Toegang tot Microsoft Sentinel-gegevens beheren per resource
Gebruikers die toegang hebben tot een Microsoft Sentinel-werkruimte hebben doorgaans ook toegang tot alle werkruimtegegevens, inclusief beveiligingsinhoud. Beheerders kunnen Azure-rollen gebruiken om toegang tot specifieke functies in Microsoft Sentinel te configureren, afhankelijk van de toegangsvereisten in hun team.
Het is echter mogelijk dat sommige gebruikers alleen toegang nodig hebben tot specifieke gegevens in uw Microsoft Sentinel-werkruimte, maar die geen toegang mogen hebben tot de hele Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een team met niet-beveiligingsbewerkingen (niet-SOC) toegang geven tot de Windows-gebeurtenisgegevens voor de servers waarvan ze eigenaar zijn.
In dergelijke gevallen raden we u aan uw op rollen gebaseerd toegangsbeheer (RBAC) te configureren op basis van de resources die zijn toegestaan voor uw gebruikers, in plaats van hen toegang te bieden tot de Microsoft Sentinel-werkruimte of specifieke Microsoft Sentinel-functies. Deze methode wordt ook wel het instellen van resourcecontext RBAC genoemd.
Wanneer gebruikers toegang hebben tot Microsoft Sentinel-gegevens via de resources die ze kunnen openen in plaats van de Microsoft Sentinel-werkruimte, kunnen ze logboeken en werkmappen weergeven met behulp van de volgende methoden:
Via de resource zelf, zoals een virtuele Azure-machine. Gebruik deze methode om alleen logboeken en werkmappen voor een specifieke resource weer te geven.
Via Azure Monitor. Gebruik deze methode als u query's wilt maken die meerdere resources en/of resourcegroepen omvatten. Wanneer u naar logboeken en werkmappen in Azure Monitor navigeert, definieert u uw bereik voor een of meer specifieke resourcegroepen of resources.
Schakel resourcecontext-RBAC in Azure Monitor in. Zie Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie.
Notitie
Als uw gegevens geen Azure-resource zijn, zoals Syslog-, CEF- of AAD-gegevens, of gegevens die zijn verzameld door een aangepaste collector, moet u handmatig de resource-id configureren die wordt gebruikt om de gegevens te identificeren en toegang in te schakelen. Zie Expliciet resourcecontext RBAC configureren voor meer informatie.
Bovendien worden functies en opgeslagen zoekopdrachten niet ondersteund in resourcegerichte contexten. Daarom worden Functies van Microsoft Sentinel, zoals parseren en normaliseren , niet ondersteund voor resourcecontext-RBAC in Microsoft Sentinel.
Scenario's voor resourcecontext RBAC
In de volgende tabel worden de scenario's beschreven waarin resourcecontext RBAC het nuttigst is. Let op de verschillen in toegangsvereisten tussen SOC-teams en niet-SOC-teams.
| Type vereiste | SOC-team | Niet-SOC-team |
|---|---|---|
| Machtigingen | De hele werkruimte | Alleen specifieke resources |
| Toegang tot gegevens | Alle gegevens in de werkruimte | Alleen gegevens voor resources waartoe het team toegang heeft |
| Ervaring | De volledige Microsoft Sentinel-ervaring, mogelijk beperkt door de functionele machtigingen die aan de gebruiker zijn toegewezen | Alleen logboekquery's en werkmappen |
Als uw team vergelijkbare toegangsvereisten heeft als het niet-SOC-team dat in de bovenstaande tabel wordt beschreven, kan RBAC in de resourcecontext een goede oplossing zijn voor uw organisatie.
Alternatieve methoden voor het implementeren van resourcecontext RBAC
Afhankelijk van de machtigingen die in uw organisatie zijn vereist, biedt het gebruik van resourcecontext RBAC mogelijk geen volledige oplossing.
In de volgende lijst worden scenario's beschreven waarin andere oplossingen voor gegevenstoegang mogelijk beter aan uw vereisten voldoen:
| Scenario | Oplossing |
|---|---|
| Een dochteronderneming heeft een SOC-team dat een volledige Microsoft Sentinel-ervaring vereist. | Gebruik in dit geval een architectuur met meerdere werkruimten om uw gegevensmachtigingen te scheiden. Zie voor meer informatie: - Microsoft Sentinel uitbreiden tussen werkruimten en tenants - Werken met incidenten in veel werkruimten tegelijk |
| U wilt toegang verlenen tot een specifiek type gebeurtenis. | Geef bijvoorbeeld een Windows-beheerder toegang tot Windows-beveiliging gebeurtenissen in alle systemen. In dergelijke gevallen gebruikt u RBAC op tabelniveau om machtigingen voor elke tabel te definiƫren. |
| Toegang beperken tot een gedetailleerder niveau, niet gebaseerd op de resource, of tot slechts een subset van de velden in een gebeurtenis | U wilt bijvoorbeeld de toegang tot Office 365 logboeken beperken op basis van de dochteronderneming van een gebruiker. In dit geval biedt u toegang tot gegevens met behulp van ingebouwde integratie met Power BI-dashboards en -rapporten. |
Resourcecontext RBAC expliciet configureren
Gebruik de volgende stappen als u RBAC in resourcecontext wilt configureren, maar uw gegevens geen Azure-resource zijn.
Gegevens in uw Microsoft Sentinel-werkruimte die geen Azure-resources zijn, zijn bijvoorbeeld Syslog-, CEF- of AAD-gegevens of gegevens die zijn verzameld door een aangepaste collector.
Ga als volgende te werk om RBAC voor resourcecontext expliciet te configureren:
Zorg ervoor dat u RBAC voor resourcecontext hebt ingeschakeld in Azure Monitor.
Maak een resourcegroep voor elk team van gebruikers dat toegang nodig heeft tot uw resources zonder de volledige Microsoft Sentinel-omgeving.
Wijs machtigingen voor logboeklezer toe voor elk van de teamleden.
Wijs resources toe aan de resourceteamgroepen die u hebt gemaakt en tag gebeurtenissen met de relevante resource-id's.
Wanneer Azure-resources gegevens naar Microsoft Sentinel verzenden, worden de logboekrecords automatisch gelabeld met de resource-id van de gegevensbron.
Tip
U wordt aangeraden de resources waarvoor u toegang verleent, te groepeer in een specifieke resourcegroep die voor dit doel is gemaakt.
Als u dat niet kunt, moet u ervoor zorgen dat uw team rechtstreeks over machtigingen voor logboeklezers beschikt voor de resources waartoe u ze toegang wilt geven.
Zie voor meer informatie over resource-id's:
Resource-id's met doorsturen van logboeken
Wanneer gebeurtenissen worden verzameld met behulp van CEF (Common Event Format) of Syslog, wordt logboek doorsturen gebruikt om gebeurtenissen van meerdere bronsystemen te verzamelen.
Wanneer een CEF- of Syslog-doorstuur-VM bijvoorbeeld luistert naar de bronnen die Syslog-gebeurtenissen verzenden en deze doorstuurt naar Microsoft Sentinel, wordt de resource-id van de VM voor het doorsturen van logboeken toegewezen aan alle gebeurtenissen die ze doorsturen.
Als u meerdere teams hebt, moet u ervoor zorgen dat u afzonderlijke VM's voor het doorsturen van logboeken hebt die de gebeurtenissen voor elk afzonderlijk team verwerken.
Het scheiden van uw VM's zorgt er bijvoorbeeld voor dat Syslog-gebeurtenissen die deel uitmaken van Team A, worden verzameld met behulp van de collector-VM A.
Tip
- Wanneer u een on-premises VM of een andere cloud-VM, zoals AWS, als doorstuurserver voor logboeken gebruikt, moet u ervoor zorgen dat deze een resource-id heeft door Azure Arc te implementeren.
- Als u de vm-omgeving voor het doorsturen van logboeken wilt schalen, kunt u een VM-schaalset maken om uw CEF- en Sylog-logboeken te verzamelen.
Resource-id's met Logstash-verzameling
Als u uw gegevens verzamelt met behulp van de Microsoft Sentinel Logstash-uitvoerinvoegtoepassing, gebruikt u het veld azure_resource_id om uw aangepaste collector te configureren om de resource-id op te nemen in uw uitvoer.
Als u RBAC met resourcecontext gebruikt en de gebeurtenissen die door de API worden verzameld, beschikbaar moeten zijn voor specifieke gebruikers, gebruikt u de resource-id van de resourcegroep die u voor uw gebruikers hebt gemaakt.
De volgende code toont bijvoorbeeld een voorbeeld van een Logstash-configuratiebestand:
input {
beats {
port => "5044"
}
}
filter {
}
output {
microsoft-logstash-output-azure-loganalytics {
workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
custom_log_table_name => "tableName"
azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>
}
}
Tip
U kunt meerdere output secties toevoegen om onderscheid te maken tussen de tags die worden toegepast op verschillende gebeurtenissen.
Resource-id's met de Log Analytics-API-verzameling
Bij het verzamelen met behulp van de Log Analytics-gegevensverzamelaar-API kunt u gebeurtenissen toewijzen met een resource-id met behulp van de HTTP x-ms-AzureResourceId-aanvraagheader .
Als u RBAC met resourcecontext gebruikt en de gebeurtenissen die door de API worden verzameld, beschikbaar moeten zijn voor specifieke gebruikers, gebruikt u de resource-id van de resourcegroep die u voor uw gebruikers hebt gemaakt.
Volgende stappen
Zie Machtigingen in Microsoft Sentinel voor meer informatie.