Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Доступ к рабочей области управляется с помощью Azure RBAC. Как правило, пользователи, имеющие доступ к рабочей области Log Analytics, включенной для Microsoft Sentinel также имеют доступ ко всем данным рабочей области, включая содержимое системы безопасности. Администраторы могут использовать Azure роли для настройки доступа к определенным функциям в Microsoft Sentinel в зависимости от требований к доступу в команде.
Однако у вас могут быть некоторые пользователи, которым требуется доступ только к определенным данным в рабочей области, но не должны иметь доступа ко всей среде Microsoft Sentinel. Например, может потребоваться предоставить команде, не относящейся к безопасности (не SOC), доступ к данным событий Windows для серверов, которыми она владеет.
В таких случаях рекомендуется настраивать управление доступом на основе ролей (RBAC) на основе ресурсов, которые разрешены пользователям, а не предоставлять им доступ к рабочей области или определенным функциям Microsoft Sentinel. Этот метод также называется настройкой RBAC контекста ресурса.
Когда пользователи имеют доступ к Microsoft Sentinel данным через ресурсы, к которых они могут получить доступ, а не к рабочей области, они могут просматривать журналы и книги с помощью следующих методов:
Через сам ресурс, например виртуальную машину Azure. Используйте этот метод для просмотра журналов и книг только для определенного ресурса.
Через монитор Azure. Используйте этот метод, если требуется создать запросы, охватывающие несколько ресурсов и (или) групп ресурсов. При переходе к журналам и книгам в Azure Monitor определите область для одной или нескольких конкретных групп ресурсов или ресурсов.
Включите контекст ресурсов RBAC в Azure Monitor. Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.
Примечание.
Если данные не являются Azure ресурсом, например Syslog, CEF или Microsoft Entra ID данными, либо данными, собранными пользовательским сборщиком, необходимо вручную настроить идентификатор ресурса, используемый для идентификации данных и включения доступа. Дополнительные сведения см. в разделе Явная настройка контекста ресурсов RBAC для ресурсов, не Azure.
Кроме того, функции и сохраненные поисковые запросы не поддерживаются в контекстах, ориентированных на ресурсы. Таким образом, Microsoft Sentinel функции, такие как синтаксический анализ и нормализация, не поддерживаются для RBAC с контекстом ресурсов в Microsoft Sentinel.
Сценарии для контекста ресурсов RBAC
В следующей таблице показаны сценарии, в которых RBAC с контекстом ресурсов является наиболее полезным. Обратите внимание на различия в требованиях к доступу между командами SOC и другими командами.
| Тип требования | Команда SOC | Команда, не относясь к SOC |
|---|---|---|
| Разрешения | Вся рабочая область | Только определенные ресурсы |
| Доступ к данным | Все данные в рабочей области | Только данные для ресурсов, доступ к которым у команды |
| Интерфейс | Полный интерфейс Microsoft Sentinel, возможно ограниченный функциональными разрешениями, назначенными пользователю | Только запросы и книги журнала |
Если у вашей команды аналогичные требования к доступу к команде, не относяющейся к SOC, описанной в таблице выше, RBAC с контекстом ресурсов может быть хорошим решением для вашей организации.
Например, на следующем рисунке показана упрощенная версия архитектуры рабочей области, в которой группам безопасности и эксплуатации требуется доступ к разным наборам данных, а контекст ресурсов RBAC используется для предоставления необходимых разрешений.
На этом рисунке:
- Рабочая область Log Analytics, включенная для Microsoft Sentinel, размещается в отдельной подписке, чтобы лучше изолировать разрешения от подписки, которую команды приложений используют для размещения своих рабочих нагрузок.
- Командам приложений предоставляется доступ к соответствующим группам ресурсов, где они могут управлять своими ресурсами.
Эта отдельная подписка и контекст ресурсов RBAC позволяет этим командам просматривать журналы, созданные любыми ресурсами, к которым у них есть доступ, даже если журналы хранятся в рабочей области, где у них нет прямого доступа. Команды приложений могут получить доступ к своим журналам через область Журналы портал Azure, чтобы отобразить журналы для определенного ресурса, или через монитор Azure, чтобы отобразить все журналы, к которые они могут получить доступ одновременно.
Явная настройка контекста ресурсов RBAC для ресурсов, не Azure
Azure ресурсы имеют встроенную поддержку контекста ресурсов RBAC, но при работе с ресурсами, не Azure, может потребоваться дополнительная точная настройка. Например, данные в рабочей области Log Analytics, включенные для Microsoft Sentinel, которые не являются Azure ресурсами, включают данные syslog, CEF или AAD или данные, собранные пользовательским сборщиком.
Выполните следующие действия, если вы хотите настроить RBAC с контекстом ресурса, но данные не являются Azure ресурсом.
Чтобы явно настроить RBAC контекста ресурсов, выполните следующие действия:
Убедитесь, что вы включили контекст ресурсов RBAC в Azure Monitor.
Создайте группу ресурсов для каждой команды пользователей, которым требуется доступ к ресурсам без всей среды Microsoft Sentinel.
Назначьте разрешения на чтение журнала каждому из участников команды.
Назначьте ресурсы созданным группам групп ресурсов и пометьте события с помощью соответствующих идентификаторов ресурсов.
Когда Azure ресурсы отправляют данные в Microsoft Sentinel, записи журнала автоматически помечаются идентификатором ресурса источника данных.
Совет
Рекомендуется сгруппировать ресурсы, которым вы предоставляете доступ, в определенную группу ресурсов, созданную для этой цели.
Если вы не можете, убедитесь, что у вашей команды есть разрешения на чтение журналов непосредственно к ресурсам, к которым вы хотите получить доступ.
Дополнительные сведения об идентификаторах ресурсов см. в разделе:
Идентификаторы ресурсов с переадресовкой журналов
Если события собираются с помощью общего формата событий (CEF) или системного журнала, переадресация журналов используется для сбора событий из нескольких исходных систем.
Например, когда виртуальная машина пересылки CEF или syslog прослушивает источники, отправляющие события syslog, и пересылает их в Microsoft Sentinel, идентификатор ресурса виртуальной машины переадресации журналов назначается всем событиям, которые они перенаправляли.
Если у вас несколько команд, убедитесь, что у вас есть отдельные виртуальные машины переадресации журналов, обрабатывающие события для каждой отдельной команды.
Например, разделение виртуальных машин гарантирует, что события системного журнала, принадлежащие команде A, собираются с помощью виртуальной машины сборщика A.
Совет
- При использовании локальной или другой облачной виртуальной машины, например AWS, в качестве средства пересылки журналов убедитесь, что у нее есть идентификатор ресурса, реализовав Azure Arc.
- Чтобы масштабировать среду виртуальной машины переадресации журналов, рассмотрите возможность создания масштабируемого набора виртуальных машин для сбора журналов CEF и Syslog.
Идентификаторы ресурсов с коллекцией Logstash
Если вы собираете данные с помощью подключаемого модуля вывода Microsoft Sentinel Logstash, используйте поле azure_resource_id, чтобы настроить настраиваемый сборщик для включения идентификатора ресурса в выходные данные.
Если вы используете контекст ресурсов RBAC и хотите, чтобы события, собранные API, были доступны определенным пользователям, используйте идентификатор ресурса группы ресурсов, созданной для пользователей.
Например, в следующем коде показан пример файла конфигурации Logstash:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contosotest" # <your resource ID>
}
}
Совет
Может потребоваться добавить несколько output разделов, чтобы различать теги, применяемые к разным событиям.
Идентификаторы ресурсов с коллекцией API Log Analytics
При сборе с помощью API сборщика данных Log Analytics можно назначить событиям с идентификатором ресурса с помощью заголовка запроса HTTP x-ms-AzureResourceId .
Если вы используете контекст ресурсов RBAC и хотите, чтобы события, собранные API, были доступны определенным пользователям, используйте идентификатор ресурса группы ресурсов, созданной для пользователей.
Альтернативы RBAC с контекстом ресурсов
В зависимости от разрешений, необходимых в вашей организации, использование контекста ресурсов RBAC может не предоставить полное решение. Например, учтите, должна ли организация, архитектура которой описана в предыдущем разделе, также предоставлять доступ к журналам Office 365 группе внутреннего аудита. В этом случае они могут использовать RBAC на уровне таблицы , чтобы предоставить группе аудита доступ ко всей таблице OfficeActivity без предоставления разрешений для любой другой таблицы.
В следующем списке описаны сценарии, в которых другие решения для доступа к данным могут лучше соответствовать вашим требованиям.
| Сценарий | Решение |
|---|---|
| У дочерней компании есть команда SOC, которая требует полного Microsoft Sentinel опыта. | В этом случае используйте архитектуру с несколькими рабочими областями для разделения разрешений на доступ к данным. Дополнительные сведения см. в разделе: |
| Вы хотите предоставить доступ к определенному типу событий. | Например, предоставьте администратору Windows доступ к событиям Безопасность Windows во всех системах. В таких случаях используйте RBAC на уровне таблицы , чтобы определить разрешения для каждой таблицы. |
| Ограничьте доступ более детализированным уровнем, не основанным на ресурсе, или только подмножеством полей в событии | Например, может потребоваться ограничить доступ к Office 365 журналам на основе дочернего пользователя. В этом случае предоставьте доступ к данным с помощью встроенной интеграции с панелями мониторинга и отчетами Power BI. |
| Ограничение доступа по группе управления | Разместите Microsoft Sentinel в отдельной группе управления, предназначенной для обеспечения безопасности, гарантируя, что членам группы наследуются только минимальные разрешения. В группе безопасности назначьте разрешения разным группам в соответствии с каждой функцией группы. Так как все команды имеют доступ ко всей рабочей области, они будут иметь доступ к полному интерфейсу Microsoft Sentinel, ограниченному только назначенными Microsoft Sentinel ролями. Дополнительные сведения см. в разделе Разрешения в Microsoft Sentinel. |
Связанные материалы
Дополнительные сведения см. в разделе: