Hantera åtkomst till Microsoft Sentinel-data efter resurs

Artikel
06/01/2023

Vanligtvis har användare som har åtkomst till en Microsoft Sentinel-arbetsyta också åtkomst till alla arbetsytedata, inklusive säkerhetsinnehåll. Administratörer kan använda Azure-roller för att konfigurera åtkomst till specifika funktioner i Microsoft Sentinel, beroende på åtkomstkraven i teamet.

Du kan dock ha vissa användare som bara behöver komma åt specifika data på din Microsoft Sentinel-arbetsyta, men som inte ska ha åtkomst till hela Microsoft Sentinel-miljön. Du kanske till exempel vill ge ett icke-SÄKERHETSÅTGÄRDER-team (icke-SOC) åtkomst till Windows-händelsedata för de servrar som de äger.

I sådana fall rekommenderar vi att du konfigurerar din rollbaserade åtkomstkontroll (RBAC) baserat på de resurser som tillåts för dina användare, i stället för att ge dem åtkomst till Microsoft Sentinel-arbetsytan eller specifika Microsoft Sentinel-funktioner. Den här metoden kallas även för att konfigurera RBAC för resurskontext.

När användare har åtkomst till Microsoft Sentinel-data via de resurser som de kan komma åt i stället för Microsoft Sentinel-arbetsytan kan de visa loggar och arbetsböcker med hjälp av följande metoder:

Via själva resursen, till exempel en virtuell Azure-dator. Använd den här metoden om du bara vill visa loggar och arbetsböcker för en viss resurs.
Via Azure Monitor. Använd den här metoden när du vill skapa frågor som sträcker sig över flera resurser och/eller resursgrupper. När du navigerar till loggar och arbetsböcker i Azure Monitor definierar du omfånget till en eller flera specifika resursgrupper eller resurser.

Aktivera RBAC för resurskontext i Azure Monitor. Mer information finns i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor.

Anteckning

Om dina data inte är en Azure-resurs, till exempel Syslog-, CEF- eller AAD-data eller data som samlas in av en anpassad insamlare, måste du manuellt konfigurera resurs-ID:t som används för att identifiera data och aktivera åtkomst. Mer information finns i Konfigurera RBAC för resurskontext explicit.

Dessutom stöds inte funktioner och sparade sökningar i resurscentrerade kontexter. Därför stöds inte Microsoft Sentinel-funktioner som parsning och normalisering för RBAC för resurskontext i Microsoft Sentinel.

Scenarier för RBAC med resurskontext

I följande tabell visas de scenarier där RBAC med resurskontext är mest användbart. Observera skillnaderna i åtkomstkrav mellan SOC-team och icke-SOC-team.

Kravtyp	SOC-team	Icke-SOC-team
Behörigheter	Hela arbetsytan	Endast specifika resurser
Dataåtkomst	Alla data på arbetsytan	Endast data för resurser som teamet har behörighet att komma åt
Erfarenhet	Den fullständiga Microsoft Sentinel-upplevelsen, eventuellt begränsad av de funktionsbehörigheter som tilldelats användaren	Endast loggfrågor och arbetsböcker

Om ditt team har liknande åtkomstkrav som det icke-SOC-team som beskrivs i tabellen ovan kan RBAC med resurskontext vara en bra lösning för din organisation.

Alternativa metoder för att implementera RBAC för resurskontext

Beroende på vilka behörigheter som krävs i din organisation kan det hända att rbac med resurskontext inte ger en fullständig lösning.

I följande lista beskrivs scenarier där andra lösningar för dataåtkomst kan passa dina behov bättre:

Scenario	Lösning
Ett dotterbolag har ett SOC-team som kräver en fullständig Microsoft Sentinel-upplevelse.	I det här fallet använder du en arkitektur för flera arbetsytor för att separera dina databehörigheter. Mer information finns i: - Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer - Arbeta med incidenter på många arbetsytor samtidigt
Du vill ge åtkomst till en viss typ av händelse.	Ge till exempel en Windows-administratör åtkomst till Windows-säkerhet händelser i alla system. I sådana fall använder du RBAC på tabellnivå för att definiera behörigheter för varje tabell.
Begränsa åtkomsten till en mer detaljerad nivå, antingen inte baserat på resursen eller till endast en delmängd av fälten i en händelse	Du kanske till exempel vill begränsa åtkomsten till Office 365 loggar baserat på en användares dotterbolag. I det här fallet ger du åtkomst till data med inbyggd integrering med Power BI-instrumentpaneler och -rapporter.

Konfigurera rbac för resurskontext explicit

Använd följande steg om du vill konfigurera RBAC för resurskontext, men dina data är inte en Azure-resurs.

Data på din Microsoft Sentinel-arbetsyta som inte är Azure-resurser kan till exempel vara Syslog-, CEF- eller AAD-data eller data som samlas in av en anpassad insamlare.

Så här konfigurerar du rbac för resurskontext explicit:

Kontrollera att du har aktiverat RBAC för resurskontext i Azure Monitor.
Skapa en resursgrupp för varje team med användare som behöver åtkomst till dina resurser utan hela Microsoft Sentinel-miljön.

Tilldela loggläsarbehörigheter för var och en av teammedlemmarna.
Tilldela resurser till de resursgruppsgrupper som du skapade och tagga händelser med relevanta resurs-ID:t.

När Azure-resurser skickar data till Microsoft Sentinel märks loggposterna automatiskt med datakällans resurs-ID.

Tips

Vi rekommenderar att du grupperar de resurser som du beviljar åtkomst för under en specifik resursgrupp som skapats för ändamålet.

Om du inte kan kontrollerar du att ditt team har loggläsarbehörigheter direkt till de resurser som du vill att de ska komma åt.

Mer information om resurs-ID:t finns i:

Resurs-ID:t med loggvidarebefordring

När händelser samlas in med Common Event Format (CEF) eller Syslog används loggvidarebefordring för att samla in händelser från flera källsystem.

När till exempel en VIRTUELL DATOR med CEF- eller Syslog-vidarebefordran lyssnar efter källor som skickar Syslog-händelser och vidarebefordrar dem till Microsoft Sentinel tilldelas resurs-ID:t för vidarebefordran av virtuella datorer till alla händelser som de vidarebefordrar.

Om du har flera team kontrollerar du att du har separata virtuella datorer för loggvidarebefordring som bearbetar händelserna för varje separat team.

Om du till exempel separerar dina virtuella datorer ser du till att Syslog-händelser som tillhör team A samlas in med hjälp av den virtuella datorinsamlaren A.

Tips

När du använder en lokal virtuell dator eller en annan virtuell dator i molnet, till exempel AWS som loggvidarebefordrare, kontrollerar du att den har ett resurs-ID genom att implementera Azure Arc.
Om du vill skala loggvidarebefordringsmiljön för virtuella datorer kan du skapa en VM-skalningsuppsättning för att samla in dina CEF- och Sylog-loggar.

Resurs-ID:t med Logstash-samling

Om du samlar in dina data med hjälp av plugin-programmet för Microsoft Sentinel Logstash-utdata använder du fältet azure_resource_id för att konfigurera din anpassade insamlare så att resurs-ID:t inkluderas i dina utdata.

Om du använder resurskontext-RBAC och vill att de händelser som samlas in av API:et ska vara tillgängliga för specifika användare använder du resurs-ID:t för den resursgrupp som du skapade för dina användare.

Följande kod visar till exempel en Logstash-konfigurationsfil:

 input {
     beats {
         port => "5044"
     }
 }
 filter {
 }
 output {
     microsoft-logstash-output-azure-loganalytics {
       workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
       workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
       custom_log_table_name => "tableName"
       azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>   
     }
 }

Tips

Du kanske vill lägga till flera output avsnitt för att särskilja de taggar som tillämpas på olika händelser.

Resurs-ID:n med Log Analytics API-samlingen

När du samlar in med Log Analytics-API:et för datainsamlare kan du tilldela händelser med ett resurs-ID med hjälp av begärandehuvudet HTTP x-ms-AzureResourceId .

Nästa steg

Mer information finns i Behörigheter i Microsoft Sentinel.