Konfigurer Microsoft Sentinel omfang (RBAC på radnivå) (forhåndsversjon)

Microsoft Sentinel omfang gir rollebasert tilgangskontroll basert på radnivå (RBAC), noe som muliggjør detaljert tilgang på radnivå uten å kreve fordeling av arbeidsområder. Denne funksjonen gjør det mulig for flere team å operere sikkert i et delt Microsoft Sentinel miljø, samtidig som de bruker konsekvente og gjenbrukbare omfangsdefinisjoner på tvers av tabeller og opplevelser.

Omfang er konfigurert i Microsoft Defender-portalen.

Hva er Microsoft Sentinel omfang?

Microsoft Sentinel omfang utvider behandling av tillatelser i Defender-portalen, slik at administratoren kan gi tillatelser til bestemte delsett med data i Sentinel tabeller. Gjør følgende for å opprette omfang:

  • Definer logiske omfang: Opprett omfangsdefinisjoner som samsvarer med organisasjonsstrukturen (etter forretningsenhet, område eller datafølsomhet)
  • Tilordne brukere eller grupper til omfang: Tilordne bestemte brukere eller grupper til ett eller flere omfang ved hjelp av Unified RBAC
  • Merk datarader ved inntak: Bruk omfangskoder på rader i tabeller ved hjelp av Tabellbehandling, slik at du kan opprette regler som koder nylig inntatte data automatisk
  • Begrens tilgang etter omfang: Begrens brukertilgang til varsler, hendelser, jaktspørringer og datainnsjøutforsking basert på deres tilordnede omfang

Obs!

Omfang er additive. Brukere som er tilordnet flere roller, får de bredeste tillatelsene som er tilgjengelige for dem fra alle oppgavene sine. Hvis du for eksempel har både en Entra global leserrolle og en Defender XDR URBAC-rolle som gir begrensede tillatelser i systemtabeller, er du ubegrenset av omfang på systemtabeller på grunn av Entra-rollen. Et annet eksempel er at hvis du har de samme rolletillatelsene i Microsoft Defender XDR for et arbeidsområde, med to forskjellige omfang, har du denne tillatelsen for begge omfangene.

Omfang gjelder for Sentinel tabeller som støtter inntakstidstransformasjoner.

Brukstilfeller

  • Distribuerte SOC-team/organisasjonsbaserte SOC-team: Store virksomheter og MSSP-er opererer ofte soc-modeller i forbund der ulike team er ansvarlige for bestemte områder, forretningsenheter eller kunder. Med omfang kan hvert SOC-team operere uavhengig i et delt Sentinel arbeidsområde, slik at de kan undersøke og reagere på trusler i domenet uten å få tilgang til urelaterte data.
  • Omfangsbasert tilgang for eksterne, ikke-sikkerhetsrelaterte team: Team som nettverk, IT-operasjoner eller samsvar krever ofte tilgang til bestemte rå datakilder uten å måtte ha innsyn i bredere sikkerhetsinnhold. Med omfang på radnivå kan disse eksterne teamene få sikker tilgang til bare dataene som er relevante for funksjonen deres.
  • Sensitiv databeskyttelse: Beskytt visse data/tabeller ved å bruke en tilnærming til datatilgang med minst mulig tilgang, slik at sensitiv informasjon bare er tilgjengelig for autoriserte brukere.

Forutsetninger

Før du begynner, må du kontrollere følgende forutsetninger:

  • Tilgang til Microsoft Defender-portalen:https://security.microsoft.com
  • Microsoft Sentinel arbeidsområder som er koblet til Defender-portalen: Sentinel arbeidsområder må være tilgjengelige i Defender-portalen før roller og tillatelser kan tilordnes
  • Sentinel aktivert i Unified RBAC: Du må aktivere Microsoft Sentinel i URBAC før du bruker denne funksjonen.
  • Nødvendige tillatelser for personen som tilordner omfang og merker tabeller:
    • Tillatelse for sikkerhetsautorisasjon (Administrer) (URBAC) til å opprette omfang og tildelinger
    • Tillatelse for dataoperasjoner (Administrer) (URBAC) for tabellbehandling
    • Abonnementseier eller tilordnet med Microsoft.Insights/DataCollectionRules/Write tillatelse til å opprette datainnsamlingsregler (DCR-er)

Trinn 1: Opprette et Sentinel omfang

  1. Gå tilSystemtillatelser> i Microsoft Defender-portalen.
  2. Velg Microsoft Defender XDR.
  3. Åpne Omfang-fanen .
  4. Velg Legg til Sentinel omfang.
  5. Skriv inn et omfangsnavn og en valgfri beskrivelse.
  6. Velg Opprett omfang.

Du kan opprette flere omfang og definere dine egne verdier for hvert omfang for å gjenspeile organisasjonsstrukturen og policyene.

Obs!

Du kan opprette opptil 100 unike Sentinel omfang per leier.

Skjermbilde av fanen og dialogboksen Legg til Sentinel omfang.

Trinn 2: Tilordne omfangskoder til brukere eller grupper

  1. Åpne Roller-fanen i Tillatelser.

  2. Velg Opprett egendefinert rolle.

  3. Konfigurer rollenavnet og beskrivelsen, og velg Neste.

    Skjermbilde av dialogboks for å opprette navn og beskrivelse av en egendefinert rolle.

  4. Tilordne de nødvendige tillatelsene til rollen, og velg Bruk.

    Skjermbilde av dialogboksen for å tilordne tillatelser til en egendefinert rolle.

  5. Gi den et navn i Oppgaver, og velg:

    • Brukere eller brukergrupper (Azure AD grupper)
    • Datakilder og datasamlinger (Sentinel arbeidsområder)

  6. Velg Rediger under Omfang.

  7. Velg ett eller flere omfang som skal tilordnes denne rollen.

  8. Lagre rollen.

Brukere kan tilordnes til flere omfang samtidig over flere arbeidsområder, med tilgangsrettigheter aggregert på tvers av alle tilordnede omfang. Begrensede brukere kan bare få tilgang til SIEM-data som er knyttet til de tilordnede omfangene.

Skjermbilde av å tilordne Sentinel omfang til en egendefinert rolle.

Trinn 3: Merke tabeller med omfang

Du fremtvinger omfang ved å merke data under inntak. Denne merkingen oppretter en datainnsamlingsregel (DCR) som bruker omfangskoder på nylig inntatte data.

  1. Gå til Konfigurasjonstabeller> i Microsoft Sentinel.

  2. Velg en tabell som støtter inntakstidstransformasjoner.

  3. Velg omfangskoderegel.

    Skjermbilde av fanen Omfangskoderegel.

  4. Aktiver veksleknappen Tillat bruk av omfangskoder for RBAC .

  5. Aktiver veksleknappen for omfangskoderegel .

  6. Definer et KQL-uttrykk som velger rader ved hjelp av transformKQL-støttede operatorer og grenser.

    Eksempel på omfang etter plassering:

    Location == 'Spain'

  7. Velg omfanget som skal brukes på rader som samsvarer med uttrykket.

  8. Lagre regelen.

Bare nylig inntatte data er merket. Tidligere inntatte data er ikke inkludert. Etter merking kan det ta opptil en time før den nye regelen trer i kraft.

Tips

Du kan opprette flere omfangskoderegler i samme tabell for å merke forskjellige rader med ulike omfang. Poster kan tilhøre flere omfang samtidig.

Skjermbilde av koderegelen for tabellomfang.

Trinn 4: Få tilgang til omfangsdata

Etter at omfang er opprettet, tilordnet og brukt på tabeller, kan omfangsbrukere få tilgang til Sentinel opplevelser basert på tilordnet omfang. Alle nylig inntatte data blir automatisk merket med omfang. Historiske (tidligere inntatte) data er ikke inkludert. Data som ikke er eksplisitt begrenset, er ikke synlige for brukere med omfang. Brukere som ikke har et omfang, har synlighet på alle data i arbeidsområdet

Omfangsbrukere kan:

  • Vis varsler generert fra omfangsdata
  • Administrer varsler hvis de har tilgang til alle hendelser som er koblet til dette varselet
  • Vis hendelser som inneholder minst ett omfangsvarsel
  • Administrer hendelser hvis de har tilgang til alle underliggende varsler og har den nødvendige tillatelsen
  • Kjør avanserte jaktspørringer bare over omfangsrader
  • Spør og utforsk data i den Sentinel innsjøen (tabeller med omfang)
  • Filtrere varsler og hendelser basert på deres Sentinel omfang

Varsler arver omfanget fra de underliggende dataene. Hendelser er synlige hvis minst ett varsel er innenfor omfanget.

Det SentinelScope_CF egendefinerte feltet er tilgjengelig for bruk i spørringer og gjenkjenningsregler for å referere til omfanget i analysene.

Obs!

Når du oppretter egendefinerte gjenkjennings- og analyseregler, må du projisere SentinelScope_CF kolonnen i KQL-en for å gjøre de utløste varslene synlige for omfangsanalytikere. Hvis du ikke projiserer denne kolonnen, skjules og skjules varsler for omfangsbrukere.

Skjermbilde av varsler filtrert etter Sentinel omfang.

Begrensninger

Følgende begrensninger gjelder:

  • Historiske data: Bare nylig inntatte data er begrenset. Tidligere inntatte data er ikke inkludert og kan ikke begrenses med tilbakevirkende kraft.
  • Tabellstøtte: Bare tabeller som støtter inntakstidstransformasjoner, kan merkes. Egendefinerte tabeller (CLv1) støttes ikke. CLv2-tabeller støttes.
  • Transformasjonsplassering: Transformasjoner kan bare legges til i samme abonnement som brukerens abonnement.
  • Maksimalt antall omfang: Du kan opprette maksimalt 100 unike Sentinel omfang per leier.
  • Bare Defender-portalen: Sentinel i Azure Portal (Ibiza) støtter ikke omfang. Bruk Defender-portalen i stedet.
  • XDR-tabeller støttes ikke: XDR-tabeller støttes ikke direkte. Hvis du utvider oppbevaringen av XDR-tabeller til Log Analytics, kan du merke, men bare data med 30 + dager oppbevaring, og ikke data mellom 0-30 dager.
  • Ingen automatisk omfangsarv: Log Analytics-tabellene SecurityAlertsSecurityIncidents arver ikke automatisk omfanget fra rådataene/tabellene de ble generert fra. Derfor får ikke brukere med omfang tilgang til dem som standard. Som en midlertidig løsning kan du gjøre én av følgende handlinger:
    • Bruk XDR AlertsInfo og AlertsEvidence tabeller der omfanget arves automatisk, eller
    • Bruk omfang for disse Log Analytics-tabellene manuelt (denne metoden er begrenset til attributtene i tabellen og tilsvarer kanskje ikke arven til datatabellene som genererte disse varslene).
  • Støttede opplevelser: Sentinel omfang kan bare tilordnes til Defender XDR RBAC-roller. Azure RBAC-tillatelser på arbeidsområder eller Entra globale rolletillatelser støttes ikke. Opplevelser som ikke kan bruke RBAC på radnivå, for eksempel Jupyter-notatblokker, tillater ikke brukere som er begrenset til et omfang, å vise data for de respektive arbeidsområdene.

Tillatelser og tilgang

  • Brukere kan se en hendelse hvis de har tilgang til minst ett varsel i hendelsen. De kan bare håndtere hendelsen hvis de har tilgang til alle varsler i hendelsen og har den nødvendige tillatelsen.
  • Den omfangsbaserte brukeren kan bare se dataene som er knyttet til omfanget. Hvis varselet inneholder enheter som brukeren ikke har tilgang til, kan ikke brukeren se dem. Hvis brukeren har tilgang til minst én av de tilknyttede enhetene, kan vedkommende se selve varselet.
  • Hvis du vil begrense en hel tabell, bruker du en regel som samsvarer med alle rader (for eksempel ved hjelp av en betingelse som alltid er sann). Tidligere inntatte data kan ikke begrenses med tilbakevirkende kraft.
  • Omfangsbaserte brukere kan ikke administrere ressurser (for eksempel gjenkjenningsregler, strategibøker, automatiseringsregler) med mindre tillatelse er tilordnet dem i en egen rolletildeling.

Neste trinn

  • Last updated on