(行级别 RBAC) (预览) 配置Microsoft Sentinel范围

Microsoft Sentinel范围 (RBAC) 提供基于行级角色的访问控制，无需工作区分离即可实现精细的行级访问。 此功能允许多个团队在共享Microsoft Sentinel环境中安全运行，同时跨表和体验使用一致且可重用的范围定义。

范围是在Microsoft Defender门户中配置的。

什么是Microsoft Sentinel范围？

Microsoft Sentinel范围扩展了 Defender 门户中的权限管理，以便管理员可以向Sentinel表中的特定数据子集授予权限。 若要创建范围，请执行以下操作：

• 定义逻辑范围：创建与组织结构一致的范围定义， (按业务部门、区域或数据敏感度)
• 将用户或组分配到范围：使用统一 RBAC 将特定用户或组分配到一个或多个范围
• 在引入时标记数据行：使用表管理将范围标记应用于表中的行，从而允许创建自动标记新引入的数据的规则
• 按范围限制访问：根据用户分配的范围限制对警报、事件、搜寻查询和数据湖探索的访问

范围适用于支持引入时转换的Sentinel表。

用例

• 分布式/联合 SOC 团队：大型企业和 MSSP 通常运行联合 SOC 模型，其中不同的团队负责特定区域、业务部门或客户。 界定范围允许每个 SOC 团队在共享Sentinel工作区中独立运行，确保他们可以调查和响应其域中的威胁，而无需访问不相关的数据。
• 针对外部、非安全团队的作用域访问：网络、IT 运营或合规性等团队通常需要访问特定的原始数据源，而无需了解更广泛的安全内容。 行级别范围使这些外部团队能够安全地仅访问与其功能相关的数据。
• 敏感数据保护：通过应用最低特权数据访问方法来保护某些数据/表，确保只有经过授权的用户才能访问敏感信息。

先决条件

在开始之前，请验证以下先决条件：

• 访问Microsoft Defender门户：https://security.microsoft.com
• Microsoft Sentinel载入到 Defender 门户的工作区：Sentinel工作区必须在 Defender 门户中可用，然后才能分配角色和权限
• 在统一 RBAC 中启用Sentinel：在使用此功能之前，必须在 URBAC 中启用Microsoft Sentinel。
• 分配范围和标记表的人员所需的权限：
  • 安全授权 (管理) 权限 (URBAC) 创建范围和分配
  • 用于表管理的数据操作 (管理) 权限 (URBAC)
  • 订阅所有者 或具有 Microsoft.Insights/DataCollectionRules/Write 创建数据收集规则的权限的订阅所有者 (DCR)

步骤 1：创建Sentinel范围

1. 在Microsoft Defender门户中，转到“系统>权限”。
2. 选择“Microsoft Defender XDR”。
3. 打开“ 范围 ”选项卡。
4. 选择“添加Sentinel范围”。
5. 输入范围名称和可选说明。
6. 选择“ 创建范围”。

可以创建多个范围，并为每个范围定义自己的值，以反映组织结构和策略。

步骤 2：将范围标记分配给用户或组

1. 在 “权限”中，打开“ 角色 ”选项卡。

2. 选择“ 创建自定义角色”。

3. 配置角色名称和说明，然后选择“ 下一步”。

   

4. 为角色分配所需的权限，然后选择“ 应用”。

   

5. 在 “分配”中，为其指定一个名称，然后选择：

   • 用户或用户组 (Azure AD 组)
   • 数据源和数据集 (Sentinel 工作区)

6. 在“ 范围”下，选择“ 编辑”。

7. 选择要分配给此角色的一个或多个范围。

8. 保存角色。

用户可以通过多个工作区同时分配到多个范围，并跨所有分配的范围聚合访问权限。 受限用户只能访问与其分配的范围关联的 SIEM 数据。

步骤 3：使用范围标记表

通过在引入期间标记数据来强制实施范围。 此标记会创建一个数据收集规则 (DCR) ，该规则将范围标记应用于新引入的数据。

1. 在“Microsoft Sentinel”中，转到“配置>表”。

2. 选择支持引入时转换的表。

3. 选择“ 作用域标记规则”。

   

4. 启用 “允许对 RBAC 使用范围标记 ”切换。

5. 启用 “范围标记规则 ”切换。

6. 定义使用 transformKQL 支持的运算符和限制选择行的 KQL 表达式。

   按位置确定范围的示例：

   Location == 'Spain'
   

7. 选择要应用于与表达式匹配的行的范围。

8. 保存规则。

仅标记新引入的数据。 不包括以前引入的数据。 标记后，新规则最长可能需要一小时才能生效。

步骤 4：访问作用域数据

创建范围、分配范围并将其应用于表后，作用域内用户可以根据其分配的范围访问Sentinel体验。 所有新引入的数据都会自动使用范围进行标记。 不包括以前引入) 数据的历史 (。 未明确限定范围的任何数据对限定范围的用户不可见。 未设置作用域的用户可查看工作区中的所有数据

作用域内用户可以：

• 查看从作用域内数据生成的警报
• 如果他们有权访问链接到该警报的所有事件，则管理警报
• 查看包含至少一个作用域内警报的事件
• 如果他们有权访问所有基础警报并具有所需的权限，则管理事件
• 仅对限定范围的行运行高级搜寻查询
• 查询和浏览范围) Sentinel湖 (表中的数据
• 根据警报和事件Sentinel范围筛选警报和事件

警报从基础数据继承范围。 如果至少有一个警报在范围内，则事件可见。

自定义 SentinelScope_CF 字段可用于查询和检测规则，以引用分析中的范围。

限制

将会有以下限制：

• 历史数据：仅限定新引入的数据的范围。 以前引入的数据不包括在内，并且无法追溯范围。
• 表支持：只能标记支持引入时转换的表。 不支持自定义表 (CLv1) 。 支持 CLv2 表。
• 转换放置：转换只能添加到与用户订阅相同的订阅中。
• 最大范围：每个租户最多可以创建 100 个唯一Sentinel范围。
• 仅限 Defender 门户：Azure 门户 (Ibiza) 中的Sentinel不支持范围界定。 请改用 Defender 门户。
• 不支持 XDR 表：XDR 表不受直接支持。 如果将 XDR 表的保留期扩展到 Log Analytics 中，则可以标记，但只能标记保留期超过 30 天的数据，而不能标记 0-30 天之间的数据。
• 无自动范围继承：Log Analytics 表SecurityAlertsSecurityIncidents和 不会自动从生成它们的原始数据/表继承范围。 因此，默认情况下，作用域内用户无法访问它们。 作为解决方法，可以执行以下操作之一：
  • 使用自动继承作用域的 XDR AlertsInfo 和 AlertsEvidence 表，或者
  • 手动向这些 Log Analytics 表应用范围 (此方法仅限于表中的属性，并且可能不等同于) 生成这些警报的数据表的继承。
• 支持的体验：Sentinel范围只能分配给Defender XDR RBAC 角色。 不支持对工作区或Entra全局角色权限Azure RBAC 权限。 无法使用行级别 RBAC 的体验（例如 Jupyter Notebook）不允许限制在某个范围内查看这些相应工作区的数据。

权限和访问权限

• 如果用户有权访问事件中的至少一个警报，则可以查看事件。 只有当他们有权访问事件中的所有警报并具有所需的权限时，他们才能管理事件。
• 作用域内用户只能看到与其范围关联的数据。 如果警报包含用户无权访问的实体，则用户无法看到这些实体。 如果用户有权访问至少一个关联的实体，他们可以看到警报本身。
• 若要限定整个表的范围，请使用匹配所有行的规则 (例如，使用) 始终为 true 的条件。 以前引入的数据不能追溯到范围。
• 除非在单独的角色分配中向其分配权限，否则作用域内用户无法管理 (资源，例如检测规则、playbook、自动化规则) 。

后续步骤

• 查看支持引入时转换的表列表
• 在标记数据之前规划范围名称和逻辑
• 从小型团队或数据子集的试点范围开始
• 详细了解 Microsoft Defender XDR 中的统一 RBAC