Microsoft Sentinelスコープの構成 (行レベルの RBAC) (プレビュー)

Microsoft Sentinelスコーピングでは、行レベルのロールベースのアクセス制御 (RBAC) が提供され、ワークスペースの分離を必要とせずに詳細な行レベルのアクセスが可能になります。 この機能により、複数のチームが共有Microsoft Sentinel環境内で安全に操作しながら、テーブルとエクスペリエンス間で一貫性のある再利用可能なスコープ定義を使用できます。

スコープは、Microsoft Defender ポータルで構成されます。

Microsoft Sentinelスコーピングとは

Microsoft Sentinelスコープを設定すると、Defender ポータルでアクセス許可の管理が拡張され、管理者はSentinel テーブル内のデータの特定のサブセットにアクセス許可を付与できます。 スコープを作成するには、次の操作を行います。

注:

スコープは加算的です。 複数のロールを割り当てられたユーザーは、すべての割り当てから最も幅広いアクセス許可を取得します。 たとえば、Entraグローバル閲覧者ロールと、システム テーブルに対するスコープ付きアクセス許可を提供する Defender XDR URBAC ロールの両方を保持している場合、Entraロールが原因でシステム テーブルのスコープによって制限されません。 もう 1 つの例は、2 つの異なるスコープを持つワークスペースのMicrosoft Defender XDRで同じロールのアクセス許可を保持している場合、両方のスコープに対するそのアクセス許可を持っている場合です。

スコープは、インジェスト時間変換をサポートするSentinelテーブルに適用されます。

ユース ケース

  • 分散/フェデレーション SOC Teams: 大企業と MSSP は、多くの場合、フェデレーション SOC モデルを運用します。このモデルでは、異なるチームが特定のリージョン、部署、または顧客を担当します。 スコーピングを使用すると、各 SOC チームは共有Sentinel ワークスペース内で独立して動作し、関連のないデータにアクセスすることなく、ドメイン内の脅威を調査して対応できるようにします。
  • 外部、セキュリティ以外のチームのスコープアクセス: ネットワーク、IT 運用、コンプライアンスなどの Teams では、多くの場合、より広範なセキュリティ コンテンツを可視化することなく、特定の生データ ソースへのアクセスが必要になります。 行レベルのスコープを使用すると、これらの外部チームは、関数に関連するデータにのみ安全にアクセスできます。
  • 機密データ保護: 最小限の特権のデータ アクセス アプローチを適用して特定のデータ/テーブルを保護し、機密情報にアクセスできるのは承認されたユーザーのみであることを確認します。

前提条件

開始する前に、次の前提条件を確認してください。

  • Microsoft Defender ポータルへのアクセス:https://security.microsoft.com
  • Defender ポータルにオンボードされているMicrosoft Sentinelワークスペース: Sentinelワークスペースは、ロールとアクセス許可を割り当てる前に Defender ポータルで使用できる必要があります
  • 統合 RBAC で有効Sentinel: この機能を使用する前に URBAC でMicrosoft Sentinelを有効にする必要があります。
  • スコープとタグ付けテーブルを割り当てるユーザーに必要なアクセス許可:
    • スコープと割り当てを作成するためのセキュリティ承認 (管理) アクセス許可 (URBAC)
    • テーブル管理のデータ操作 (管理) アクセス許可 (URBAC)
    • サブスクリプションの所有者 、またはデータ収集規則 (DCR) を作成するための Microsoft.Insights/DataCollectionRules/Write アクセス許可が割り当てられている

手順 1: Sentinel スコープを作成する

  1. Microsoft Defender ポータルで、[System>Permissions] に移動します。
  2. [Microsoft Defender XDR] を選択します。
  3. [スコープ] タブ 開きます。
  4. [スコープSentinel追加] を選択します
  5. スコープ名と省略可能な説明を入力します。
  6. [ スコープの作成] を選択します

複数のスコープを作成し、スコープごとに独自の値を定義して、組織の構造とポリシーを反映できます。

注:

テナントごとに最大 100 個の一意のSentinelスコープを作成できます。

[スコープの追加] タブと [Sentinel スコープの追加] ダイアログのスクリーンショット。

手順 2: ユーザーまたはグループにスコープ タグを割り当てる

  1. [ アクセス許可] で、[ ロール ] タブを開きます。

  2. [ カスタム ロールの作成] を選択します。

  3. ロールの名前と説明を構成し、[ 次へ] を選択します。

    カスタム ロールの名前と説明を作成するためのダイアログのスクリーンショット。

  4. ロールに必要なアクセス許可を割り当て、[適用] を選択 します

    カスタム ロールにアクセス許可を割り当てるためのダイアログのスクリーンショット。

  5. [ 割り当て] で、名前を付けて次を選択します。

    • ユーザーまたはユーザー グループ (Azure AD グループ)
    • データ ソースとデータ コレクション (Sentinel ワークスペース)

  6. [ スコープ] で、[編集] を選択 します

  7. このロールに割り当てるスコープを 1 つ以上選択します。

  8. ロールを保存します。

ユーザーは、複数のワークスペースに対して同時に複数のスコープに割り当てることができます。アクセス権は、割り当てられたすべてのスコープにわたって集計されます。 制限付きユーザーは、割り当てられたスコープに関連付けられている SIEM データにのみアクセスできます。

Sentinelスコープをカスタム ロールに割り当てるスクリーンショット。

手順 3: スコープを使用してテーブルにタグを付けます

インジェスト中にデータにタグを付けることで、スコープを適用します。 このタグ付けにより、新しく取り込まれたデータにスコープ タグを適用するデータ収集規則 (DCR) が作成されます。

  1. Microsoft Sentinelで、[構成>テーブル] に移動します。

  2. インジェスト時間変換をサポートするテーブルを選択します。

  3. [ スコープ タグ ルール] を選択します

    [スコープ タグ ルール] タブのスクリーンショット。

  4. [ RBAC のスコープ タグの使用を許可する ] トグルを有効にします。

  5. [スコープ タグ ルール] トグルを有効にします。

  6. transformKQL でサポートされている演算子と制限を使用して行を選択する KQL 式を定義します。

    場所によってスコープを設定する例:

    Location == 'Spain'

  7. 式に一致する行に適用するスコープを選択します。

  8. ルールを保存します。

新しく取り込まれたデータのみがタグ付けされます。 以前に取り込まれたデータは含まれません。 タグ付け後、新しいルールが有効になるまでに最大で 1 時間かかることがあります。

ヒント

同じテーブルに複数のスコープ タグ ルールを作成して、異なるスコープを持つ異なる行にタグを付けることができます。 レコードは複数のスコープに同時に属できます。

テーブル スコープ タグ ルールのスクリーンショット。

手順 4: スコープ付きデータにアクセスする

スコープを作成、割り当て、テーブルに適用すると、スコープ付きユーザーは割り当てられたスコープに基づいてSentinelエクスペリエンスにアクセスできます。 新しく取り込まれたデータはすべて、スコープで自動的にタグ付けされます。 履歴 (以前に取り込まれた) データは含まれません。 明示的にスコープが設定されていないデータは、スコープ付きユーザーには表示されません。 スコープなしユーザーは、ワークスペース内のすべてのデータを表示できます

スコープ付きユーザーは、次のことができます。

  • スコープ付きデータから生成されたアラートを表示する
  • アラートにリンクされているすべてのイベントにアクセスできる場合は、アラートを管理します
  • 少なくとも 1 つのスコープ付きアラートを含むインシデントを表示する
  • インシデントが基になるすべてのアラートにアクセスでき、必要なアクセス許可を持っている場合は、インシデントを管理します
  • スコープ付き行に対してのみ高度なハンティング クエリを実行する
  • Sentinel lake (スコープを持つテーブル) 内のデータのクエリと探索
  • Sentinel スコープに基づいてアラートとインシデントをフィルター処理する

アラートは、基になるデータからスコープを継承します。 少なくとも 1 つのアラートがスコープ内にある場合は、インシデントが表示されます。

SentinelScope_CFユーザー設定フィールドは、クエリや検出ルールで使用して、分析のスコープを参照できます。

注:

カスタム検出と分析ルールを作成する場合は、トリガーされたアラートをスコープ付きアナリストに表示するために、KQL に SentinelScope_CF 列を投影する必要があります。 この列を投影しない場合、アラートのスコープは解除され、スコープ付きユーザーには非表示になります。

Sentinel スコープでフィルター処理されたアラートのスクリーンショット。

制限事項

以下の制限があります。

  • 履歴データ: 新しく取り込まれたデータのみがスコープ設定されます。 以前に取り込まれたデータは含まれず、さかのぼってスコープを設定することはできません。
  • テーブルのサポート: インジェスト時変換をサポートするテーブルにのみタグを付けることができます。 カスタム テーブル (CLv1) はサポートされていません。 CLv2 テーブルがサポートされています。
  • 変換の配置: 変換は、ユーザーのサブスクリプションと同じサブスクリプションにのみ追加できます。
  • 最大スコープ: テナントごとに最大 100 個の一意のSentinelスコープを作成できます。
  • Defender ポータルのみ: Azure portal (Ibiza) のSentinelはスコープをサポートしていません。 代わりに Defender ポータルを使用してください。
  • XDR テーブルはサポートされていません:XDR テーブルは直接サポートされていません。 XDR テーブルのリテンション期間を Log Analytics に拡張する場合は、タグを付けることができますが、0 日から 30 日の間のデータではなく、30 日以上の保有期間を持つデータのみをタグ付けできます。
  • スコープの自動継承なし: Log Analytics テーブル SecurityAlertsSecurityIncidents は、生成された生のデータ/テーブルからスコープを自動的に継承しません。 そのため、スコープ付きユーザーは既定でアクセスできません。 回避策として、次のいずれかの操作を実行できます。
    • スコープが自動的に継承される XDR AlertsInfo テーブルと AlertsEvidence テーブルを使用します。
    • これらの Log Analytics テーブルにスコープを手動で適用します (このメソッドはテーブル内の属性に制限されており、これらのアラートを生成したデータ テーブルの継承と同等ではない可能性があります)。
  • サポートされるエクスペリエンス: Sentinelスコープは、Defender XDR RBAC ロールにのみ割り当てることができます。 ワークスペースに対する RBAC アクセス許可Azure、またはグローバル ロールのアクセス許可Entraサポートされていません。 Jupyter Notebooks などの行レベルの RBAC を使用できないエクスペリエンスでは、スコープに制限されているユーザーがそれぞれのワークスペースのデータを表示することはできません。

アクセス許可とアクセス

  • インシデント内の少なくとも 1 つのアラートにアクセスできる場合、ユーザーはインシデントを表示できます。 インシデントを管理できるのは、インシデント内のすべてのアラートにアクセスし、必要なアクセス許可を持っている場合のみです。
  • スコープ付きユーザーは、スコープに関連付けられているデータのみを表示できます。 ユーザーがアクセス権を持たないエンティティがアラートに含まれている場合、ユーザーはエンティティを表示できません。 ユーザーが関連付けられているエンティティの少なくとも 1 つにアクセスできる場合は、アラート自体を表示できます。
  • テーブル全体のスコープを設定するには、すべての行に一致するルールを使用します (たとえば、常に true の条件を使用)。 以前に取り込まれたデータは、遡及的にスコープを設定することはできません。
  • スコープ付きユーザーは、別のロールの割り当てでアクセス許可が割り当てられない限り、リソース (検出ルール、プレイブック、オートメーション ルールなど) を管理できません。

次の手順

  • Last updated on