Gestire l'accesso alle aree di lavoro Log Analytics

I fattori che determinano quali dati è possibile accedere in un'area di lavoro Log Analytics sono:

• Impostazioni nell'area di lavoro stessa.
• Autorizzazioni di accesso alle risorse che inviano dati all'area di lavoro.
• Metodo usato per accedere all'area di lavoro.

Questo articolo descrive come gestire l'accesso ai dati in un'area di lavoro Log Analytics.

Panoramica

I fattori che definiscono i dati a cui è possibile accedere sono descritti nella tabella seguente. Ogni fattore è descritto ulteriormente nelle sezioni seguenti.

Fattore	Descrizione
Modalità di accesso	Metodo usato per accedere all'area di lavoro. Definisce l'ambito dei dati disponibili e la modalità di controllo di accesso applicata.
Modalità di controllo di accesso	Impostazione nell'area di lavoro che definisce se le autorizzazioni vengono applicate a livello di area di lavoro o di risorsa.
Controllo degli accessi in base al ruolo di Azure	Autorizzazioni applicate a singoli utenti o gruppi di utenti per l'area di lavoro o la risorsa che inviano dati all'area di lavoro. Definisce i dati a cui si ha accesso.
Controllo degli accessi in base al ruolo di Azure a livello di tabella	Autorizzazioni facoltative che definiscono tipi di dati specifici nell'area di lavoro a cui è possibile accedere. Può essere applicato a tutte le modalità di accesso o di controllo di accesso.

Modalità di accesso

La modalità di accesso si riferisce al modo in cui si accede a un'area di lavoro Log Analytics e definisce i dati a cui è possibile accedere durante la sessione corrente. La modalità viene determinata in base all'ambito selezionato in Log Analytics.

Sono presenti due modalità di accesso:

• Contesto dell'area di lavoro: è possibile visualizzare tutti i log nell'area di lavoro per cui si dispone dell'autorizzazione. Le query in questa modalità hanno come ambito tutti i dati nelle tabelle a cui si ha accesso nell'area di lavoro. Questa modalità di accesso viene usata quando si accede ai log con l'area di lavoro come ambito, ad esempio quando si seleziona Log nel menu Monitoraggio di Azure nel portale di Azure.
• Contesto della risorsa: quando si accede all'area di lavoro per una risorsa, un gruppo di risorse o una sottoscrizione specifica, ad esempio scegliendo Log dal menu di una risorsa nel portale di Azure, è possibile visualizzare i log solo per le risorse delle tabelle a cui si ha accesso. L'ambito delle query in questa modalità è limitato ai dati associati alla risorsa specifica. Questa modalità consente anche un controllo degli accessi in base al ruolo di Azure granulare. Le aree di lavoro usano un modello di log di contesto delle risorse in cui ogni record di log generato da una risorsa di Azure viene associato automaticamente a questa risorsa.

I record sono disponibili nelle query di contesto delle risorse solo se sono associate alla risorsa pertinente. Per controllare questa associazione, eseguire una query e verificare che la colonna _ResourceId sia popolata.

Esistono limitazioni note con le risorse seguenti:

• Computer esterni ad Azure: il contesto delle risorse è supportato solo con Azure Arc per i server.
• Application Insights: supportato per il contesto delle risorse solo quando si usa una risorsa di Application Insights basata sull'area di lavoro.
• Azure Service Fabric

Confrontare le modalità di accesso

La tabella seguente riepiloga le modalità di accesso:

Problema	Contesto dell'area di lavoro	Contesto delle risorse
A chi è destinato ogni modello?	Amministrazione centrale. Amministratori che hanno l'esigenza di configurare la raccolta dati e utenti che hanno bisogno di accedere a un'ampia varietà di risorse. Attualmente è necessario anche per gli utenti che devono accedere ai log per le risorse all'esterno di Azure.	Team di applicazioni. Amministratori delle risorse di Azure monitorate. Consente loro di concentrarsi sulla propria risorsa senza filtrare.
Cosa richiede un utente per visualizzare i log?	Autorizzazioni per l'area di lavoro. Vedere "Autorizzazioni dell'area di lavoro" in Gestire l'accesso usando le autorizzazioni dell'area di lavoro.	Accesso in lettura alla risorsa. Vedere "Autorizzazioni delle risorse" in Gestire l'accesso usando le autorizzazioni di Azure. Le autorizzazioni possono essere ereditate dal gruppo di risorse o dalla sottoscrizione o assegnate direttamente alla risorsa. L'autorizzazione per i log per la risorsa verrà assegnata automaticamente. L'utente non richiede l'accesso all'area di lavoro.
Qual è l'ambito delle autorizzazioni?	Area di lavoro. Gli utenti con accesso all'area di lavoro possono eseguire query su tutti i log nell'area di lavoro dalle tabelle a cui dispongono delle autorizzazioni. Vedere Impostare l'accesso in lettura a livello di tabella.	Risorsa di Azure. Gli utenti possono eseguire query sui log per risorse, gruppi di risorse o sottoscrizioni specifici a cui hanno accesso in qualsiasi area di lavoro, ma non possono eseguire query sui log per altre risorse.
In che modo un utente può accedere ai log?	Nel menu Monitoraggio di Azure selezionare Log. Selezionare Log nelle aree di lavoro Log Analytics. Dalle cartelle di lavoro di Monitoraggio di Azure.	Selezionare Log nel menu per la risorsa di Azure. Gli utenti avranno accesso ai dati per tale risorsa. Selezionare Log dal menu Monitoraggio di Azure. Gli utenti avranno accesso ai dati per tutte le risorse a cui hanno accesso. Selezionare Log dalle aree di lavoro Log Analytics, se gli utenti hanno accesso all'area di lavoro. Dalle cartelle di lavoro di Monitoraggio di Azure.

Modalità di controllo di accesso

La modalità di controllo di accesso è un'impostazione in ogni area di lavoro che definisce la modalità di determinazione delle autorizzazioni per l'area di lavoro.

• Richiedere le autorizzazioni dell'area di lavoro. Questa modalità di controllo non consente il controllo degli accessi in base al ruolo granulare di Azure. Per accedere all'area di lavoro, all'utente devono essere concesse le autorizzazioni per l'area di lavoro o per tabelle specifiche.

  Se un utente accede all'area di lavoro in modalità contesto dell'area di lavoro, ha accesso a tutti i dati in qualsiasi tabella a cui è stato concesso l'accesso. Se un utente accede all'area di lavoro in modalità contesto risorse, ha accesso solo ai dati per tale risorsa in qualsiasi tabella a cui è stato concesso l'accesso.

  Questa impostazione è l'impostazione predefinita per tutte le aree di lavoro create prima di marzo 2019.

• Usare le autorizzazioni della risorsa o dell'area di lavoro. Questa modalità di controllo consente il controllo degli accessi in base al ruolo di Azure granulare. Agli utenti può essere concesso l'accesso solo ai dati associati alle risorse che possono visualizzare assegnando l'autorizzazione di Azure read .

  Quando un utente accede all'area di lavoro in modalità contesto area di lavoro, vengono applicate le autorizzazioni dell'area di lavoro. Quando un utente accede all'area di lavoro in modalità contesto risorse, vengono verificate solo le autorizzazioni delle risorse e le autorizzazioni dell'area di lavoro vengono ignorate. Abilitare il controllo degli accessi in base al ruolo di Azure per un utente rimuovendoli dalle autorizzazioni dell'area di lavoro e consentendo il riconoscimento delle autorizzazioni per le risorse.

  Questa impostazione è l'impostazione predefinita per tutte le aree di lavoro create dopo marzo 2019.

  Nota

  Se un utente dispone solo delle autorizzazioni per le risorse per l'area di lavoro, può accedere solo all'area di lavoro usando la modalità di contesto delle risorse presupponendo che la modalità di accesso all'area di lavoro sia impostata su Usa le autorizzazioni della risorsa o dell'area di lavoro.

Configurare la modalità di controllo di accesso per un'area di lavoro

Azure portal

Visualizzare la modalità di controllo di accesso dell'area di lavoro corrente nella pagina Panoramica dell'area di lavoro nel menu dell'area di lavoro Log Analytics.

Modificare questa impostazione nella pagina Proprietà dell'area di lavoro. Se non si dispone delle autorizzazioni per configurare l'area di lavoro, la modifica dell'impostazione è disabilitata.

PowerShell

Usare il comando seguente per visualizzare la modalità di controllo di accesso per tutte le aree di lavoro nella sottoscrizione:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

L'output sarà simile al seguente:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Un valore indica che l'area di False lavoro è configurata con la modalità di accesso al contesto dell'area di lavoro. Un valore indica che l'area di True lavoro è configurata con la modalità di accesso al contesto delle risorse.

Nota

Se un'area di lavoro viene restituita senza un valore booleano ed è vuota, questo risultato corrisponde anche ai risultati di un False valore.

Usare lo script seguente per impostare la modalità di controllo di accesso per un'area di lavoro specifica sull'autorizzazione del contesto di risorsa:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Usare lo script seguente per impostare la modalità di controllo di accesso per tutte le aree di lavoro nella sottoscrizione per l'autorizzazione del contesto di risorsa:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Per configurare la modalità di accesso in un modello di Azure Resource Manager, impostare il flag di funzionalità enableLogAccessUsingOnlyResourcePermissions nell'area di lavoro su uno dei valori seguenti:

• false: impostare l'area di lavoro su autorizzazioni di contesto dell'area di lavoro. Questa impostazione è l'impostazione predefinita se il flag non è impostato.
• true: impostare l'area di lavoro sulle autorizzazioni di contesto delle risorse.

Controllo degli accessi in base al ruolo di Azure

L'accesso a un'area di lavoro viene gestito tramite il controllo degli accessi in base al ruolo di Azure. Per concedere l'accesso all'area di lavoro Log Analytics usando le autorizzazioni di Azure, seguire la procedura descritta in Assegnare i ruoli di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure.

Autorizzazioni dell'area di lavoro

A ogni area di lavoro possono essere associati più account. Ogni account può avere accesso a più aree di lavoro. La tabella seguente elenca le autorizzazioni di Azure per diverse azioni dell'area di lavoro:

Azione	Autorizzazioni di Azure necessarie	Note
Modificare il piano tariffario.	Microsoft.OperationalInsights/workspaces/*/write
Creare un'area di lavoro nel portale di Azure.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Visualizzare le proprietà di base dell'area di lavoro e immettere il riquadro dell'area di lavoro nel portale.	Microsoft.OperationalInsights/workspaces/read
Eseguire query sui log usando qualsiasi interfaccia.	Microsoft.OperationalInsights/workspaces/query/read
Accedere a tutti i tipi di log usando query.	Microsoft.OperationalInsights/workspaces/query/*/read
Accedere a una tabella di log specifica - metodo legacy	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Leggere le chiavi dell'area di lavoro per consentire l'invio di log a questa area di lavoro.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Aggiungere e rimuovere soluzioni di monitoraggio.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Queste autorizzazioni devono essere concesse a livello di gruppo di risorse o di sottoscrizione.
Visualizzare i dati nei riquadri della soluzione Backup e Site Recovery .	Amministrazione istrator/Coamministratore Accede alle risorse distribuite usando il modello di distribuzione classica.
Eseguire un processo di ricerca.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Ripristinare i dati dalla tabella archiviata.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Ruoli predefiniti

Assegnare gli utenti a questi ruoli per concedere loro l'accesso a ambiti diversi:

• Sottoscrizione: accesso a tutte le aree di lavoro nella sottoscrizione
• Gruppo di risorse: accesso a tutte le aree di lavoro nel gruppo di risorse
• Risorsa: accesso solo all'area di lavoro specificata

Creare assegnazioni a livello di risorsa (area di lavoro) per garantire un controllo di accesso accurato. Usare i ruoli personalizzati per creare ruoli con le autorizzazioni specifiche necessarie.

Nota

Per aggiungere e rimuovere utenti a un ruolo utente, è necessario disporre Microsoft.Authorization/*/Delete dell'autorizzazione e Microsoft.Authorization/*/Write .

Lettore di Log Analytics

I membri del ruolo Lettore di Log Analytics possono visualizzare tutti i dati di monitoraggio e le impostazioni di monitoraggio, inclusa la configurazione della diagnostica di Azure in tutte le risorse di Azure.

I membri del ruolo Lettore di Log Analytics possono eseguire queste operazioni:

• Visualizzare e cercare tutti i dati di monitoraggio.
• Visualizzare le impostazioni di monitoraggio, inclusa la configurazione della diagnostica di Azure in tutte le risorse di Azure.

Il ruolo di lettore di Log Analytics include le azioni di Azure seguenti:

Tipo	Autorizzazione	Descrizione
Azione	*/read	Consente di visualizzare tutte le risorse di Azure e la configurazione delle risorse. Include la visualizzazione di: - Stato dell'estensione macchina virtuale. - Configurazione della diagnostica di Azure sulle risorse. - Tutte le proprietà e le impostazioni di tutte le risorse. Per le aree di lavoro, consente autorizzazioni complete senza restrizioni per leggere le impostazioni dell'area di lavoro e eseguire query sui dati. Vedere altre opzioni granulari nell'elenco precedente.
Azione	Microsoft.Support/*	Possibilità di aprire i casi di supporto.
Non azione	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Impedisce la lettura della chiave dell'area di lavoro, necessaria per l'uso dell'API di raccolta dati e per l'installazione degli agenti. Ciò impedisce all'utente di aggiungere nuove risorse all'area di lavoro.

Collaboratore di Log Analytics

I membri del ruolo Collaboratore di Log Analytics possono eseguire queste operazioni:

• Leggere tutti i dati di monitoraggio concessi dal ruolo Lettore di Log Analytics.
• Modificare le impostazioni di monitoraggio per le risorse di Azure, tra cui:
  • Aggiunta dell'estensione macchina virtuale alle macchine virtuali.
  • Configurazione della diagnostica di Azure in tutte le risorse di Azure.
• Creare e configurare account di Automazione. L'autorizzazione deve essere concessa a livello di gruppo di risorse o sottoscrizione.
• Aggiungere e rimuovere soluzioni di gestione. L'autorizzazione deve essere concessa a livello di gruppo di risorse o sottoscrizione.
• Leggere le chiavi dell'account di archiviazione.
• Configurare la raccolta di log da Archiviazione di Azure.
• Configurare le regole di esportazione dei dati.
• Eseguire un processo di ricerca.
• Ripristinare i log archiviati.

Avviso

È possibile usare l'autorizzazione per aggiungere un'estensione macchina virtuale a una macchina virtuale per ottenere il controllo completo su una macchina virtuale.

Il ruolo di collaboratore di Log Analytics include le azioni di Azure seguenti:

Autorizzazione	Descrizione
*/read	Consente di visualizzare tutte le risorse di Azure e la configurazione delle risorse. Include la visualizzazione di: - Stato dell'estensione macchina virtuale. - Configurazione della diagnostica di Azure sulle risorse. - Tutte le proprietà e le impostazioni di tutte le risorse. Per le aree di lavoro, consente autorizzazioni complete senza restrizioni per leggere le impostazioni dell'area di lavoro e eseguire query sui dati. Vedere altre opzioni granulari nell'elenco precedente.
Microsoft.Automation/automationAccounts/*	Possibilità di creare e configurare account Automazione di Azure, inclusa l'aggiunta e la modifica di runbook.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Aggiungere, aggiornare e rimuovere estensioni macchina virtuale, tra cui l'estensione Microsoft Monitoring Agent e l'estensione OMS Agent per Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Consente di visualizzare la chiave dell'account di archiviazione, Necessario per configurare Log Analytics per leggere i log dagli account Archiviazione di Azure.
Microsoft.Insights/alertRules/*	Aggiungere, aggiornare e rimuovere regole di avviso.
Microsoft.Insights/diagnosticSettings/*	Aggiungere, aggiornare e rimuovere le impostazioni di diagnostica nelle risorse di Azure.
Microsoft.OperationalInsights/*	Aggiungere, aggiornare e rimuovere la configurazione per le aree di lavoro Log Analytics. Per modificare le impostazioni avanzate dell'area di lavoro, l'utente deve Microsoft.OperationalInsights/workspaces/writeavere .
Microsoft.OperationsManagement/*	Aggiungere e rimuovere soluzioni di gestione.
Microsoft.Resources/deployments/*	Consente di creare ed eliminare distribuzioni, Obbligatorio per aggiungere e rimuovere soluzioni, aree di lavoro e account di automazione.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Consente di creare ed eliminare distribuzioni, Obbligatorio per aggiungere e rimuovere soluzioni, aree di lavoro e account di automazione.

Autorizzazioni per le risorse

Per leggere i dati da o inviare dati a un'area di lavoro nel contesto della risorsa, sono necessarie queste autorizzazioni per la risorsa:

Autorizzazione	Descrizione
Microsoft.Insights/logs/*/read	Possibilità di visualizzare tutti i dati di log per la risorsa
Microsoft.Insights/logs/<tableName>/read Esempio: Microsoft.Insights/logs/Heartbeat/read	Possibilità di visualizzare una tabella specifica per questa risorsa - Metodo legacy
Microsoft.Insights/diagnosticSettings/write	Possibilità di configurare l'impostazione di diagnostica per consentire la configurazione dei log per questa risorsa

L'autorizzazione /read viene in genere concessa da un ruolo che include */lettura o* autorizzazioni, ad esempio i ruoli Lettore e Collaboratore predefiniti. I ruoli personalizzati che includono azioni specifiche o ruoli predefiniti dedicati potrebbero non includere questa autorizzazione.

Esempi di ruoli personalizzati

Oltre a usare i ruoli predefiniti per un'area di lavoro Log Analytics, è possibile creare ruoli personalizzati per assegnare autorizzazioni più granulari. Ecco alcuni esempi comuni.

Esempio 1: concedere a un utente l'autorizzazione per leggere i dati di log dalle risorse.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Concedere agli utenti */read o Microsoft.Insights/logs/*/read alle autorizzazioni le risorse. Se è già stato assegnato il ruolo lettore di Log Analytics nell'area di lavoro, è sufficiente.

Esempio 2: concedere a un utente l'autorizzazione per leggere i dati di log dalle risorse ed eseguire un processo di ricerca.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Concedere agli utenti */read o Microsoft.Insights/logs/*/read alle autorizzazioni le risorse. Se è già stato assegnato il ruolo lettore di Log Analytics nell'area di lavoro, è sufficiente.
• Concedere agli utenti le autorizzazioni seguenti per l'area di lavoro:
  • Microsoft.OperationalInsights/workspaces/tables/write: obbligatorio per poter creare la tabella dei risultati della ricerca (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: obbligatorio per consentire l'esecuzione dell'operazione del processo di ricerca.

Esempio 3: concedere a un utente l'autorizzazione per leggere i dati di log dalle risorse e configurare le risorse per inviare i log all'area di lavoro Log Analytics.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Concedere agli utenti le autorizzazioni seguenti nell'area di lavoro: Microsoft.OperationalInsights/workspaces/read e Microsoft.OperationalInsights/workspaces/sharedKeys/action. Con queste autorizzazioni, gli utenti non possono eseguire query a livello di area di lavoro. Possono enumerare solo l'area di lavoro e usarla come destinazione per le impostazioni di diagnostica o la configurazione dell'agente.
• Concedere agli utenti le autorizzazioni seguenti per le risorse: Microsoft.Insights/logs/*/read e Microsoft.Insights/diagnosticSettings/write. Se è già stato assegnato il ruolo Collaboratore Log Analytics, assegnato il ruolo Lettore o ha concesso */read le autorizzazioni per questa risorsa, è sufficiente.

Esempio 4: concedere a un utente l'autorizzazione per leggere i dati di log dalle risorse, ma non per inviare i log all'area di lavoro Log Analytics o leggere gli eventi di sicurezza.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Concedere agli utenti le autorizzazioni seguenti per le risorse: Microsoft.Insights/logs/*/read.
• Aggiungere il comando NonAction seguente per impedire agli utenti di leggere il tipo SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. La proprietà NonAction deve trovarsi nello stesso ruolo personalizzato dell'azione che fornisce l'autorizzazione di lettura (Microsoft.Insights/logs/*/read). Se l'utente eredita l'azione di lettura da un altro ruolo assegnato a questa risorsa o alla sottoscrizione o al gruppo di risorse, è possibile leggere tutti i tipi di log. Questo scenario è true anche se ereditano */read che esistono, ad esempio, con il ruolo Lettore o Collaboratore.

Esempio 5: concedere a un utente l'autorizzazione per leggere i dati di log dalle risorse e tutti gli accessi di Microsoft Entra e leggere i dati di log della soluzione Gestione aggiornamenti nell'area di lavoro Log Analytics.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Concedere agli utenti le autorizzazioni seguenti per l'area di lavoro:
  • Microsoft.OperationalInsights/workspaces/read: obbligatorio in modo che l'utente possa enumerare l'area di lavoro e aprire il riquadro dell'area di lavoro nel portale di Azure
  • Microsoft.OperationalInsights/workspaces/query/read: obbligatorio per ogni utente in grado di eseguire query
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: per poter leggere i log di accesso di Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read: per poter leggere i log della soluzione Gestione aggiornamenti
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: per poter leggere i log della soluzione Gestione aggiornamenti
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: per poter leggere i log di Gestione aggiornamenti
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: obbligatorio per poter usare le soluzioni di Gestione aggiornamenti
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: obbligatorio per poter usare le soluzioni di Gestione aggiornamenti
• Concedere agli utenti le autorizzazioni seguenti alle risorse: */read, assegnate al ruolo Lettore o Microsoft.Insights/logs/*/read

Esempio 6: limitare il ripristino dei log archiviati da parte di un utente.

• Configurare la modalità di controllo di accesso dell'area di lavoro per l'uso delle autorizzazioni dell'area di lavoro o delle risorse.
• Assegnare l'utente al ruolo Collaboratore Log Analytics.
• Aggiungere il comando NonAction seguente per impedire agli utenti di ripristinare i log archiviati: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Impostare l'accesso in lettura a livello di tabella

Le impostazioni di accesso a livello di tabella consentono di concedere a utenti o gruppi specifici l'autorizzazione di sola lettura per i dati di determinate tabelle. Gli utenti con accesso in lettura a livello di tabella possono leggere i dati dalle tabelle specificate sia nell'area di lavoro che nel contesto delle risorse.

Nota

È consigliabile usare il metodo descritto qui, attualmente in anteprima, per definire l'accesso a livello di tabella. In alternativa, è possibile usare il metodo legacy per impostare l'accesso in lettura a livello di tabella, con alcune limitazioni correlate alle tabelle di log personalizzate. Durante l'anteprima, il metodo consigliato descritto qui non si applica alle regole di rilevamento di Microsoft Sentinel, che potrebbero avere accesso a più tabelle del previsto. Prima di usare uno dei metodi, vedere Considerazioni e limitazioni per l'accesso a livello di tabella.

La concessione dell'accesso in lettura a livello di tabella comporta l'assegnazione di due ruoli utente:

• A livello di area di lavoro, un ruolo personalizzato che fornisce autorizzazioni limitate per leggere i dettagli dell'area di lavoro ed eseguire una query nell'area di lavoro, ma non per leggere i dati da alcuna tabella.
• A livello di tabella, un ruolo Lettore , con ambito per la tabella specifica.

Per concedere a un utente o a un gruppo autorizzazioni limitate per l'area di lavoro Log Analytics:

1. Creare un ruolo personalizzato a livello di area di lavoro per consentire agli utenti di leggere i dettagli dell'area di lavoro ed eseguire una query nell'area di lavoro, senza fornire l'accesso in lettura ai dati in qualsiasi tabella:

   1. Passare all'area di lavoro e selezionare Controllo di accesso (IAM)>Ruoli.

   2. Fare clic con il pulsante destro del mouse sul ruolo Lettore e scegliere Clona.

      

      Verrà visualizzata la schermata Crea un ruolo personalizzato.

   3. Nella scheda Informazioni di base della schermata:

      1. Immettere un valore nome ruolo personalizzato e, facoltativamente, specificare una descrizione.
      2. Impostare Autorizzazioni di base su Avvia da zero.

      

   4. Selezionare la scheda >JSON Modifica:

      1. "actions" Nella sezione aggiungere queste azioni:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" Nella sezione aggiungere:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selezionare Salva>revisione e crea nella parte inferiore della schermata e quindi Crea nella pagina successiva.

2. Assegnare il ruolo personalizzato all'utente pertinente:

   1. Selezionare Controllo di accesso (AIM)>Aggiungi>assegnazione di ruolo.

      

   2. Selezionare il ruolo personalizzato creato e selezionare Avanti.

      

      Verrà visualizzata la scheda Membri della schermata Aggiungi assegnazione di ruolo personalizzata.

   3. Fare clic su + Seleziona membri per aprire la schermata Seleziona membri .

      

   4. Cercare e selezionare un utente e fare clic su Seleziona.

   5. Selezionare Rivedi e assegna.

L'utente può ora leggere i dettagli dell'area di lavoro ed eseguire una query, ma non può leggere i dati da alcuna tabella.

Per concedere all'utente l'accesso in lettura a una tabella specifica:

1. Dal menu Aree di lavoro Log Analytics selezionare Tabelle.

2. Selezionare i puntini di sospensione ( ... ) a destra della tabella e selezionare Controllo di accesso (IAM).

   

3. Nella schermata Controllo di accesso (IAM) selezionare Aggiungi>assegnazione di ruolo.

4. Selezionare il ruolo Lettore e selezionare Avanti.

5. Fare clic su + Seleziona membri per aprire la schermata Seleziona membri .

6. Cercare e selezionare l'utente e fare clic su Seleziona.

7. Selezionare Rivedi e assegna.

L'utente può ora leggere i dati da questa tabella specifica. Concedere all'utente l'accesso in lettura ad altre tabelle nell'area di lavoro, in base alle esigenze.

Metodo legacy di impostazione dell'accesso in lettura a livello di tabella

Il metodo legacy a livello di tabella usa anche ruoli personalizzati di Azure per concedere a utenti o gruppi specifici l'accesso a tabelle specifiche nell'area di lavoro. I ruoli personalizzati di Azure si applicano alle aree di lavoro con modalità di controllo di accesso del contesto dell'area di lavoro o del contesto delle risorse indipendentemente dalla modalità di accesso dell'utente.

Per definire l'accesso a una tabella specifica, creare un ruolo personalizzato:

• Impostare le autorizzazioni utente nella sezione Azioni della definizione del ruolo.
• Usare Microsoft.OperationalInsights/workspaces/query/* per concedere l'accesso a tutte le tabelle.
• Per escludere l'accesso a tabelle specifiche quando si utilizza un carattere jolly in Azioni, elencare le tabelle escluse nella sezione NotActions della definizione del ruolo.

Di seguito sono riportati esempi di azioni di ruolo personalizzate per concedere e negare l'accesso a tabelle specifiche.

Concedere l'accesso alle tabelle Heartbeat e AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Concedere l'accesso solo alla tabella SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Concedere l'accesso a tutte le tabelle tranne la tabella SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Limitazioni del metodo legacy correlato alle tabelle personalizzate

Le tabelle personalizzate archiviano i dati raccolti da origini dati, ad esempio i log di testo e l'API dell'agente di raccolta dati HTTP. Per identificare il tipo di tabella, visualizzare le informazioni sulla tabella in Log Analytics.

Usando il metodo legacy di accesso a livello di tabella, non è possibile concedere l'accesso a singole tabelle di log personalizzate a livello di tabella, ma è possibile concedere l'accesso a tutte le tabelle di log personalizzate. Per creare un ruolo con accesso a tutte le tabelle di log personalizzate, creare un ruolo personalizzato usando le azioni seguenti:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Considerazioni e limitazioni per l'accesso a livello di tabella

• Nell'interfaccia utente di Log Analytics gli utenti con livello di tabella possono visualizzare l'elenco di tutte le tabelle nell'area di lavoro, ma possono recuperare solo i dati dalle tabelle a cui hanno accesso.
• I ruoli lettore o collaboratore standard, che includono l'azione */read , sostituiscono il controllo di accesso a livello di tabella e consentono agli utenti di accedere a tutti i dati di log.
• Un utente con accesso a livello di tabella, ma nessuna autorizzazione a livello di area di lavoro può accedere ai dati di log dall'API, ma non dal portale di Azure.
• Amministrazione istrator e i proprietari della sottoscrizione hanno accesso a tutti i tipi di dati indipendentemente dalle altre impostazioni di autorizzazione.
• I proprietari dell'area di lavoro vengono considerati come qualsiasi altro utente per il controllo di accesso per tabella.
• Assegnare ruoli ai gruppi di sicurezza anziché ai singoli utenti per ridurre il numero di assegnazioni. Questa procedura consente anche di usare gli strumenti di gestione dei gruppi esistenti per configurare e verificare l'accesso.

Passaggi successivi

• Vedere Log Analytics agent overview (Panoramica dell'agente di Log Analytics) per raccogliere dati dai computer nel data center o in un altro ambiente cloud.
• Vedere Raccogliere dati sulle macchine virtuali di Azure per configurare la raccolta dati dalle macchine virtuali di Azure.