Gerenciar o acesso de leitura no nível da tabela em um workspace do Log Analytics

As configurações de acesso no nível da tabela permitem conceder permissão somente leitura a usuários ou grupos específicos a dados em uma tabela. Os usuários com acesso de leitura no nível da tabela podem ler dados das tabelas especificadas no workspace e no contexto do recurso.

Este artigo descreve duas maneiras de gerenciar o acesso de leitura no nível da tabela.

Observação

É recomendável usar o primeiro método descrito aqui, que está atualmente em versão prévia. Durante a versão prévia, o método recomendado descrito aqui não se aplica às Regras de Detecção do Microsoft Sentinel, que podem ter acesso a mais tabelas do que o esperado. Como alternativa, você pode usar o método herdado de configuração do acesso de leitura no nível da tabela, que tem algumas limitações relacionadas a tabelas de log personalizadas. Antes de usar qualquer um dos métodos, confira Considerações e limitações de acesso no nível da tabela.

Definir acesso de leitura no nível da tabela (versão prévia)

A concessão de acesso de leitura no nível da tabela envolve a atribuição de duas funções a um usuário:

• No nível do workspace – uma função personalizada que fornece permissões limitadas para ler detalhes do workspace e executar uma consulta no workspace, mas não para ler dados das tabelas.
• No nível da tabela – uma função Leitor, com escopo para a tabela específica.

Para conceder a um usuário ou grupo permissões limitadas para o workspace do Log Analytics:

1. Crie uma função personalizada no nível do workspace para permitir que os usuários leiam os detalhes do workspace e executem uma consulta no workspace, sem fornecer acesso de leitura aos dados em nenhuma tabela:

   1. Navegue até o workspace e selecione Controle de acesso (IAM)>Funções.

   2. Clique com o botão direito do mouse na função Leitor e selecione Clonar.

      

      Isso abre a tela Criar uma função personalizada.

   3. Na guia Noções básicas da tela:

      1. Insira um valor de Nome de função personalizada e, opcionalmente, forneça uma descrição.
      2. Defina as Permissões de linha de base como Iniciar do zero.

      

   4. Selecione a guia JSON>Editar:

      1. Na seção "actions", adicione estas ações:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. Na seção "not actions", adicione:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selecione Salvar>Revisão + Criar na parte inferior da tela e Criar na próxima página.

2. Atribua sua função personalizada ao usuário relevante:

   1. Selecione IAM (Controle de acesso)>Adicionar>Adicionar atribuição de função.

      

   2. Selecione a função personalizada que você criou e, em seguida, Avançar.

      

      Isso abre a guia Membros da tela Adicionar atribuição de função personalizada.

   3. Clique em + Selecionar membros para abrir a tela Selecionar membros.

      

   4. Pesquise e selecione um usuário e clique em Selecionar.

   5. Selecione Examinar e atribuir.

O usuário agora pode ler detalhes do workspace e executar uma consulta, mas não pode ler dados de nenhuma tabela.

Para conceder ao usuário um acesso de leitura a uma tabela específica:

1. No menu Workspaces do Log Analytics, selecione Tabelas.

2. Selecione as reticências ( ... ) à direita da tabela e selecione Controle de acesso (IAM).

   

3. Na tela Controle de acesso (IAM), selecione Adicionar>Adicionar atribuição de função.

4. Selecione a função Leitor e selecione Avançar.

5. Clique em + Selecionar membros para abrir a tela Selecionar membros.

6. Pesquise e selecione o usuário e clique em Selecionar.

7. Selecione Examinar e atribuir.

Agora, o usuário pode ler dados dessa tabela específica. Conceda ao usuário um acesso de leitura a outras tabelas no workspace, conforme necessário.

Método herdado da configuração de acesso de leitura no nível da tabela

O método herdado de nível de tabela também utiliza as funções personalizadas do Azure para permitir que você conceda a usuários ou grupos específicos acesso a tabelas específicas no espaço de trabalho. As funções personalizadas do Azure se aplicam a workspaces com os modos de controle de acesso de contexto de recurso ou de contexto do workspace, independentemente do modo de acesso do usuário.

Para definir o acesso a uma tabela específica, crie uma função personalizada:

• Defina as permissões do usuário na seção Ações da definição de função.
• Use Microsoft.OperationalInsights/workspaces/query/* para conceder acesso a todas as tabelas.
• Para excluir o acesso a tabelas específicas quando você usa um curinga em Ações, liste as tabelas excluídas nas seção NotActions da definição de função.

Veja a seguir exemplos de ações de função personalizada para conceder e negar acesso a tabelas específicas.

Conceda acesso às tabelas Pulsação e AzureActivity:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Conceda acesso somente à tabela SecurityBaseline:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Conceda acesso a todas as tabelas, exceto SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Limitações do método herdado relacionadas a tabelas personalizadas

As tabelas personalizadas armazenam dados coletados de fontes de dados como logs de texto e a API do coletor de dados HTTP. Para identificar o tipo de tabela, exiba as informações da tabela no Log Analytics.

Usando o método herdado de acesso no nível da tabela, não é possível conceder acesso a tabelas de log personalizadas individuais no nível da tabela, mas é possível conceder acesso a todas as tabelas de log personalizadas. Para criar uma função com acesso a todas as tabelas de logs personalizados, crie uma função personalizada usando as seguintes ações:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Considerações e limitações de acesso no nível da tabela

• Na interface do usuário do Log Analytics, os usuários com nível da tabela podem ver a lista de todas as tabelas no workspace, mas só podem recuperar dados de tabelas às quais têm acesso.
• As funções de Leitor ou Colaborador padrão, que incluem a ação */read, substituem o controle de acesso no nível da tabela e dão aos usuários acesso a todos os dados de log.
• Um usuário com acesso no nível da tabela, mas sem permissões no nível do workspace, pode acessar dados de log da API, mas não do portal do Microsoft Azure.
• Os administradores e proprietários da assinatura tem acesso a todos os tipos de dados, independentemente de qualquer outra configuração de permissão.
• Os proprietários do workspace são tratados como qualquer outro usuário para o controle de acesso por tabela.
• Recomendamos atribuir funções a grupos de segurança em vez de usuários individuais para reduzir o número de atribuições. Isso também ajudará você a usar as ferramentas de gerenciamento de grupo existentes para configurar e verificar o acesso.

Próximas etapas

• Saiba mais sobre como gerenciar o acesso aos workspaces do Log Analytics.