A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként
A Microsoft Sentinel-munkaterülethez hozzáféréssel rendelkező felhasználók általában az összes munkaterületi adathoz is hozzáférnek, beleértve a biztonsági tartalmakat is. A rendszergazdák azure-szerepkörök használatával konfigurálhatják a Hozzáférést a Microsoft Sentinel adott funkcióihoz a csoport hozzáférési követelményeitől függően.
Előfordulhat azonban, hogy vannak olyan felhasználók, akiknek csak bizonyos adatokhoz kell hozzáférniük a Microsoft Sentinel-munkaterületen, de nem férhetnek hozzá a teljes Microsoft Sentinel-környezethez. Előfordulhat például, hogy egy nem biztonsági műveleti (nem SOC) csapat számára szeretne hozzáférést biztosítani a windowsos eseményadatokhoz a tulajdonában lévő kiszolgálókhoz.
Ilyen esetekben azt javasoljuk, hogy a szerepköralapú hozzáférés-vezérlést (RBAC) a felhasználók számára engedélyezett erőforrások alapján konfigurálja ahelyett, hogy hozzáférést biztosít a Microsoft Sentinel-munkaterülethez vagy adott Microsoft Sentinel-funkciókhoz. Ezt a módszert erőforrás-környezet RBAC beállításának is nevezik.
Ha a felhasználók a Microsoft Sentinel-munkaterület helyett az általuk elérhető erőforrásokon keresztül férnek hozzá a Microsoft Sentinel-adatokhoz, a naplókat és munkafüzeteket az alábbi módszerekkel tekinthetik meg:
Magát az erőforrást, például egy Azure-beli virtuális gépet. Ezzel a módszerrel csak egy adott erőforrás naplóit és munkafüzeteit tekintheti meg.
Az Azure Monitoron keresztül. Ezt a módszert akkor használja, ha több erőforrásra és/vagy erőforráscsoportra kiterjedő lekérdezéseket szeretne létrehozni. Amikor az Azure Monitorban naplókra és munkafüzetekre navigál, határozza meg a hatókört egy vagy több konkrét erőforráscsoportra vagy erőforrásra.
Engedélyezze az erőforrás-környezeti RBAC-t az Azure Monitorban. További információ: Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban.
Megjegyzés
Ha az adatok nem Azure-erőforrások, például Syslog-, CEF- vagy AAD-adatok, vagy egyéni gyűjtők által gyűjtött adatok, manuálisan kell konfigurálnia az adatok azonosításához és a hozzáférés engedélyezéséhez használt erőforrás-azonosítót. További információ: Explicit módon konfigurálja az erőforrás-környezet RBAC-t.
Emellett a függvények és a mentett keresések nem támogatottak az erőforrás-központú környezetekben. Ezért a Microsoft Sentinel erőforrás-környezet RBAC-jében nem támogatottak az olyan Microsoft Sentinel-funkciók, mint az elemzés és a normalizálás .
Forgatókönyvek az erőforrás-környezet RBAC-hez
Az alábbi táblázat azokat a forgatókönyveket emeli ki, ahol az erőforrás-környezet RBAC a legtökökesebb. Figyelje meg az SOC-csapatok és a nem SOC-csapatok hozzáférési követelményei közötti különbségeket.
Követelmény típusa | SOC-csapat | Nem SOC-csapat |
---|---|---|
Engedélyek | A teljes munkaterület | Csak adott erőforrások |
Az adatok elérése | A munkaterület összes adata | Csak azoknak az erőforrásoknak az adatai, amelyekhez a csapat jogosult hozzáférni |
Élmény | A Teljes Microsoft Sentinel-élmény, amelyet esetleg a felhasználóhoz rendelt funkcionális engedélyek korlátoznak | Csak napló lekérdezések és munkafüzetek |
Ha a csapat hasonló hozzáférési követelményekkel rendelkezik a fenti táblázatban ismertetett nem SOC-csapathoz, akkor az erőforrás-környezet RBAC jó megoldás lehet a szervezet számára.
Alternatív módszerek az erőforrás-környezet RBAC implementálására
A szervezethez szükséges engedélyektől függően előfordulhat, hogy az erőforrás-környezet RBAC használata nem nyújt teljes megoldást.
Az alábbi lista olyan forgatókönyveket ismertet, amikor az adathozzáférés más megoldásai jobban megfelelnek a követelményeknek:
Eset | Megoldás |
---|---|
A leányvállalatok SOC-csapattal rendelkeznek, amelyek teljes Körű Microsoft Sentinel-élményt igényelnek. | Ebben az esetben használjon több-munkaterületes architektúrát az adatengedélyek elkülönítéséhez. További információkért lásd: - A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre - Incidensek kezelése egyszerre több munkaterületen |
Egy adott típusú eseményhez szeretne hozzáférést biztosítani. | Biztosítson például egy Windows-rendszergazdának hozzáférést Windows biztonság eseményekhez az összes rendszerben. Ilyen esetekben a táblaszintű RBAC használatával határozza meg az egyes táblákhoz tartozó engedélyeket. |
A hozzáférést egy részletesebb szintre korlátozhatja, nem az erőforrás alapján, vagy csak az esemény mezőinek egy részhalmazára | Előfordulhat például, hogy egy felhasználó leányvállalata alapján korlátozni szeretné Office 365 naplókhoz való hozzáférést. Ebben az esetben biztosítson hozzáférést az adatokhoz a Power BI-irányítópultokkal és -jelentésekkel való beépített integrációval. |
Erőforrás-környezet RBAC explicit konfigurálása
Ha erőforrás-környezet RBAC-t szeretne konfigurálni, kövesse az alábbi lépéseket, de az adatok nem Azure-erőforrások.
A Microsoft Sentinel-munkaterületen található olyan adatok például, amelyek nem Azure-erőforrások, például a Syslog, a CEF vagy az AAD-adatok, vagy az egyéni gyűjtők által gyűjtött adatok.
Az erőforrás-környezet RBAC explicit konfigurálása:
Győződjön meg arról, hogy engedélyezte az erőforrás-környezet RBAC-t az Azure Monitorban.
Hozzon létre egy erőforráscsoportot minden olyan felhasználói csoport számára, akiknek a teljes Microsoft Sentinel-környezet nélkül kell hozzáférnie az erőforrásokhoz.
Naplóolvasói engedélyek hozzárendelése a csapattagok mindegyikéhez.
Rendeljen erőforrásokat a létrehozott erőforráscsoportcsoportokhoz, és címkézze meg az eseményeket a megfelelő erőforrás-azonosítókkal.
Amikor az Azure-erőforrások adatokat küldenek a Microsoft Sentinelnek, a naplórekordok automatikusan meg lesznek címkézve az adatforrás erőforrás-azonosítójával.
Tipp
Javasoljuk, hogy csoportosítsa azokat az erőforrásokat, amelyekhez hozzáférést ad, egy adott, erre a célra létrehozott erőforráscsoportba.
Ha nem tudja, győződjön meg arról, hogy a csapata naplóolvasói engedélyekkel rendelkezik közvetlenül azokhoz az erőforrásokhoz, amelyekhez hozzá szeretne férni.
Az erőforrás-azonosítókkal kapcsolatos további információkért lásd:
Erőforrás-azonosítók naplótovábbítással
Amikor az eseményeket a Common Event Format (CEF) vagy a Syslog használatával gyűjti össze, a rendszer naplótovábbítással gyűjt eseményeket több forrásrendszerből.
Ha például egy CEF- vagy Syslog-továbbítási virtuális gép figyeli a Syslog-eseményeket küldő forrásokat, és továbbítja őket a Microsoft Sentinelnek, a naplótovábbítási virtuális gép erőforrás-azonosítóját a rendszer az összes továbbított eseményhez hozzárendeli.
Ha több csapattal rendelkezik, győződjön meg arról, hogy külön naplótovábbító virtuális gépekkel dolgozták fel az eseményeket az egyes csapatok számára.
A virtuális gépek elkülönítése például biztosítja, hogy az A csapathoz tartozó Syslog-események gyűjtése az A gyűjtő virtuális gépével történik.
Tipp
- Ha helyszíni virtuális gépet vagy más felhőbeli virtuális gépet, például AWS-t használ naplótovábbítóként, az Azure Arc implementálásával győződjön meg arról, hogy rendelkezik erőforrás-azonosítóval.
- A naplótovábbítási virtuálisgép-környezet skálázásához érdemes lehet létrehozni egy virtuálisgép-méretezési csoportot a CEF- és a Sylog-naplók gyűjtéséhez.
Erőforrás-azonosítók a Logstash-gyűjteménysel
Ha a Microsoft Sentinel Logstash kimeneti beépülő moduljával gyűjti az adatokat, az azure_resource_id mezővel konfigurálhatja az egyéni gyűjtőt úgy, hogy az tartalmazza az erőforrás-azonosítót a kimenetben.
Ha erőforrás-környezeti RBAC-t használ, és azt szeretné, hogy az API által gyűjtött események elérhetők legyenek adott felhasználók számára, használja a felhasználók számára létrehozott erőforráscsoport erőforrás-azonosítóját.
A következő kód például egy Logstash-konfigurációs fájlt mutat be:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>
}
}
Tipp
Előfordulhat, hogy több output
szakaszt szeretne hozzáadni a különböző eseményekre alkalmazott címkék megkülönböztetéséhez.
Erőforrás-azonosítók a Log Analytics API-gyűjteményével
Amikor a Log Analytics adatgyűjtő API-val gyűjt, erőforrás-azonosítóval rendelkező eseményekhez rendelheti hozzá a HTTP x-ms-AzureResourceId kérelemfejlécet.
Ha erőforrás-környezeti RBAC-t használ, és azt szeretné, hogy az API által gyűjtött események elérhetők legyenek adott felhasználók számára, használja a felhasználók számára létrehozott erőforráscsoport erőforrás-azonosítóját.
Következő lépések
További információ: Engedélyek a Microsoft Sentinelben.