Freigeben über

Verwalten des Lesezugriffs auf Tabellenebene in einem Log Analytics-Arbeitsbereich

  • Artikel

Mithilfe der Zugriffseinstellungen auf Tabellenebene können Sie bestimmten Benutzer*innen oder Gruppen Leseberechtigung für Daten einer Tabelle erteilen. Benutzer und Benutzerinnen mit Lesezugriff auf Tabellenebene können Daten aus der angegebenen Tabelle sowohl im Arbeitsbereich als auch im Ressourcenkontext lesen.

In diesem Artikel werden zwei Möglichkeiten zum Verwalten des Lesezugriffs auf Tabellenebene beschrieben.

Hinweis

Es wird empfohlen, die erste hier beschriebene Methode zu verwenden, die sich derzeit in der Vorschau befindet. Während der Vorschau gilt die hier beschriebene empfohlene Methode nicht für Microsoft Sentinel-Erkennungsregeln, die möglicherweise Zugriff auf mehr Tabellen als vorgesehen haben. Alternativ können Sie die Legacymethode zum Festlegen des Lesezugriffs auf Tabellenebene verwenden, die einige Einschränkungen im Zusammenhang mit benutzerdefinierten Protokolltabellen aufweist. Bevor Sie eine der beiden Methoden verwenden, lesen Sie die Informationen unter Überlegungen und Einschränkungen für den Zugriff auf Tabellenebene.

Festlegen des Lesezugriffs auf Tabellenebene (Vorschau)

Beim Gewähren des Lesezugriffs auf Tabellenebene werden einem*r Benutzer*in zwei Rollen zugewiesen:

  • Auf Arbeitsbereichsebene: eine benutzerdefinierte Rolle, die eingeschränkte Berechtigungen zum Lesen von Arbeitsbereichsdetails und Ausführen einer Abfrage im Arbeitsbereich, aber nicht zum Lesen von Daten aus Tabellen bereitstellt
  • Auf Tabellenebene: eine Rolle vom Typ Leser, die auf die jeweilige Tabelle ausgerichtet ist

So erteilen Sie einem Benutzer, einer Benutzerin oder einer Gruppe eingeschränkte Berechtigungen für den Log Analytics-Arbeitsbereich:

  1. Erstellen Sie eine benutzerdefinierte Rolle auf Arbeitsbereichsebene, damit Benutzer*innen Arbeitsbereichsdetails lesen und eine Abfrage im Arbeitsbereich ausführen können, ohne Lesezugriff auf Daten in Tabellen zu gewähren:

    1. Navigieren Sie zu Ihrem Arbeitsbereich, und wählen Sie Zugriffssteuerung (IAM)>Rollen aus.

    2. Klicken Sie mit der rechten Maustaste auf die Rolle Leser, und wählen Sie Klonen aus.

      Screenshot: Registerkarte „Rollen“ des Bildschirms „Zugriffssteuerung“ mit hervorgehobener Schaltfläche „Klonen“ für die Rolle „Leser“

      Dadurch wird der Bildschirm Benutzerdefinierte Rollen erstellen geöffnet.

    3. Gehen Sie auf der Registerkarte Grundlagen des Bildschirms wie folgt vor:

      1. Geben Sie einen Wert für Name der benutzerdefinierten Rolle und optional eine Beschreibung ein.
      2. Legen Sie Baselineberechtigungen auf Ganz von vorn beginnen fest.

      Screenshot: Registerkarte „Grundlagen“ des Bildschirms „Benutzerdefinierte Rolle erstellen“ mit hervorgehobenen Feldern „Name der benutzerdefinierten Rolle“ und „Beschreibung“

    4. Wählen Sie die Registerkarte JSON>Bearbeiten aus:

      1. Fügen Sie im Abschnitt "actions" die folgenden Aktionen hinzu:

        "Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read"

      2. Fügen Sie im Abschnitt "not actions" Folgendes hinzu:

        "Microsoft.OperationalInsights/workspaces/sharedKeys/read"

      Screenshot: Registerkarte „JSON“ des Bildschirms „Benutzerdefinierte Rolle erstellen“ mit hervorgehobenem Abschnitt „actions“ der JSON-Datei

    5. Wählen Sie unten auf dem Bildschirm Speichern>Überprüfen und erstellen und dann auf der nächsten Seite Erstellen aus.

  2. Weisen Sie Ihre benutzerdefinierte Rolle den relevanten Benutzer*innen zu:

    1. Wählen Sie Zugriffssteuerung (IAM)>Hinzufügen>Rollenzuweisung hinzufügen aus.

      Screenshot: Bildschirm „Zugriffssteuerung“ mit hervorgehobener Schaltfläche „Rollenzuweisung hinzufügen“

    2. Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben, und wählen Sie Weiter aus.

      Screenshot: Bildschirm „Rollenzuweisung hinzufügen“ mit einer benutzerdefinierten Rolle und hervorgehobener Schaltfläche „Weiter“

      Dadurch wird die Registerkarte Mitglieder des Bildschirms Benutzerdefinierte Rollenzuweisung hinzufügen geöffnet.

    3. Klicken Sie auf + Mitglieder auswählen, um den Bildschirm Mitglieder auswählen zu öffnen.

      Screenshot: Bildschirm „Mitglieder auswählen“

    4. Suchen Sie nach einem*r Benutzer*in, wählen Sie ihn bzw. sie aus, und klicken Sie auf Auswählen.

    5. Wählen Sie Überprüfen und zuweisen aus.

Der/die Benutzer*in kann jetzt Arbeitsbereichsdetails lesen und eine Abfrage ausführen, aber keine Daten aus Tabellen lesen.

So gewähren Sie dem Benutzer bzw. der Benutzerin Lesezugriff auf eine bestimmte Tabelle:

  1. Wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

  2. Wählen Sie rechts neben der Tabelle die Auslassungspunkte (...) und dann Zugriffssteuerung (IAM) aus.

    Screenshot: Bildschirm zur Tabellenverwaltung für Log Analytics-Arbeitsbereiche mit hervorgehobener Schaltfläche für die Zugriffssteuerung auf Tabelleneebene

  3. Wählen Sie auf dem Bildschirm Zugriffssteuerung (IAM) die Option Hinzufügen>Rollenzuweisung hinzufügen aus.

  4. Wählen Sie die Rolle Leser und dann Weiter aus.

  5. Klicken Sie auf + Mitglieder auswählen, um den Bildschirm Mitglieder auswählen zu öffnen.

  6. Suchen Sie nach dem*r Benutzer*in, wählen Sie ihn bzw. sie aus, und klicken Sie auf Auswählen.

  7. Wählen Sie Überprüfen und zuweisen aus.

Der Benutzer bzw. die Benutzerin kann nun Daten in dieser spezifischen Tabelle lesen. Gewähren Sie dem Benutzer bzw. der Benutzerin bei Bedarf Lesezugriff auf andere Tabellen im Arbeitsbereich.

Legacymethode zum Festlegen des Lesezugriffs auf Tabellenebene

Die Legacymethode für den Zugriff auf Tabellenebene verwendet auch benutzerdefinierte Azure-Rollen, damit Sie bestimmten Benutzern oder Gruppen Zugriff auf bestimmte Tabellen im Arbeitsbereich gewähren können. Benutzerdefinierte Azure-Rollen gelten für Arbeitsbereiche mit dem Zugriffssteuerungsmodus für den Arbeitsbereichskontext oder Ressourcenkontext, und zwar unabhängig vom Zugriffsmodus des Benutzers.

Um den Zugriff auf eine bestimmte Tabelle zu definieren, erstellen Sie eine benutzerdefinierte Rolle:

  • Legen Sie die Benutzerberechtigungen im Abschnitt Aktionen der Rollendefinition fest.
  • Verwenden Sie Microsoft.OperationalInsights/workspaces/query/*, um Zugriff auf alle Tabellen zu gewähren.
  • Um bei Verwendung eines Platzhalters in Aktionen den Zugriff auf bestimmte Tabellen auszuschließen, listen Sie die ausgeschlossenen Tabellen im Abschnitt NotActions der Rollendefinition auf.

Hier finden Sie Beispiele für benutzerdefinierte Rollenaktionen, um Zugriff auf bestimmte Tabellen zu gewähren oder zu verweigern.

Gewähren von Zugriff auf die Tabellen Heartbeat und AzureActivity:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Nur Gewähren von Zugriff auf die Tabelle SecurityBaseline:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Gewähren von Zugriff auf alle Tabellen mit Ausnahme der Tabelle SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Benutzerdefinierte Protokolle speichern Daten, die Sie aus Datenquellen sammeln. Hierzu zählen etwa Textprotokolle und die HTTP-Datensammler-API. Um den Tabellentyp zu identifizieren, zeigen Sie Tabelleninformationen in Log Analytics an.

Mit der Legacymethode für den Zugriff auf Tabellenebene können Sie keinen Zugriff auf einzelne benutzerdefinierte Protokolltabellen auf Tabellenebenen gewähren. Es ist jedoch möglich, Zugriff auf alle benutzerdefinierten Protokolltabellen zu gewähren. Erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Aktionen, um eine Rolle mit Zugriff auf alle benutzerdefinierten Protokolltabellen zu erstellen:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Überlegungen und Einschränkungen für den Zugriff auf Tabellenebene

  • Auf der Log Analytics-Benutzeroberfläche können Benutzer*innen mit Zugriff auf Tabellenebene die Liste aller Tabellen im Arbeitsbereich anzeigen, aber nur Daten aus Tabellen abrufen, auf die sie Zugriff haben.
  • Die Standardrollen „Leser“ oder „Mitwirkende“r, die die Aktion */read beinhalten, setzen die Zugriffssteuerung auf Tabellenebene außer Kraft und gewähren Benutzer*innen Zugriff auf alle Protokolldaten.
  • Ein*e Benutzer*in mit Zugriff auf Tabellenebene, aber ohne Berechtigungen auf Arbeitsbereichsebene, kann über die API auf Protokolldaten zugreifen, nicht aber über das Azure-Portal.
  • Administrator*innen und Eigentümer*innen des Abonnements verfügen über Zugriff auf alle Datentypen, und zwar unabhängig von anderen Berechtigungseinstellungen.
  • Besitzer eines Arbeitsbereichs werden wie alle anderen Benutzer bei der Zugriffssteuerung pro Tabelle behandelt.
  • Weisen Sie Rollen nicht einzelnen Benutzern, sondern Sicherheitsgruppen zu, um die Anzahl von Zuordnungen zu verringern. Diese Praxis unterstützt Sie auch bei der Verwendung vorhandener Gruppenverwaltungstools zum Konfigurieren und Überprüfen des Zugriffs.

Nächste Schritte