إدارة الوصول إلى بيانات Microsoft Sentinel حسب المورد

  • مقالة
  • قراءة خلال 5 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

عادة ما يكون للمستخدمين الذين لديهم حق الوصول إلى مساحة عمل Microsoft Sentinel أيضا حق الوصول إلى كافة بيانات مساحة العمل، بما في ذلك محتوى الأمان. يمكن للمسؤولين استخدام أدوار Azure لتكوين الوصول إلى ميزات معينة في Microsoft Sentinel، استنادا إلى متطلبات الوصول في فريقهم.

ومع ذلك، قد يكون لديك بعض المستخدمين الذين يحتاجون إلى الوصول إلى بيانات محددة فقط في مساحة عمل Microsoft Sentinel، ولكن لا ينبغي أن يكون لديهم حق الوصول إلى بيئة Microsoft Sentinel بأكملها. على سبيل المثال، قد ترغب في تزويد فريق عمليات غير متعلقة بالأمان (غير SOC) بإمكانية الوصول إلى بيانات أحداث Windows للخوادم التي يمتلكونها.

في مثل هذه الحالات، نوصي بتكوين التحكم في الوصول المستند إلى الدور (RBAC) استنادا إلى الموارد المسموح بها للمستخدمين، بدلا من تزويدهم بإمكانية الوصول إلى مساحة عمل Microsoft Sentinel أو ميزات Microsoft Sentinel محددة. تعرف هذه الطريقة أيضا باسم إعداد RBAC في سياق الموارد.

عندما يتمكن المستخدمون من الوصول إلى بيانات Microsoft Sentinel عبر الموارد التي يمكنهم الوصول إليها بدلا من مساحة عمل Microsoft Sentinel، يمكنهم عرض السجلات والمصنفات باستخدام الطرق التالية:

  • عبر المورد نفسه، مثل جهاز Azure الظاهري. استخدم هذه الطريقة لعرض السجلات والمصنفات لمورد معين فقط.

  • Via Azure Monitor. استخدم هذه الطريقة عندما تريد إنشاء استعلامات تمتد عبر موارد و/أو مجموعات موارد متعددة. عند الانتقال إلى السجلات والمصنفات في Azure Monitor، حدد نطاقك إلى مجموعة أو موارد محددة واحدة أو أكثر.

تمكين RBAC سياق الموارد في Azure Monitor. لمزيد من المعلومات، راجع إدارة الوصول إلى بيانات السجل ومساحات العمل في Azure Monitor.

ملاحظة

إذا لم تكن بياناتك موردا من Azure، مثل Syslog أو CEF أو بيانات AAD (دليل Azure النشط)، أو البيانات التي تم جمعها بواسطة جامع مخصص، فستحتاج إلى تكوين معرف المورد المستخدم يدويا لتحديد البيانات وتمكين الوصول. لمزيد من المعلومات، راجع تكوين RBAC سياق الموارد بشكل صريح.

بالإضافة إلى ذلك، لا يتم دعم الوظائف وعمليات البحث المحفوظة في السياقات التي تركز على الموارد. لذلك، ميزات Microsoft Sentinel مثل التحليل والتطبيع غير معتمدة ل RBAC سياق الموارد في Microsoft Sentinel.

سيناريوهات RBAC في سياق الموارد

يسلط الجدول التالي الضوء على السيناريوهات التي يكون فيها RBAC في سياق الموارد مفيدا للغاية. لاحظ الاختلافات في متطلبات الوصول بين فرق SOC والفرق غير SOC.

نوع المتطلب فريق SOC فريق غير SOC
الأذونات مساحة العمل بأكملها موارد محددة فقط
الوصول إلى البيانات جميع البيانات في مساحة العمل بيانات الموارد المصرح للفريق بالوصول إليها فقط
تجربة المستخدم تجربة Microsoft Sentinel الكاملة، والتي ربما تكون محدودة بالأذونات الوظيفية المعينة للمستخدم استعلامات السجل والمصنفات فقط

إذا كان لدى فريقك متطلبات وصول مماثلة للفريق غير SOC الموضح في الجدول أعلاه، فقد يكون RBAC في سياق الموارد حلا جيدا لمؤسستك.

الأساليب البديلة لتنفيذ المكتب الإقليمي لآسيا والمحيط الهادئ في سياق الموارد

استنادا إلى الأذونات المطلوبة في مؤسستك، قد لا يوفر استخدام RBAC في سياق الموارد حلا كاملا.

توضح القائمة التالية السيناريوهات التي قد تناسب فيها الحلول الأخرى للوصول إلى البيانات متطلباتك بشكل أفضل:

السيناريو حل
تمتلك الشركة التابعة فريق SOC يتطلب تجربة Microsoft Sentinel كاملة. في هذه الحالة، استخدم بنية متعددة مساحات العمل لفصل أذونات البيانات.

لمزيد من المعلومات، انظر:
- توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين
- التعامل مع الحوادث في العديد من مساحات العمل في وقت واحد
تريد توفير حق الوصول إلى نوع معين من الأحداث. على سبيل المثال، قم بتزويد مسؤول Windows بإمكانية الوصول إلى الأحداث أمن Windows في جميع الأنظمة.

في مثل هذه الحالات، استخدم RBAC على مستوى الجدول لتحديد أذونات لكل جدول.
تقييد الوصول إلى مستوى أكثر دقة، إما لا يستند إلى المورد، أو إلى مجموعة فرعية فقط من الحقول في حدث ما على سبيل المثال، قد ترغب في تقييد الوصول إلى سجلات Office 365 استنادا إلى الشركة الفرعية للمستخدم.

في هذه الحالة، يمكنك توفير الوصول إلى البيانات باستخدام التكامل المضمن مع لوحات معلومات Power BI وتقاريره.

تكوين RBAC لسياق الموارد بشكل صريح

اتبع الخطوات التالية إذا كنت تريد تكوين RBAC في سياق الموارد، ولكن بياناتك ليست مورد Azure.

على سبيل المثال، تتضمن البيانات الموجودة في مساحة عمل Microsoft Sentinel التي ليست موارد Azure بيانات Syslog أو CEF أو AAD (دليل Azure النشط) أو البيانات التي تم تجميعها بواسطة جامع مخصص.

لتكوين RBAC سياق الموارد بشكل صريح:

  1. تأكد من تمكين RBAC لسياق الموارد في Azure Monitor.

  2. قم بإنشاء مجموعة موارد لكل فريق من المستخدمين الذين يحتاجون إلى الوصول إلى مواردك بدون بيئة Microsoft Sentinel بأكملها.

    تعيين أذونات قارئ السجلات لكل عضو من أعضاء الفريق.

  3. قم بتعيين الموارد إلى مجموعات فريق الموارد التي أنشأتها، وقم بوضع علامة على الأحداث باستخدام معرفات الموارد ذات الصلة.

    عندما ترسل موارد Azure البيانات إلى Microsoft Sentinel، يتم تمييز سجلات السجل تلقائيا باستخدام معرف المورد الخاص بمصدر البيانات.

    تلميح

    نوصي بتجميع الموارد التي تمنح حق الوصول لها ضمن مجموعة موارد محددة تم إنشاؤها لهذا الغرض.

    إذا لم تتمكن من ذلك، فتأكد من أن فريقك لديه أذونات قارئ السجلات مباشرة إلى الموارد التي تريد منهم الوصول إليها.

    لمزيد من المعلومات حول معرفات الموارد، راجع:

معرفات الموارد مع إعادة توجيه السجل

عندما يتم تجميع الأحداث باستخدام تنسيق الحدث المشترك (CEF) أو Syslog، يتم استخدام إعادة توجيه السجل لجمع الأحداث من أنظمة مصادر متعددة.

على سبيل المثال، عندما يستمع جهاز ظاهري لإعادة توجيه CEF أو Syslog إلى المصادر التي ترسل أحداث Syslog، ويعيد توجيهها إلى Microsoft Sentinel، يتم تعيين معرف مورد الجهاز الظاهري لإعادة توجيه السجل لجميع الأحداث التي يقومون بإعادة توجيهها.

إذا كان لديك فرق متعددة، فتأكد من أن لديك أجهزة ظاهرية منفصلة لإعادة توجيه السجل تعالج الأحداث لكل فريق منفصل.

على سبيل المثال، يضمن فصل الأجهزة الظاهرية الخاصة بك تجميع أحداث Syslog التي تنتمي إلى الفريق A باستخدام الجهاز الظاهري A للجامع.

تلميح

  • عند استخدام جهاز ظاهري محلي أو جهاز ظاهري سحابي آخر، مثل AWS، كمعيد توجيه للسجل، تأكد من أنه يحتوي على معرف مورد من خلال تنفيذ Azure Arc.
  • لتوسيع نطاق بيئة VM لإعادة توجيه السجل الخاص بك، فكر في إنشاء مجموعة مقياس VM لجمع سجلات CEF و Sylog.

معرفات الموارد مع مجموعة Logstash

إذا كنت تقوم بتجميع بياناتك باستخدام المكون الإضافي لإخراج Microsoft Sentinel Logstash ، فاستخدم حقل azure_resource_id لتكوين المجمع المخصص لتضمين معرف المورد في الإخراج الخاص بك.

إذا كنت تستخدم RBAC في سياق الموارد وتريد أن تكون الأحداث التي تجمعها واجهة برمجة التطبيقات متاحة لمستخدمين محددين، فاستخدم معرف المورد لمجموعة الموارد التي أنشأتها للمستخدمين.

على سبيل المثال، تعرض التعليمة البرمجية التالية نموذج ملف تكوين Logstash :

 input {
     beats {
         port => "5044"
     }
 }
 filter {
 }
 output {
     microsoft-logstash-output-azure-loganalytics {
       workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
       workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
       custom_log_table_name => "tableName"
       azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>   
     }
 }

تلميح

قد ترغب في إضافة أقسام متعددة output للتمييز بين العلامات المطبقة على أحداث مختلفة.

معرفات الموارد مع مجموعة واجهة برمجة تطبيقات Log Analytics

عند التجميع باستخدام واجهة برمجة تطبيقات تجميع بيانات Log Analytics، يمكنك تعيين الأحداث باستخدام معرف مورد باستخدام رأس طلب HTTP x-ms-AzureResourceId .

إذا كنت تستخدم RBAC في سياق الموارد وتريد أن تكون الأحداث التي تجمعها واجهة برمجة التطبيقات متاحة لمستخدمين محددين، فاستخدم معرف المورد لمجموعة الموارد التي أنشأتها للمستخدمين.

الخطوات التالية

لمزيد من المعلومات، راجع الأذونات في Microsoft Sentinel.