Leestoegang op tabelniveau beheren in een Log Analytics-werkruimte

Met toegangsinstellingen op tabelniveau kunt u specifieke gebruikers of groepen alleen-lezenmachtigingen verlenen voor gegevens in een tabel. Gebruikers met leestoegang op tabelniveau kunnen gegevens lezen uit de opgegeven tabel in zowel de werkruimte als de resourcecontext.

In dit artikel worden twee manieren beschreven om leestoegang op tabelniveau te beheren.

Notitie

We raden u aan de eerste methode te gebruiken die hier wordt beschreven, die momenteel in preview is. Tijdens de preview is de aanbevolen methode die hier wordt beschreven, niet van toepassing op Detectieregels voor Microsoft Sentinel, die mogelijk toegang hebben tot meer tabellen dan bedoeld. U kunt ook de verouderde methode gebruiken om leestoegang op tabelniveau in te stellen. Dit heeft enkele beperkingen met betrekking tot aangepaste logboektabellen. Zie overwegingen en beperkingen voor toegang op tabelniveau voordat u een van beide methoden gebruikt.

Leestoegang op tabelniveau instellen (preview)

Het verlenen van leestoegang op tabelniveau omvat het toewijzen van twee rollen aan een gebruiker:

• Op werkruimteniveau: een aangepaste rol die beperkte machtigingen biedt om werkruimtegegevens te lezen en een query uit te voeren in de werkruimte, maar geen gegevens uit tabellen te lezen.
• Op tabelniveau- een lezerrol , die is afgestemd op de specifieke tabel.

Een gebruiker of groep beperkte machtigingen verlenen aan de Log Analytics-werkruimte:

1. Maak een aangepaste rol op werkruimteniveau zodat gebruikers werkruimtegegevens kunnen lezen en een query kunnen uitvoeren in de werkruimte, zonder leestoegang tot gegevens in tabellen te bieden:

   1. Navigeer naar uw werkruimte en selecteer Toegangsbeheer (IAM)>-rollen.

   2. Klik met de rechtermuisknop op de rol Lezer en selecteer Klonen.

      

      Hiermee opent u het scherm Een aangepaste rol maken.

   3. Op het tabblad Basisbeginselen van het scherm:

      1. Voer een waarde voor de naam van een aangepaste rol in en geef desgewenst een beschrijving op.
      2. Stel basislijnmachtigingen in op Helemaal opnieuw beginnen.

      

   4. Selecteer het tabblad >JSON Bewerken:

      1. Voeg in de "actions" sectie deze acties toe:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. Voeg in de "not actions" sectie het volgende toe:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selecteer Controle opslaan>en maken onder aan het scherm en maak vervolgens op de volgende pagina.

2. Wijs uw aangepaste rol toe aan de relevante gebruiker:

   1. Selecteer Toegangsbeheer (AIM)>Roltoewijzing toevoegen.>

      

   2. Selecteer de aangepaste rol die u hebt gemaakt en selecteer Volgende.

      

      Hiermee opent u het tabblad Leden van het scherm Aangepaste roltoewijzing toevoegen.

   3. Klik op + Leden selecteren om het scherm Leden selecteren te openen.

      

   4. Zoek en selecteer een gebruiker en klik op Selecteren.

   5. Selecteer Controleren en toewijzen.

De gebruiker kan nu werkruimtegegevens lezen en een query uitvoeren, maar kan geen gegevens uit tabellen lezen.

De gebruiker leestoegang verlenen tot een specifieke tabel:

1. Selecteer Tabellen in het menu Log Analytics-werkruimten.

2. Selecteer het beletselteken (... ) rechts van de tabel en selecteer Toegangsbeheer (IAM).

   

3. Selecteer In het scherm Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen>.

4. Selecteer de rol Lezer en selecteer Volgende.

5. Klik op + Leden selecteren om het scherm Leden selecteren te openen.

6. Zoek en selecteer de gebruiker en klik op Selecteren.

7. Selecteer Controleren en toewijzen.

De gebruiker kan nu gegevens uit deze specifieke tabel lezen. Verdeel de gebruiker indien nodig leestoegang tot andere tabellen in de werkruimte.

Verouderde methode voor het instellen van leestoegang op tabelniveau

De verouderde methode op tabelniveau maakt ook gebruik van aangepaste Azure-rollen om specifieke gebruikers of groepen toegang te verlenen tot specifieke tabellen in de werkruimte. Aangepaste Azure-rollen zijn van toepassing op werkruimten met toegangsbeheermodi voor werkruimtecontext of resourcecontext, ongeacht de toegangsmodus van de gebruiker.

Als u toegang tot een bepaalde tabel wilt definiëren, maakt u een aangepaste rol:

• Stel de gebruikersmachtigingen in de sectie Acties van de roldefinitie in.
• Hiermee Microsoft.OperationalInsights/workspaces/query/* verleent u toegang tot alle tabellen.
• Als u de toegang tot specifieke tabellen wilt uitsluiten wanneer u een jokerteken gebruikt in Acties, vermeldt u de tabellen die zijn uitgesloten tabellen in de sectie NotActions van de roldefinitie.

Hier volgen voorbeelden van aangepaste rolacties voor het verlenen en weigeren van toegang tot specifieke tabellen.

Toegang verlenen tot de heartbeat - en AzureActivity-tabellen :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Alleen toegang verlenen tot de SecurityBaseline-tabel :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Toegang verlenen tot alle tabellen behalve de tabel SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Beperkingen van de verouderde methode met betrekking tot aangepaste tabellen

In aangepaste tabellen worden gegevens opgeslagen die u verzamelt uit gegevensbronnen, zoals tekstlogboeken en de HTTP-gegevensverzamelaar-API. Als u het tabeltype wilt identificeren, bekijkt u tabelgegevens in Log Analytics.

Met behulp van de verouderde methode voor toegang op tabelniveau kunt u geen toegang verlenen tot afzonderlijke aangepaste logboektabellen op tabelniveau, maar u kunt wel toegang verlenen tot alle aangepaste logboektabellen. Als u een rol wilt maken met toegang tot alle aangepaste logboektabellen, maakt u een aangepaste rol met behulp van de volgende acties:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Overwegingen en beperkingen voor toegang op tabelniveau

• In de Log Analytics-gebruikersinterface kunnen gebruikers met tabelniveau de lijst met alle tabellen in de werkruimte zien, maar kunnen ze alleen gegevens ophalen uit tabellen waartoe ze toegang hebben.
• De standaardrol Lezer of Inzender, waaronder de actie */lezen , overschrijft toegangsbeheer op tabelniveau en geeft gebruikers toegang tot alle logboekgegevens.
• Een gebruiker met toegang op tabelniveau, maar geen machtigingen op werkruimteniveau heeft toegang tot logboekgegevens van de API, maar niet vanuit Azure Portal.
• Beheerders en eigenaren van het abonnement hebben toegang tot alle gegevenstypen, ongeacht andere machtigingsinstellingen.
• Werkruimte-eigenaren worden behandeld als elke andere gebruiker voor toegangsbeheer per tabel.
• Wijs rollen toe aan beveiligingsgroepen in plaats van afzonderlijke gebruikers om het aantal toewijzingen te verminderen. Deze procedure helpt u ook bij het gebruik van bestaande hulpprogramma's voor groepsbeheer om de toegang te configureren en te verifiëren.

Volgende stappen

• Meer informatie over het beheren van toegang tot Log Analytics-werkruimten.