Microsoft Sentinel verilerine kaynağa göre erişimi yönetme
Genellikle, Microsoft Sentinel çalışma alanına erişimi olan kullanıcılar güvenlik içeriği de dahil olmak üzere tüm çalışma alanı verilerine de erişebilir. Yöneticiler, ekiplerindeki erişim gereksinimlerine bağlı olarak Microsoft Sentinel'deki belirli özelliklere erişimi yapılandırmak için Azure rollerini kullanabilir.
Ancak, Microsoft Sentinel çalışma alanınızda yalnızca belirli verilere erişmesi gereken ancak Microsoft Sentinel ortamının tamamına erişimi olmaması gereken bazı kullanıcılarınız olabilir. Örneğin, sahip oldukları sunucular için Windows olay verilerine erişimi olan güvenlikle ilgili olmayan işlemler (SOC olmayan) bir ekip sağlamak isteyebilirsiniz.
Böyle durumlarda, rol tabanlı erişim denetiminizi (RBAC) Microsoft Sentinel çalışma alanına veya belirli Microsoft Sentinel özelliklerine erişim sağlamak yerine kullanıcılarınıza izin verilen kaynaklara göre yapılandırmanızı öneririz. Bu yöntem, kaynak bağlamı RBAC'sini ayarlama olarak da bilinir.
Kullanıcılar Microsoft Sentinel çalışma alanı yerine erişebilecekleri kaynaklar aracılığıyla Microsoft Sentinel verilerine eriştiklerinde, aşağıdaki yöntemleri kullanarak günlükleri ve çalışma kitaplarını görüntüleyebilir:
Azure Sanal Makinesi gibi kaynağın kendisi aracılığıyla. Yalnızca belirli bir kaynağın günlüklerini ve çalışma kitaplarını görüntülemek için bu yöntemi kullanın.
Azure İzleyici aracılığıyla. Birden çok kaynağa ve/veya kaynak grubuna yayılan sorgular oluşturmak istediğinizde bu yöntemi kullanın. Azure İzleyici'de günlüklere ve çalışma kitaplarına gezinirken kapsamınızı belirli bir veya daha fazla kaynak grubu veya kaynak olarak tanımlayın.
Azure İzleyici'de kaynak bağlamı RBAC'sini etkinleştirin. Daha fazla bilgi için bkz. Azure İzleyici'de günlük verilerine ve çalışma alanlarına erişimi yönetme.
Not
Verileriniz Syslog, CEF veya AAD verileri gibi bir Azure kaynağı veya özel toplayıcı tarafından toplanan veriler değilse, verileri tanımlamak ve erişimi etkinleştirmek için kullanılan kaynak kimliğini el ile yapılandırmanız gerekir. Daha fazla bilgi için bkz. Kaynak bağlamı RBAC'sini açıkça yapılandırma.
Ayrıca, işlevler ve kaydedilen aramalar kaynak odaklı bağlamlarda desteklenmez. Bu nedenle, Microsoft Sentinel'de kaynak bağlamı RBAC için ayrıştırma ve normalleştirme gibi Microsoft Sentinel özellikleri desteklenmez.
Kaynak bağlamı RBAC senaryoları
Aşağıdaki tabloda, kaynak bağlamı RBAC'nin en yararlı olduğu senaryolar vurgulanır. SOC ekipleri ile SOC dışı ekipler arasındaki erişim gereksinimleri arasındaki farklara dikkat edin.
| Gereksinim türü | SOC ekibi | SOC olmayan ekip |
|---|---|---|
| İzinler | Çalışma alanının tamamı | Yalnızca belirli kaynaklar |
| Veri erişimi | Çalışma alanı içindeki tüm veriler | Yalnızca ekibin erişim yetkisine sahip olduğu kaynaklara ilişkin veriler |
| Deneyim | Tam Microsoft Sentinel deneyimi, büyük olasılıkla kullanıcıya atanan işlevsel izinlerle sınırlıdır | Yalnızca günlük sorguları ve Çalışma Kitapları |
Ekibinizin yukarıdaki tabloda açıklanan SOC olmayan ekiple benzer erişim gereksinimleri varsa, kaynak bağlamı RBAC kuruluşunuz için iyi bir çözüm olabilir.
Kaynak bağlamı RBAC uygulamak için alternatif yöntemler
Kuruluşunuzda gereken izinlere bağlı olarak, kaynak bağlamı RBAC kullanmak tam bir çözüm sağlamayabilir.
Aşağıdaki listede, veri erişimine yönelik diğer çözümlerin gereksinimlerinize daha uygun olabileceği senaryolar açıklanmaktadır:
| Senaryo | Çözüm |
|---|---|
| Yan kuruluşta tam bir Microsoft Sentinel deneyimi gerektiren bir SOC ekibi vardır. | Bu durumda, veri izinlerinizi ayırmak için çok çalışma alanılı bir mimari kullanın. Daha fazla bilgi için bkz. - Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme - Birçok çalışma alanında aynı anda olaylarla çalışma |
| Belirli bir olay türüne erişim sağlamak istiyorsunuz. | Örneğin, bir Windows yöneticisine tüm sistemlerdeki Windows Güvenliği olaylara erişim sağlayın. Böyle durumlarda, her tablonun izinlerini tanımlamak için tablo düzeyinde RBAC kullanın. |
| Erişimi kaynağa göre değil daha ayrıntılı bir düzeyle veya bir olaydaki alanların yalnızca bir alt kümesiyle sınırlayın | Örneğin, erişimi kullanıcının yan kuruluşuna göre Office 365 günlüklere sınırlamak isteyebilirsiniz. Bu durumda, Power BI panoları ve raporlarıyla yerleşik tümleştirmeyi kullanarak verilere erişim sağlayın. |
Kaynak bağlamı RBAC'sini açıkça yapılandırma
Kaynak bağlamı RBAC'sini yapılandırmak istiyorsanız ancak verileriniz bir Azure kaynağı değilse aşağıdaki adımları kullanın.
Örneğin, Microsoft Sentinel çalışma alanınızdaki Azure kaynakları olmayan veriler Syslog, CEF veya AAD verileri ya da özel toplayıcı tarafından toplanan verilerdir.
Kaynak bağlamı RBAC'sini açıkça yapılandırmak için:
Azure İzleyici'de kaynak bağlamı RBAC'sini etkinleştirdiğinizden emin olun.
Microsoft Sentinel ortamının tamamı olmadan kaynaklarınıza erişmesi gereken her kullanıcı ekibi için bir kaynak grubu oluşturun.
Ekip üyelerinin her biri için günlük okuyucu izinleri atayın.
Oluşturduğunuz kaynak ekibi gruplarına kaynak atayın ve olayları ilgili kaynak kimlikleriyle etiketleyin.
Azure kaynakları Microsoft Sentinel'e veri gönderdiğinde, günlük kayıtları otomatik olarak veri kaynağının kaynak kimliğiyle etiketlenir.
İpucu
Erişim verdiğiniz kaynakları, amaç için oluşturulan belirli bir kaynak grubu altında gruplandırmanızı öneririz.
Bunu yapamazsanız, ekibinizin doğrudan erişmesini istediğiniz kaynaklar için günlük okuyucu izinlerine sahip olduğundan emin olun.
Kaynak kimlikleri hakkında daha fazla bilgi için bkz:
Günlük iletme ile kaynak kimlikleri
Olaylar Ortak Olay Biçimi (CEF) veya Syslog kullanılarak toplandığında, birden çok kaynak sistemden olay toplamak için günlük iletme kullanılır.
Örneğin, BIR CEF veya Syslog iletme VM'si Syslog olayları gönderen kaynakları dinlediğinde ve bunları Microsoft Sentinel'e ilettiğinde, günlük iletme VM kaynak kimliği ilettiği tüm olaylara atanır.
Birden çok ekibiniz varsa, her ayrı ekip için olayları işleyen ayrı günlük iletme VM'leriniz olduğundan emin olun.
Örneğin, VM'lerinizi ayırmak, A Ekibine ait Syslog olaylarının toplayıcı VM A kullanılarak toplanmasını sağlar.
İpucu
- Günlük ileticiniz olarak bir şirket içi VM veya AWS gibi başka bir bulut VM'si kullanırken Azure Arc'ı uygulayarak kaynak kimliğine sahip olduğundan emin olun.
- Günlük iletme VM ortamınızı ölçeklendirmek için CEF ve Sylog günlüklerinizi toplamak üzere bir VM ölçek kümesi oluşturmayı göz önünde bulundurun.
Logstash koleksiyonu ile kaynak kimlikleri
Verilerinizi Microsoft Sentinel Logstash çıkış eklentisini kullanarak topluyorsanız, özel toplayıcınızı çıkışınıza kaynak kimliğini dahil etmek üzere yapılandırmak için azure_resource_id alanını kullanın.
Kaynak bağlamı RBAC kullanıyorsanız ve API tarafından toplanan olayların belirli kullanıcıların kullanımına sunulmasını istiyorsanız, kullanıcılarınız için oluşturduğunuz kaynak grubunun kaynak kimliğini kullanın.
Örneğin, aşağıdaki kod örnek bir Logstash yapılandırma dosyasını gösterir:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>
}
}
İpucu
Farklı olaylara uygulanan etiketleri ayırt etmek için birden çok output bölüm eklemek isteyebilirsiniz.
Log Analytics API koleksiyonu ile kaynak kimlikleri
Log Analytics veri toplayıcı API'sini kullanarak toplama yaparken, HTTP x-ms-AzureResourceId istek üst bilgisini kullanarak kaynak kimliğine sahip olaylara atayabilirsiniz.
Kaynak bağlamı RBAC kullanıyorsanız ve API tarafından toplanan olayların belirli kullanıcıların kullanımına sunulmasını istiyorsanız, kullanıcılarınız için oluşturduğunuz kaynak grubunun kaynak kimliğini kullanın.
Sonraki adımlar
Daha fazla bilgi için bkz. Microsoft Sentinel'de İzinler.