קביעת Microsoft Sentinel טווח (RBAC ברמת השורה)

Microsoft Sentinel טווח מספק בקרת גישה מבוססת תפקידים ברמת השורה (RBAC), המאפשרת גישה פרטנית ברמת השורה מבלי לדרוש הפרדת סביבת עבודה. יכולת זו מאפשרת לצוותים מרובים לפעול באופן מאובטח בתוך סביבת עבודה משותפת Microsoft Sentinel תוך שימוש בהגדרות טווח עקביות וניתן לשימוש חוזר בין טבלאות וחוויות.

הגדרת טווח נקבעה בפורטל Microsoft Defender.

מהו Microsoft Sentinel טווח?

Microsoft Sentinel הגדרת טווח מררחבת את ניהול ההרשאות בפורטל Defender כדי שמנהל המערכת יוכל להעניק הרשאות לערכות משנה ספציפיות של נתונים בטבלאות Sentinel אלה. כדי ליצור טווחים, בצע את הפעולות הבאות:

  • הגדרת טווחים לוגיים: יצירת הגדרות טווח שתואמות למבנה הארגוני שלך (לפי יחידה עסקית, אזור או רגישות נתונים)
  • הקצאת משתמשים או קבוצות לטווחים: הקצאת משתמשים או קבוצות ספציפיים לטווח אחד או יותר באמצעות RBAC מאוחד
  • תיוג שורות נתונים בזמן ההסתה: החל תגי טווח על שורות בטבלאות באמצעות ניהול טבלאות, כך שתוכל ליצור כללים המתייגים נתונים חדשים שהוכנסו באופן אוטומטי
  • הגבל גישה לפי טווח: הגבל גישת משתמשים להתראות, אירועים, שאילתות ציד וגילוי אגם נתונים בהתבסס על הטווח שהוקצה להם

הערה

הטווחים יתווספת. משתמשים שהוקצו להם תפקידים מרובים מקבלים את ההרשאות הרחבות ביותר הזמינות להם מכל המטלות שלהם. לדוגמה, אם אתה מחזיק גם בתפקיד קורא כללי של Entra וגם בתפקיד URBAC של Defender XDR המספק הרשאות בטווח בטבלאות מערכת, טווחים בטבלאות מערכת אינם מוגבלים עקב תפקיד Entra המערכת. דוגמה נוספת היא אם אתה מחזיק באותן הרשאות תפקיד ב- Microsoft Defender XDR עבור סביבת עבודה, עם שני טווחים שונים, יש לך הרשאה זו עבור שני הטווחים.

טווחים חלים Sentinel טבלאות התומכות בהמרה בזמן ההפצה.

מקרי שימוש

  • צוותי SOC מבוזרים/מאוחדים: ארגונים גדולים ו- MSSPs מפעילים לעתים קרובות מודלים מאוחדים של SOC שבהם צוותים שונים אחראים על אזורים, יחידות עסקיות או לקוחות ספציפיים. הגדרת טווח מאפשרת לכל צוות SOC לפעול באופן עצמאי בתוך סביבת עבודה משותפת של Sentinel, כדי להבטיח שהוא יוכל לחקור ולהגיב לאיומים בתחום שלו מבלי לגשת לנתונים לא קשורים.
  • גישה בטווח עבור צוותים חיצוניים, שאינם צוותי אבטחה: צוותים כגון עבודה ברשת, פעולות IT או תאימות דורשים לעתים קרובות גישה למקורות נתונים גולמיים ספציפיים ללא צורך ניראות של תוכן אבטחה רחב יותר. הגדרת טווח ברמת השורה מאפשרת לצוותים חיצוניים אלה לגשת באופן מאובטח רק לנתונים הרלוונטיים לפונקציה שלהם.
  • הגנה על נתונים רגישים: הגן על נתונים/טבלאות מסוימים על-ידי החלת גישה של לפחות הרשאה לנתונים, ובכך להבטיח שמידע רגיש יהיה נגיש רק למשתמשים מורשים.

דרישות מוקדמות

לפני שתתחיל, אמת את הדרישות המוקדמות הבאות:

  • גישה לפורטל Microsoft Defender הבא:https://security.microsoft.com
  • Microsoft Sentinel סביבות עבודה המשולבות בפורטל Defender: סביבות עבודה Sentinel חייבות להיות זמינות בפורטל Defender כדי שתהיה אפשרות להקצות תפקידים והרשאות
  • Sentinel ב- RBAC מאוחד: עליך להפוך את Microsoft Sentinel ב- URBAC לזמין לפני השימוש בתכונה זו.
  • הרשאות נדרשות עבור האדם המקצה טבלאות טווח ותיוג:
    • הרשאת הרשאת הרשאת אבטחה (ניהול) (URBAC) ליצירת טווחים והקצאות
    • הרשאת פעולות נתונים (ניהול) (URBAC) עבור ניהול טבלאות
    • בעלי מנוי או מוקצה עם ההרשאה Microsoft.Insights/DataCollectionRules/Write ליצירת כללי איסוף נתונים (DCR)

שלב 1: יצירת Sentinel טווח

  1. בפורטל Microsoft Defender, עבור אל הרשאות>מערכת.
  2. בחר Microsoft Defender XDR.
  3. פתיחת הכרטיסיה טווחים .
  4. בחר הוסף Sentinel טווח.
  5. הזן שם טווח ותיאור אופציונלי.
  6. בחר צור טווח.

באפשרותך ליצור טווחים מרובים ולהגדיר ערכים משלך עבור כל טווח כדי לשקף את המבנה והמדיניות הארגוניים שלך.

הערה

באפשרותך ליצור עד 100 טווחי Sentinel לכל דייר.

צילום מסך של הכרטיסיה Sentinel הטווח ותיבת הדו-שיח 'הוספת טווח'.

שלב 2: הקצאת תגיות טווחים למשתמשים או לקבוצות

  1. תחת הרשאות, פתח את הכרטיסיה תפקידים .

  2. בחר צור תפקיד מותאם אישית.

  3. קבע את התצורה של שם התפקיד ותיאור התפקיד ובחר הבא.

    צילום מסך של תיבת דו-שיח ליצירת שם ותיאור של תפקיד מותאם אישית.

  4. הקצה את ההרשאות הנדרשות לתפקיד ובחר החל.

    צילום מסך של תיבת דו-שיח להקצאת הרשאות לתפקיד מותאם אישית.

  5. תחת מטלות, תן לו שם ובחר:

    • משתמשים או קבוצות משתמשים (Azure AD קבוצות)
    • מקורות נתונים ואוספים נתונים (סביבות Sentinel עבודה)

  6. תחת טווח, בחר ערוך.

  7. בחר טווח אחד או יותר להקצאה לתפקיד זה.

  8. שמור את התפקיד.

ניתן להקצות משתמשים לטווחים מרובים בו-זמנית בסביבות עבודה מרובות, עם זכויות גישה הנצברות בכל הטווחים שהוקצו. משתמשים מוגבלים יכולים לגשת רק לנתונים של SIEM המשויכים לטווחים שהוקצו להם.

צילום מסך של Sentinel טווחי עבודה לתפקיד מותאם אישית.

שלב 3: תיוג טבלאות עם טווח

עליך לאכוף טווחים על-ידי תיוג נתונים במהלך עיבוד. תיוג זה יוצר כלל איסוף נתונים (DCR) שמחל תגי טווח על נתונים חדשים שהופקו.

  1. ב Microsoft Sentinel, עבור אל טבלאות>תצורה.

  2. בחר טבלה התומכת בהמרה בזמן ההפצה.

  3. בחר כלל תג טווח.

    צילום מסך של הכרטיסיה 'כלל תג טווח'.

  4. הפוך את הלחצן הדו-מצבי אפשר שימוש בתגי טווח לזמין עבור RBAC .

  5. הפוך את הלחצן הדו-מצבי של כלל תג טווח לזמין .

  6. הגדר ביטוי KQL הבחר שורות באמצעות אופרטורים ומגבלות נתמכים של TransformKQL.

    דוגמה לטווח לפי מיקום:

    Location == 'Spain'

  7. בחר את הטווח להחלה על שורות התואמות לביטוי.

  8. שמור את הכלל.

רק נתונים חדשים שמקורם מתויגים. נתונים שהוטבלו בעבר אינם נכללים. לאחר התיוג, ייתכן שידרשו עד שעה עד שהכלל החדש נכנס לתוקף.

עצה

באפשרותך ליצור כללי תג של טווחים מרובים באותה טבלה כדי לתייג שורות שונות עם טווחים שונים. רשומות יכולות להשתייך לטווחים מרובים בו-זמנית.

צילום מסך של כלל התג של טווח הטבלה.

שלב 4: גישה לנתונים בטווח

לאחר יצירת הטווחים, ההוקצה וההחלה על טבלאות, משתמשים בעלי טווחים יכולים לגשת לחוויות Sentinel בהתבסס על הטווח שהוקצה להם. כל הנתונים החדשים שהוטבלו מתויגים באופן אוטומטי בטווח. נתונים היסטוריים (שמקורם בעבר) אינם כלולים. כל הנתונים שלא הוקף באופן מפורש אינם גלויים למשתמשים בטווח. למשתמשים לא בטווח יש ניראות לגבי כל הנתונים בסביבת העבודה

משתמשים בעלי טווחים יכולים:

  • הצגת התראות שנוצרו מנתונים בטווח
  • נהל התראות אם יש להם גישה לכל האירועים המקושרים להתראה זו
  • הצגת אירועים המכילים התראה בטווח אחד לפחות
  • נהל מקרים אם יש להם גישה לכל ההתראות המשמשות כמטרות והן כוללות את ההרשאה הנדרשת
  • הפעלת שאילתות ציד מתקדמות על-פני שורות עם טווחים בלבד
  • ביצוע שאילתה ועיון בנתונים באגם Sentinel (טבלאות עם טווח)
  • סינון התראות ותקריות בהתבסס על Sentinel שלהם

התראות מקבלות בירושה טווח מהנתונים המשמשים כנתונים המשמשים כמקור. אירועים גלויים אם לפחות התראה אחת נמצאת בטווח.

השדה SentinelScope_CF המותאם אישית זמין לשימוש בשאילתות וכללי זיהוי לעיון בטווח הניתוח שלך.

הערה

בעת יצירת כללי זיהוי וניתוח מותאמים אישית, SentinelScope_CF עליך להקרין את העמודה ב- KQL שלה כדי להפוך את ההתראות המופעלות לגלויות לאנליסטים בטווח. אם לא תפרוייקט עמודה זו, ההתראות יוסתרו ולא יוסתרו ממשתמשים עם טווח.

צילום מסך של התראות מסוננים לפי Sentinel טווח.

מגבלות

המגבלות הבאות חלות:

  • נתונים היסטוריים: רק הנתונים החדשים שמקורם מסופים. נתונים שהוטבלו בעבר אינם נכללים ולא ניתן להקיף אותם רטרואקטיבית.
  • תמיכה בטבלה: ניתן לתייג רק טבלאות התומכות בהמרה בזמן ההפצה. טבלאות מותאמות אישית (CLv1) אינן נתמכות. טבלאות CLv2 נתמכות.
  • מיקום המרה: ניתן להוסיף המרות רק באותו מנוי כמו המנוי של המשתמש.
  • טווחים מרביים: באפשרותך ליצור עד 100 טווחים Sentinel לכל דייר.
  • פורטל Defender בלבד: Sentinel בפורטל Azure (איביזה) אינו תומך בהקף. השתמש בפורטל Defender במקום זאת.
  • טבלאות XDR אינן נתמכות: טבלאות XDR אינן נתמכות. אפשרות זו כוללת שמירה מורחבת של טבלאות XDR באגם.
  • ללא קבלת טווחים בירושה אוטומטית: הטבלאות ניתוח SecurityAlertsSecurityIncidents יומן רישום ואינן יורשות באופן אוטומטי את הטווח מהנתונים/הטבלאות הגולמיים מהם הן נוצרו. לכן, משתמשים בטווח אינם יכולים לגשת אליהם כברירת מחדל. כפתרון עוקף, באפשרותך לבצע אחת מהפעולות הבאות:
    • השתמש ב- XDR ובטבלאות AlertsInfoAlertsEvidence שבהן הטווח עובר בירושה באופן אוטומטי, או
    • החל טווח על טבלאות ניתוח יומן רישום אלה באופן ידני (שיטה זו מוגבלת לתכונות בטבלה וייתכן שהיא אינה שוות ערך לירושה של טבלאות הנתונים שיצרו התראות אלה).
  • חוויות נתמכות: Sentinel ניתן להקצות טווחים רק לתפקידי Defender XDR RBAC. Azure הרשאות RBAC בסביבות עבודה Entra הרשאות תפקיד כלליות אינן נתמכות. חוויות שאינן יכולות להשתמש ב- RBAC ברמת השורה, כגון מחברות Jupyter, אינן מאפשרות למשתמשים המוגבלת לטווח להציג נתונים עבור סביבות עבודה אלה בהתאמה.

הרשאות וגישה

  • המשתמשים יכולים להציג מקרה אם יש להם גישה להתראה אחת לפחות באירוע. הם יכולים לנהל את המקרה רק אם יש להם גישה לכל ההתראות באירוע ויש להם את ההרשאה הנדרשת.
  • המשתמש המסוכם יכול לראות רק את הנתונים המשויכים לטווח שלו. אם ההתראה מכילה ישויות שלמשתמש אין גישה אליהן, המשתמש אינו יכול לראות אותן. אם למשתמש יש גישה לאחת מהישויות המשויכות לפחות, הוא יכול לראות את ההתראה עצמה.
  • כדי להגדיר טווח של טבלה שלמה, השתמש בכלל התואם לכל השורות (לדוגמה, באמצעות תנאי שתמיד מתקיים). לא ניתן להקיף נתונים שהוטבלו בעבר באופן רטרואקטיבי.
  • משתמשים עם טווחים אינם יכולים לנהל משאבים (כגון כללי זיהוי, ספרי הפעלות, כללי אוטומציה) אלא אם מוקצית להם הרשאה בהקצאת תפקיד נפרדת.

השלבים הבאים

  • Last updated on