa on yli 30 päivän säilytys, etkä tietoja 0–30 päivän välillä.
• Ei automaattista vaikutusalueen periytymistä: Log Analytics -taulukot SecurityAlertsSecurityIncidents eivät peri käyttöaluetta automaattisesti raakatiedoista tai taulukoista, joista ne luotiin. Siksi vaikutusalueen käyttäjät eivät voi käyttää niitä oletusarvoisesti. Voit kiertää ongelman jollakin seuraavista toiminnoista:
  • Käytä XDR AlertsInfo :ää ja AlertsEvidence taulukoita, joissa vaikutusalue periytyy automaattisesti, tai
  • Käytä vaikutusaluetta näissä Log Analytics -taulukoissa manuaalisesti (tämä menetelmä on rajoitettu taulukon määritteisiin, eikä se välttämättä vastaa näiden ilmoitusten luoneiden tietotaulukoiden periytymistä).
• Tuetut käyttökokemukset: Sentinel vaikutusalueet voidaan määrittää vain Defender XDR RBAC-rooleille. Azure RBAC-käyttöoikeuksia työtiloihin tai Entra yleisiä roolioikeuksia ei tueta. Käyttökokemukset, jotka eivät voi käyttää rivitason RBAC:tä, kuten Jupyter-muistikirjat, eivät salli niiden käyttäjien, joiden vaikutusalue on rajoitettu, tarkastella kyseisten työtilojen tietoja.

Käyttöoikeudet ja käyttöoikeudet

• Käyttäjät voivat tarkastella tapausta, jos heillä on käyttöoikeus vähintään yhteen tapauksen hälytykseen. He voivat hallita tapausta vain, jos heillä on pääsy kaikkiin tapahtuman hälytyksiin ja heillä on tarvittava käyttöoikeus.
• Vaikutusalueen käyttäjä voi nähdä vain niiden vaikutusalueeseen liittyvät tiedot. Jos ilmoitus sisältää entiteettejä, joihin käyttäjällä ei ole käyttöoikeuksia, käyttäjä ei näe niitä. Jos käyttäjällä on vähintään yhden liittyvän entiteetin käyttöoikeus, hän voi nähdä itse ilmoituksen.
• Voit rajata koko taulukon käyttämällä sääntöä, joka vastaa kaikkia rivejä (esimerkiksi käyttämällä ehtoa, joka on aina tosi). Aiemmin käytettyjä tietoja ei voida rajata takautuvasti.
• Vaikutusalueen käyttäjät eivät voi hallita resursseja (kuten tunnistussääntöjä, pelikirjoja tai automaatiosääntöjä), ellei heille ole määritetty käyttöoikeuksia erillisessä roolimäärityksessä.

Seuraavat vaiheet

• Tarkista käsittelyaikamuunnoksia tukevien taulukoiden luettelo
• Suunnittele käyttöalueiden nimet ja logiikka ennen tietojen merkitsemistä
• Aloita pienen ryhmän tai tietojen alijoukon pilottikokeilun avulla
• Lisätietoja yhdistetystä RBAC:stä Microsoft Defender XDR