Gerir o acesso aos dados do Microsoft Sentinel por recurso

Normalmente, os utilizadores que têm acesso a uma área de trabalho do Microsoft Sentinel também têm acesso a todos os dados da área de trabalho, incluindo conteúdo de segurança. Os administradores podem utilizar as funções do Azure para configurar o acesso a funcionalidades específicas no Microsoft Sentinel, consoante os requisitos de acesso da equipa.

No entanto, poderá ter alguns utilizadores que precisam de aceder apenas a dados específicos na área de trabalho do Microsoft Sentinel, mas não devem ter acesso a todo o ambiente do Microsoft Sentinel. Por exemplo, poderá querer fornecer a uma equipa de operações não relacionadas com segurança (não SOC) acesso aos dados de eventos do Windows para os servidores que possuem.

Nestes casos, recomendamos que configure o seu controlo de acesso baseado em funções (RBAC) com base nos recursos que são permitidos aos seus utilizadores, em vez de lhes fornecer acesso à área de trabalho do Microsoft Sentinel ou a funcionalidades específicas do Microsoft Sentinel. Este método também é conhecido como configurar o RBAC de contexto de recursos.

Quando os utilizadores têm acesso aos dados do Microsoft Sentinel através dos recursos aos quais podem aceder em vez da área de trabalho do Microsoft Sentinel, podem ver registos e livros através dos seguintes métodos:

• Através do próprio recurso, como uma Máquina Virtual do Azure. Utilize este método para ver registos e livros apenas para um recurso específico.

• Através do Azure Monitor. Utilize este método quando quiser criar consultas que abrangem vários recursos e/ou grupos de recursos. Ao navegar para registos e livros no Azure Monitor, defina o âmbito para um ou mais grupos de recursos ou recursos específicos.

Ative o RBAC de contexto de recursos no Azure Monitor. Para obter mais informações, veja Gerir o acesso a dados de registo e áreas de trabalho no Azure Monitor.

Nota

Se os seus dados não forem um recurso do Azure, como dados do Syslog, CEF ou AAD, ou dados recolhidos por um recoletor personalizado, terá de configurar manualmente o ID de recurso utilizado para identificar os dados e ativar o acesso. Para obter mais informações, veja Configurar explicitamente o RBAC de contexto de recursos.

Além disso, as funções e as pesquisas guardadas não são suportadas em contextos centrados em recursos. Por conseguinte, as funcionalidades do Microsoft Sentinel, como a análise e a normalização , não são suportadas para o RBAC de contexto de recursos no Microsoft Sentinel.

Cenários para RBAC de contexto de recursos

A tabela seguinte realça os cenários em que o RBAC de contexto de recursos é mais útil. Tenha em atenção as diferenças nos requisitos de acesso entre equipas SOC e equipas não SOC.

Tipo de requisito	Equipa SOC	Equipa não SOC
Permissões	Toda a área de trabalho	Apenas recursos específicos
Acesso a dados	Todos os dados na área de trabalho	Apenas os dados dos recursos aos quais a equipa está autorizada a aceder
Experiência	A experiência completa do Microsoft Sentinel, possivelmente limitada pelas permissões funcionais atribuídas ao utilizador	Apenas consultas de registo e Livros

Se a sua equipa tiver requisitos de acesso semelhantes à equipa que não é SOC descrita na tabela acima, o RBAC de contexto de recursos pode ser uma boa solução para a sua organização.

Métodos alternativos para implementar o RBAC de contexto de recursos

Dependendo das permissões necessárias na sua organização, a utilização do RBAC de contexto de recursos pode não fornecer uma solução completa.

A lista seguinte descreve cenários em que outras soluções de acesso a dados podem corresponder melhor aos seus requisitos:

Scenario	Solução
Uma subsidiária tem uma equipa SOC que requer uma experiência completa do Microsoft Sentinel.	Neste caso, utilize uma arquitetura de várias áreas de trabalho para separar as permissões de dados. Para obter mais informações, consulte: - Expandir o Microsoft Sentinel entre áreas de trabalho e inquilinos - Trabalhar com incidentes em muitas áreas de trabalho ao mesmo tempo
Quer fornecer acesso a um tipo específico de evento.	Por exemplo, forneça a um administrador do Windows acesso a Segurança do Windows eventos em todos os sistemas. Nestes casos, utilize o RBAC ao nível da tabela para definir permissões para cada tabela.
Limitar o acesso a um nível mais granular, não baseado no recurso ou apenas a um subconjunto dos campos num evento	Por exemplo, poderá querer limitar o acesso aos registos Office 365 com base na subsidiária de um utilizador. Neste caso, forneça acesso aos dados através da integração incorporada com dashboards e relatórios do Power BI.

Configurar explicitamente o RBAC de contexto de recursos

Utilize os seguintes passos se quiser configurar o RBAC de contexto de recursos, mas os seus dados não forem um recurso do Azure.

Por exemplo, os dados na área de trabalho do Microsoft Sentinel que não são recursos do Azure incluem dados do Syslog, CEF ou AAD ou dados recolhidos por um recoletor personalizado.

Para configurar explicitamente o RBAC de contexto de recursos:

1. Confirme que ativou o RBAC de contexto de recursos no Azure Monitor.

2. Crie um grupo de recursos para cada equipa de utilizadores que precisa de aceder aos seus recursos sem todo o ambiente do Microsoft Sentinel.

   Atribua permissões de leitor de registos a cada um dos membros da equipa.

3. Atribua recursos aos grupos de equipa de recursos que criou e marque eventos com os IDs de recursos relevantes.

   Quando os recursos do Azure enviam dados para o Microsoft Sentinel, os registos são automaticamente etiquetados com o ID de recurso da origem de dados.

   Dica

   Recomendamos que agrupe os recursos aos quais está a conceder acesso no âmbito de um grupo de recursos específico criado para o efeito.

   Se não conseguir, certifique-se de que a sua equipa tem permissões de leitor de registos diretamente para os recursos aos quais pretende aceder.

   Para obter mais informações sobre os IDs de recursos, veja:

   • IDs de recursos com reencaminhamento de registos
   • IDs de recursos com a coleção do Logstash
   • IDs de recursos com a coleção da API do Log Analytics

IDs de recursos com reencaminhamento de registos

Quando os eventos são recolhidos com o Common Event Format (CEF) ou o Syslog, o reencaminhamento de registos é utilizado para recolher eventos de vários sistemas de origem.

Por exemplo, quando uma VM de reencaminhamento CEF ou Syslog escuta as origens que enviam eventos do Syslog e os reencaminha para o Microsoft Sentinel, o ID de recurso da VM de reencaminhamento de registos é atribuído a todos os eventos reencaminhados.

Se tiver várias equipas, certifique-se de que tem VMs de reencaminhamento de registos separadas a processar os eventos para cada equipa separada.

Por exemplo, separar as VMs garante que os eventos do Syslog que pertencem à Equipa A são recolhidos com a VM do recoletor A.

Dica

• Ao utilizar uma VM no local ou outra VM na cloud, como o AWS, como o reencaminhador de registos, certifique-se de que tem um ID de recurso ao implementar o Azure Arc.
• Para dimensionar o ambiente da VM de reencaminhamento de registos, considere criar um conjunto de dimensionamento de VMs para recolher os registos CEF e Sylog.

IDs de recursos com a coleção do Logstash

Se estiver a recolher os seus dados com o plug-in de saída do Logstash do Microsoft Sentinel, utilize o campo azure_resource_id para configurar o recoletor personalizado para incluir o ID de recurso na saída.

Se estiver a utilizar o RBAC de contexto de recurso e quiser que os eventos recolhidos pela API estejam disponíveis para utilizadores específicos, utilize o ID de recurso do grupo de recursos que criou para os seus utilizadores.

Por exemplo, o código seguinte mostra um ficheiro de configuração do Logstash de exemplo:

 input {
     beats {
         port => "5044"
     }
 }
 filter {
 }
 output {
     microsoft-logstash-output-azure-loganalytics {
       workspace_id => "4g5tad2b-a4u4-147v-a4r7-23148a5f2c21" # <your workspace id>
       workspace_key => "u/saRtY0JGHJ4Ce93g5WQ3Lk50ZnZ8ugfd74nk78RPLPP/KgfnjU5478Ndh64sNfdrsMni975HJP6lp==" # <your workspace key>
       custom_log_table_name => "tableName"
       azure_resource_id => "/subscriptions/wvvu95a2-99u4-uanb-hlbg-2vatvgqtyk7b/resourceGroups/contosotest" # <your resource ID>   
     }
 }

Dica

Poderá querer adicionar várias output secções para diferenciar as etiquetas aplicadas a diferentes eventos.

IDs de recursos com a coleção da API do Log Analytics

Ao recolher com a API de recoletor de dados do Log Analytics, pode atribuir a eventos com um ID de recurso com o cabeçalho do pedido HTTP x-ms-AzureResourceId .

Se estiver a utilizar o RBAC de contexto de recurso e quiser que os eventos recolhidos pela API estejam disponíveis para utilizadores específicos, utilize o ID de recurso do grupo de recursos que criou para os seus utilizadores.

Passos seguintes

Para obter mais informações, veja Permissões no Microsoft Sentinel.