Správa přístupu k datům služby Microsoft Sentinel podle prostředků

Uživatelé, kteří mají přístup k pracovnímu prostoru služby Microsoft Sentinel, mají obvykle také přístup ke všem datům pracovního prostoru, včetně obsahu zabezpečení. Správci můžou pomocí rolí Azure nakonfigurovat přístup ke konkrétním funkcím ve službě Microsoft Sentinel v závislosti na požadavcích na přístup v jejich týmu.

Můžete ale mít některé uživatele, kteří potřebují přístup jenom ke konkrétním datům v pracovním prostoru služby Microsoft Sentinel, ale neměli by mít přístup k celému prostředí služby Microsoft Sentinel. Můžete například chtít poskytnout týmu, který nemá přístup k datům událostí Systému Windows pro servery, které vlastní.

V takových případech doporučujeme nakonfigurovat řízení přístupu na základě role (RBAC) na základě prostředků, které mají uživatelé povolené, místo abyste jim poskytli přístup k pracovnímu prostoru služby Microsoft Sentinel nebo konkrétním funkcím služby Microsoft Sentinel. Tato metoda se také označuje jako nastavení řízení přístupu na základě role v kontextu prostředku.

Když mají uživatelé přístup k datům služby Microsoft Sentinel prostřednictvím prostředků, ke kterým mají přístup místo pracovního prostoru služby Microsoft Sentinel, můžou zobrazit protokoly a sešity pomocí následujících metod:

• Prostřednictvím samotného prostředku, například virtuálního počítače Azure. Tato metoda slouží k zobrazení protokolů a sešitů pouze pro konkrétní prostředek.

• Prostřednictvím Služby Azure Monitor. Tuto metodu použijte, pokud chcete vytvořit dotazy, které zahrnují více prostředků nebo skupin prostředků. Při přechodu na protokoly a sešity ve službě Azure Monitor definujte obor na jednu nebo více konkrétních skupin prostředků nebo prostředků.

Povolte řízení přístupu na základě role v kontextu prostředků ve službě Azure Monitor. Další informace najdete v tématu Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor.

Poznámka

Pokud vaše data nejsou prostředkem Azure, jako jsou data Syslog, CEF nebo AAD, ani data shromážděná vlastním kolektorem, budete muset ručně nakonfigurovat ID prostředku, které slouží k identifikaci dat a povolení přístupu. Další informace najdete v tématu Explicitní konfigurace řízení přístupu na základě role v kontextu prostředku.

Kromě toho se funkce a uložená hledání nepodporují v kontextech orientovaných na prostředky. Proto se funkce služby Microsoft Sentinel, jako je parsování a normalizace , nepodporují řízení přístupu na základě role v kontextu prostředků ve službě Microsoft Sentinel.

Scénáře pro řízení přístupu na základě role v kontextu prostředku

Následující tabulka uvádí scénáře, ve kterých je řízení přístupu na základě role v kontextu prostředků nejužitečnější. Všimněte si rozdílů v požadavcích na přístup mezi týmy SOC a jinými týmy.

Typ požadavku	Tým SOC	Jiný tým než SOC
Oprávnění	Celý pracovní prostor	Pouze konkrétní prostředky
Přístup k datům	Všechna data v pracovním prostoru	Pouze data pro prostředky, ke kterým má tým oprávnění přistupovat
Prostředí	Úplné prostředí služby Microsoft Sentinel, pravděpodobně omezené funkčními oprávněními přiřazenými uživateli	Pouze dotazy na protokoly a sešity

Pokud má váš tým podobné požadavky na přístup jako tým, který není soc, jak je popsáno v tabulce výše, může být pro vaši organizaci vhodným řešením řízení přístupu na základě role v kontextu prostředků.

Alternativní metody implementace řízení přístupu na základě role v kontextu prostředku

V závislosti na požadovaných oprávněních ve vaší organizaci nemusí použití řízení přístupu na základě role v kontextu prostředků poskytovat úplné řešení.

Následující seznam popisuje scénáře, ve kterých můžou vašim požadavkům lépe vyhovovat jiná řešení pro přístup k datům:

Scenario	Řešení
Pobočka má tým SOC, který vyžaduje úplné prostředí služby Microsoft Sentinel.	V takovém případě k oddělení oprávnění k datům použijte architekturu s více pracovními prostory. Další informace naleznete v tématu: - Rozšíření služby Microsoft Sentinel napříč pracovními prostory a tenanty - Práce s incidenty v mnoha pracovních prostorech najednou
Chcete poskytnout přístup ke konkrétnímu typu události.	Správci Windows můžete například poskytnout přístup k událostem Zabezpečení Windows ve všech systémech. V takových případech pomocí řízení přístupu na základě role na úrovni tabulky definujte oprávnění pro každou tabulku.
Omezte přístup na podrobnější úroveň, která není založená na zdroji, nebo jenom na podmnožinu polí v události.	Můžete například omezit přístup k protokolům Office 365 na základě pobočky uživatele. V takovém případě poskytněte přístup k datům pomocí integrované integrace s řídicími panely a sestavami Power BI.

Explicitní konfigurace řízení přístupu na základě role v kontextu prostředku

Následující postup použijte, pokud chcete nakonfigurovat řízení přístupu na základě role v kontextu prostředku, ale vaše data nejsou prostředkem Azure.

Například data v pracovním prostoru služby Microsoft Sentinel, která nejsou prostředky Azure, zahrnují data Syslog, CEF nebo AAD nebo data shromážděná vlastním kolektorem.

Explicitní konfigurace řízení přístupu na základě role v kontextu prostředku:

1. Ujistěte se, že jste ve službě Azure Monitor povolili řízení přístupu na základě role v kontextu prostředků .

2. Vytvořte skupinu prostředků pro každý tým uživatelů, kteří potřebují přístup k vašim prostředkům bez celého prostředí služby Microsoft Sentinel.

   Přiřaďte každému členu týmu oprávnění čtenáře protokolů .

3. Přiřaďte prostředky skupinám týmů prostředků, které jste vytvořili, a označte události příslušnými ID prostředků.

   Když prostředky Azure posílají data do služby Microsoft Sentinel, záznamy protokolu se automaticky označí ID prostředku zdroje dat.

   Tip

   Doporučujeme, abyste prostředky, kterým udělujete přístup, seskupily do konkrétní skupiny prostředků vytvořené pro daný účel.

   Pokud nemůžete, ujistěte se, že váš tým má oprávnění ke čtení protokolů přímo k prostředkům, ke kterým má mít přístup.

   Další informace o ID prostředků najdete tady:

   • ID prostředků s předáváním protokolů
   • ID prostředků s kolekcí Logstash
   • ID prostředků s kolekcí rozhraní API služby Log Analytics

ID prostředků s předáváním protokolů

Při shromažďování událostí pomocí formátu CEF (Common Event Format) nebo Syslogu se předávání protokolů používá ke shromažďování událostí z více zdrojových systémů.

Pokud například virtuální počítač s předáváním CEF nebo Syslogu naslouchá zdrojům, které odesílají události Syslogu a předávají je službě Microsoft Sentinel, přiřadí se ke všem událostem, které předávají, ID prostředku virtuálního počítače pro předávání protokolů.

Pokud máte více týmů, ujistěte se, že máte samostatné virtuální počítače pro předávání protokolů, které zpracovávají události pro každý samostatný tým.

Oddělením virtuálních počítačů například zajistíte shromažďování událostí Syslogu, které patří týmu A, pomocí kolektoru virtuálního počítače A.

Tip

• Pokud jako nástroj pro předávání protokolů používáte místní virtuální počítač nebo jiný cloudový virtuální počítač, jako je AWS, implementujte Azure Arc a ujistěte se, že má ID prostředku.
• Pokud chcete škálovat prostředí virtuálního počítače pro předávání protokolů, zvažte vytvoření škálovací sady virtuálních počítačů pro shromažďování protokolů CEF a Sylogu.

ID prostředků s kolekcí Logstash

Pokud shromažďujete data pomocí výstupního modulu plug-in Logstash služby Microsoft Sentinel, pomocí pole azure_resource_id nakonfigurujte vlastní kolektor tak, aby zahrnoval ID prostředku ve výstupu.

Pokud používáte řízení přístupu na základě role v kontextu prostředku a chcete, aby události shromážděné rozhraním API byly dostupné konkrétním uživatelům, použijte ID prostředku skupiny prostředků, kterou jste pro své uživatele vytvořili.

Například následující kód ukazuje ukázkový konfigurační soubor Logstash:

 input {
     beats {
         port => "5044"
     }
 }
 filter {
 }
 output {
     microsoft-logstash-output-azure-loganalytics {
       workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
       workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
       custom_log_table_name => "tableName"
       azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>   
     }
 }

Tip

Můžete přidat více output oddílů, abyste odlišily značky použité u různých událostí.

ID prostředků s kolekcí rozhraní API služby Log Analytics

Při shromažďování dat pomocí rozhraní API kolektoru dat Služby Log Analytics můžete události s ID prostředku přiřadit pomocí hlavičky požadavku HTTP x-ms-AzureResourceId .

Pokud používáte řízení přístupu na základě role v kontextu prostředku a chcete, aby události shromážděné rozhraním API byly dostupné konkrétním uživatelům, použijte ID prostředku skupiny prostředků, kterou jste pro své uživatele vytvořili.

Další kroky

Další informace najdete v tématu Oprávnění ve službě Microsoft Sentinel.