Eventos
Crie aplicativos e agentes de IA
17 de mar., 21 - 21 de mar., 10
Junte-se à série de encontros para criar soluções de IA escaláveis com base em casos de uso do mundo real com outros desenvolvedores e especialistas.
Registrar agoraGerenciar o acesso de leitura no nível da tabela em um workspace do Log Analytics
As configurações de acesso no nível da tabela permitem conceder permissão somente leitura a usuários ou grupos específicos a dados em uma tabela. Os usuários com acesso de leitura no nível da tabela podem ler dados das tabelas especificadas no workspace e no contexto do recurso.
Este artigo descreve duas maneiras de gerenciar o acesso de leitura no nível da tabela.
Observação
É recomendável usar o primeiro método descrito aqui, que está atualmente em versão prévia. Durante a versão prévia, o método recomendado descrito aqui não se aplica às Regras de Detecção do Microsoft Sentinel, que podem ter acesso a mais tabelas do que o esperado. Como alternativa, você pode usar o método herdado de configuração do acesso de leitura no nível da tabela, que tem algumas limitações relacionadas a tabelas de log personalizadas. Antes de usar qualquer um dos métodos, confira Considerações e limitações de acesso no nível da tabela.
A concessão de acesso de leitura no nível da tabela envolve a atribuição de duas funções a um usuário:
- No nível do workspace – uma função personalizada que fornece permissões limitadas para ler detalhes do workspace e executar uma consulta no workspace, mas não para ler dados das tabelas.
- No nível da tabela – uma função Leitor, com escopo para a tabela específica.
Para conceder a um usuário ou grupo permissões limitadas para o workspace do Log Analytics:
Crie uma função personalizada no nível do workspace para permitir que os usuários leiam os detalhes do workspace e executem uma consulta no workspace, sem fornecer acesso de leitura aos dados em nenhuma tabela:
Navegue até o workspace e selecione Controle de acesso (IAM)>Funções.
Clique com o botão direito do mouse na função Leitor e selecione Clonar.
Isso abre a tela Criar uma função personalizada.
Na guia Noções básicas da tela:
- Insira um valor de Nome de função personalizada e, opcionalmente, forneça uma descrição.
- Defina as Permissões de linha de base como Iniciar do zero.
Selecione a guia JSON>Editar:
Na seção
"actions", adicione estas ações:JSON"Microsoft.OperationalInsights/workspaces/read", "Microsoft.OperationalInsights/workspaces/query/read"Na seção
"not actions", adicione:JSON"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
Selecione Salvar>Revisão + Criar na parte inferior da tela e Criar na próxima página.
Atribua sua função personalizada ao usuário relevante:
Selecione IAM (Controle de acesso)>Adicionar>Adicionar atribuição de função.
Selecione a função personalizada que você criou e, em seguida, Avançar.
Isso abre a guia Membros da tela Adicionar atribuição de função personalizada.
Clique em + Selecionar membros para abrir a tela Selecionar membros.
Pesquise e selecione um usuário e clique em Selecionar.
Selecione Examinar e atribuir.
O usuário agora pode ler detalhes do workspace e executar uma consulta, mas não pode ler dados de nenhuma tabela.
Para conceder ao usuário um acesso de leitura a uma tabela específica:
No menu Workspaces do Log Analytics, selecione Tabelas.
Selecione as reticências ( ... ) à direita da tabela e selecione Controle de acesso (IAM).
Na tela Controle de acesso (IAM), selecione Adicionar>Adicionar atribuição de função.
Selecione a função Leitor e selecione Avançar.
Clique em + Selecionar membros para abrir a tela Selecionar membros.
Pesquise e selecione o usuário e clique em Selecionar.
Selecione Examinar e atribuir.
Agora, o usuário pode ler dados dessa tabela específica. Conceda ao usuário um acesso de leitura a outras tabelas no workspace, conforme necessário.
O método herdado de nível de tabela também utiliza as funções personalizadas do Azure para permitir que você conceda a usuários ou grupos específicos acesso a tabelas específicas no espaço de trabalho. As funções personalizadas do Azure se aplicam a workspaces com os modos de controle de acesso de contexto de recurso ou de contexto do workspace, independentemente do modo de acesso do usuário.
Para definir o acesso a uma tabela específica, crie uma função personalizada:
- Defina as permissões do usuário na seção Ações da definição de função.
- Use
Microsoft.OperationalInsights/workspaces/query/*para conceder acesso a todas as tabelas. - Para excluir o acesso a tabelas específicas quando você usa um curinga em Ações, liste as tabelas excluídas nas seção NotActions da definição de função.
Veja a seguir exemplos de ações de função personalizada para conceder e negar acesso a tabelas específicas.
Conceda acesso às tabelas Pulsação e AzureActivity:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
"Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
],
Conceda acesso somente à tabela SecurityBaseline:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],
Conceda acesso a todas as tabelas, exceto SecurityAlert:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],
As tabelas personalizadas armazenam dados coletados de fontes de dados como logs de texto e a API do coletor de dados HTTP. Para identificar o tipo de tabela, exiba as informações da tabela no Log Analytics.
Usando o método herdado de acesso no nível da tabela, não é possível conceder acesso a tabelas de log personalizadas individuais no nível da tabela, mas é possível conceder acesso a todas as tabelas de log personalizadas. Para criar uma função com acesso a todas as tabelas de logs personalizados, crie uma função personalizada usando as seguintes ações:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],
- Na interface do usuário do Log Analytics, os usuários com nível da tabela podem ver a lista de todas as tabelas no workspace, mas só podem recuperar dados de tabelas às quais têm acesso.
- As funções de Leitor ou Colaborador padrão, que incluem a ação */read, substituem o controle de acesso no nível da tabela e dão aos usuários acesso a todos os dados de log.
- Um usuário com acesso no nível da tabela, mas sem permissões no nível do workspace, pode acessar dados de log da API, mas não do portal do Microsoft Azure.
- Os administradores e proprietários da assinatura tem acesso a todos os tipos de dados, independentemente de qualquer outra configuração de permissão.
- Os proprietários do workspace são tratados como qualquer outro usuário para o controle de acesso por tabela.
- Recomendamos atribuir funções a grupos de segurança em vez de usuários individuais para reduzir o número de atribuições. Isso também ajudará você a usar as ferramentas de gerenciamento de grupo existentes para configurar e verificar o acesso.
- Saiba mais sobre como gerenciar o acesso aos workspaces do Log Analytics.
Recursos adicionais
Treinamento
Módulo
Consultar logs no Microsoft Azure Sentinel - Training
Consultar logs no Microsoft Azure Sentinel
Certificação
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.