A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként

A Microsoft Sentinel-munkaterülethez hozzáféréssel rendelkező felhasználók általában az összes munkaterületi adathoz is hozzáférnek, beleértve a biztonsági tartalmakat is. A rendszergazdák azure-szerepkörök használatával konfigurálhatják a Hozzáférést a Microsoft Sentinel adott funkcióihoz a csoport hozzáférési követelményeitől függően.

Előfordulhat azonban, hogy vannak olyan felhasználók, akiknek csak bizonyos adatokhoz kell hozzáférniük a Microsoft Sentinel-munkaterületen, de nem férhetnek hozzá a teljes Microsoft Sentinel-környezethez. Előfordulhat például, hogy egy nem biztonsági műveleti (nem SOC) csapat számára szeretne hozzáférést biztosítani a windowsos eseményadatokhoz a tulajdonában lévő kiszolgálókhoz.

Ilyen esetekben azt javasoljuk, hogy a szerepköralapú hozzáférés-vezérlést (RBAC) a felhasználók számára engedélyezett erőforrások alapján konfigurálja ahelyett, hogy hozzáférést biztosít a Microsoft Sentinel-munkaterülethez vagy adott Microsoft Sentinel-funkciókhoz. Ezt a módszert erőforrás-környezet RBAC beállításának is nevezik.

Ha a felhasználók a Microsoft Sentinel-munkaterület helyett az általuk elérhető erőforrásokon keresztül férnek hozzá a Microsoft Sentinel-adatokhoz, a naplókat és munkafüzeteket az alábbi módszerekkel tekinthetik meg:

• Magát az erőforrást, például egy Azure-beli virtuális gépet. Ezzel a módszerrel csak egy adott erőforrás naplóit és munkafüzeteit tekintheti meg.

• Az Azure Monitoron keresztül. Ezt a módszert akkor használja, ha több erőforrásra és/vagy erőforráscsoportra kiterjedő lekérdezéseket szeretne létrehozni. Amikor az Azure Monitorban naplókra és munkafüzetekre navigál, határozza meg a hatókört egy vagy több konkrét erőforráscsoportra vagy erőforrásra.

Engedélyezze az erőforrás-környezeti RBAC-t az Azure Monitorban. További információ: Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban.

Megjegyzés

Ha az adatok nem Azure-erőforrások, például Syslog-, CEF- vagy AAD-adatok, vagy egyéni gyűjtők által gyűjtött adatok, manuálisan kell konfigurálnia az adatok azonosításához és a hozzáférés engedélyezéséhez használt erőforrás-azonosítót. További információ: Explicit módon konfigurálja az erőforrás-környezet RBAC-t.

Emellett a függvények és a mentett keresések nem támogatottak az erőforrás-központú környezetekben. Ezért a Microsoft Sentinel erőforrás-környezet RBAC-jében nem támogatottak az olyan Microsoft Sentinel-funkciók, mint az elemzés és a normalizálás .

Forgatókönyvek az erőforrás-környezet RBAC-hez

Az alábbi táblázat azokat a forgatókönyveket emeli ki, ahol az erőforrás-környezet RBAC a legtökökesebb. Figyelje meg az SOC-csapatok és a nem SOC-csapatok hozzáférési követelményei közötti különbségeket.

Követelmény típusa	SOC-csapat	Nem SOC-csapat
Engedélyek	A teljes munkaterület	Csak adott erőforrások
Az adatok elérése	A munkaterület összes adata	Csak azoknak az erőforrásoknak az adatai, amelyekhez a csapat jogosult hozzáférni
Élmény	A Teljes Microsoft Sentinel-élmény, amelyet esetleg a felhasználóhoz rendelt funkcionális engedélyek korlátoznak	Csak napló lekérdezések és munkafüzetek

Ha a csapat hasonló hozzáférési követelményekkel rendelkezik a fenti táblázatban ismertetett nem SOC-csapathoz, akkor az erőforrás-környezet RBAC jó megoldás lehet a szervezet számára.

Alternatív módszerek az erőforrás-környezet RBAC implementálására

A szervezethez szükséges engedélyektől függően előfordulhat, hogy az erőforrás-környezet RBAC használata nem nyújt teljes megoldást.

Az alábbi lista olyan forgatókönyveket ismertet, amikor az adathozzáférés más megoldásai jobban megfelelnek a követelményeknek:

Eset	Megoldás
A leányvállalatok SOC-csapattal rendelkeznek, amelyek teljes Körű Microsoft Sentinel-élményt igényelnek.	Ebben az esetben használjon több-munkaterületes architektúrát az adatengedélyek elkülönítéséhez. További információkért lásd: - A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre - Incidensek kezelése egyszerre több munkaterületen
Egy adott típusú eseményhez szeretne hozzáférést biztosítani.	Biztosítson például egy Windows-rendszergazdának hozzáférést Windows biztonság eseményekhez az összes rendszerben. Ilyen esetekben a táblaszintű RBAC használatával határozza meg az egyes táblákhoz tartozó engedélyeket.
A hozzáférést egy részletesebb szintre korlátozhatja, nem az erőforrás alapján, vagy csak az esemény mezőinek egy részhalmazára	Előfordulhat például, hogy egy felhasználó leányvállalata alapján korlátozni szeretné Office 365 naplókhoz való hozzáférést. Ebben az esetben biztosítson hozzáférést az adatokhoz a Power BI-irányítópultokkal és -jelentésekkel való beépített integrációval.

Erőforrás-környezet RBAC explicit konfigurálása

Ha erőforrás-környezet RBAC-t szeretne konfigurálni, kövesse az alábbi lépéseket, de az adatok nem Azure-erőforrások.

A Microsoft Sentinel-munkaterületen található olyan adatok például, amelyek nem Azure-erőforrások, például a Syslog, a CEF vagy az AAD-adatok, vagy az egyéni gyűjtők által gyűjtött adatok.

Az erőforrás-környezet RBAC explicit konfigurálása:

1. Győződjön meg arról, hogy engedélyezte az erőforrás-környezet RBAC-t az Azure Monitorban.

2. Hozzon létre egy erőforráscsoportot minden olyan felhasználói csoport számára, akiknek a teljes Microsoft Sentinel-környezet nélkül kell hozzáférnie az erőforrásokhoz.

   Naplóolvasói engedélyek hozzárendelése a csapattagok mindegyikéhez.

3. Rendeljen erőforrásokat a létrehozott erőforráscsoportcsoportokhoz, és címkézze meg az eseményeket a megfelelő erőforrás-azonosítókkal.

   Amikor az Azure-erőforrások adatokat küldenek a Microsoft Sentinelnek, a naplórekordok automatikusan meg lesznek címkézve az adatforrás erőforrás-azonosítójával.

   Tipp

   Javasoljuk, hogy csoportosítsa azokat az erőforrásokat, amelyekhez hozzáférést ad, egy adott, erre a célra létrehozott erőforráscsoportba.

   Ha nem tudja, győződjön meg arról, hogy a csapata naplóolvasói engedélyekkel rendelkezik közvetlenül azokhoz az erőforrásokhoz, amelyekhez hozzá szeretne férni.

   Az erőforrás-azonosítókkal kapcsolatos további információkért lásd:

   • Erőforrás-azonosítók naplótovábbítással
   • Erőforrás-azonosítók a Logstash-gyűjteménysel
   • Erőforrás-azonosítók a Log Analytics API-gyűjteményével

Erőforrás-azonosítók naplótovábbítással

Amikor az eseményeket a Common Event Format (CEF) vagy a Syslog használatával gyűjti össze, a rendszer naplótovábbítással gyűjt eseményeket több forrásrendszerből.

Ha például egy CEF- vagy Syslog-továbbítási virtuális gép figyeli a Syslog-eseményeket küldő forrásokat, és továbbítja őket a Microsoft Sentinelnek, a naplótovábbítási virtuális gép erőforrás-azonosítóját a rendszer az összes továbbított eseményhez hozzárendeli.

Ha több csapattal rendelkezik, győződjön meg arról, hogy külön naplótovábbító virtuális gépekkel dolgozták fel az eseményeket az egyes csapatok számára.

A virtuális gépek elkülönítése például biztosítja, hogy az A csapathoz tartozó Syslog-események gyűjtése az A gyűjtő virtuális gépével történik.

Tipp

• Ha helyszíni virtuális gépet vagy más felhőbeli virtuális gépet, például AWS-t használ naplótovábbítóként, az Azure Arc implementálásával győződjön meg arról, hogy rendelkezik erőforrás-azonosítóval.
• A naplótovábbítási virtuálisgép-környezet skálázásához érdemes lehet létrehozni egy virtuálisgép-méretezési csoportot a CEF- és a Sylog-naplók gyűjtéséhez.

Erőforrás-azonosítók a Logstash-gyűjteménysel

Ha a Microsoft Sentinel Logstash kimeneti beépülő moduljával gyűjti az adatokat, az azure_resource_id mezővel konfigurálhatja az egyéni gyűjtőt úgy, hogy az tartalmazza az erőforrás-azonosítót a kimenetben.

Ha erőforrás-környezeti RBAC-t használ, és azt szeretné, hogy az API által gyűjtött események elérhetők legyenek adott felhasználók számára, használja a felhasználók számára létrehozott erőforráscsoport erőforrás-azonosítóját.

A következő kód például egy Logstash-konfigurációs fájlt mutat be:

 input {
     beats {
         port => "5044"
     }
 }
 filter {
 }
 output {
     microsoft-logstash-output-azure-loganalytics {
       workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
       workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
       custom_log_table_name => "tableName"
       azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>   
     }
 }

Tipp

Előfordulhat, hogy több output szakaszt szeretne hozzáadni a különböző eseményekre alkalmazott címkék megkülönböztetéséhez.

Erőforrás-azonosítók a Log Analytics API-gyűjteményével

Amikor a Log Analytics adatgyűjtő API-val gyűjt, erőforrás-azonosítóval rendelkező eseményekhez rendelheti hozzá a HTTP x-ms-AzureResourceId kérelemfejlécet.

Ha erőforrás-környezeti RBAC-t használ, és azt szeretné, hogy az API által gyűjtött események elérhetők legyenek adott felhasználók számára, használja a felhasználók számára létrehozott erőforráscsoport erőforrás-azonosítóját.

Következő lépések

További információ: Engedélyek a Microsoft Sentinelben.