إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يوفر Microsoft Sentinel النطاق التحكم في الوصول المستند إلى الدور على مستوى الصف (RBAC)، ما يتيح الوصول متعدد المستويات على مستوى الصف دون الحاجة إلى فصل مساحة العمل. يسمح النطاق Microsoft Sentinel لفرق متعددة بالعمل بأمان داخل بيئة Microsoft Sentinel مشتركة مع استخدام تعريفات نطاق متسقة وقابلة لإعادة الاستخدام عبر الجداول والتجارب.
تكوين النطاق في مدخل Microsoft Defender. لا يدعم Sentinel في مدخل Azure (Ibiza) تحديد النطاق.
ما هو النطاق Microsoft Sentinel؟
Microsoft Sentinel النطاق توسيع إدارة الأذونات في مدخل Defender حتى يتمكن المسؤول من منح أذونات لمجموعات فرعية معينة من البيانات في جداول Sentinel. لإنشاء نطاقات، أكمل الخطوات التالية:
- تعريف النطاقات المنطقية: إنشاء تعريفات النطاق التي تتوافق مع البنية التنظيمية (حسب وحدة العمل أو المنطقة أو حساسية البيانات)
- تعيين مستخدمين أو مجموعات إلى نطاقات: تعيين مستخدمين أو مجموعات محددة لنطاق واحد أو أكثر باستخدام RBAC الموحد (التحكم في الوصول استنادا إلى الدور)
- وضع علامة على صفوف البيانات في وقت الاستيعاب: تطبيق علامات النطاق على الصفوف في الجداول باستخدام Table Management، مما يسمح لك بإنشاء قواعد توسم البيانات التي تم استيعابها حديثا تلقائيا
- تقييد الوصول حسب النطاق: تقييد وصول المستخدم إلى التنبيهات والحوادث واستعلامات التتبع واستكشاف مستودع البيانات استنادا إلى النطاق المعين
ملاحظة
النطاقات مضافة. يحصل المستخدمون المعينون لأدوار متعددة على أوسع الأذونات المتاحة لهم من جميع تعييناتهم. على سبيل المثال، إذا كنت تحتفظ بدور قارئ عمومي Entra ودور URBAC Defender XDR يوفر أذونات محددة النطاق على جداول النظام، فأنت غير مقيد بواسطة النطاقات في جداول النظام بسبب دور Entra. مثال آخر هو إذا كنت تحتفظ بنفس أذونات الدور في Microsoft Defender XDR لمساحة عمل، مع نطاقين مختلفين، لديك هذه الأذونات لكلا النطاقين.
تنطبق النطاقات على جداول Sentinel التي تدعم تحويلات وقت الاستيعاب.
حالات الاستخدام Microsoft Sentinel النطاق
Microsoft Sentinel النطاق مفيد في السيناريوهات التالية:
- فرق SOC الموزعة أو الموحدة: غالبا ما تقوم المؤسسات الكبيرة وMSSPs بتشغيل نماذج SOC متحدة حيث تكون الفرق المختلفة مسؤولة عن مناطق أو وحدات عمل أو عملاء محددين. يسمح تحديد النطاق لكل فريق SOC بالعمل بشكل مستقل داخل مساحة عمل Sentinel مشتركة، ما يضمن أنه يمكنهم التحقيق في التهديدات والاستجابة لها في مجالهم دون الوصول إلى البيانات غير المرتبطة.
- الوصول المحدد النطاق للفرق الخارجية غير الأمنية: غالبا ما تتطلب الفرق مثل الشبكات أو عمليات تكنولوجيا المعلومات أو التوافق الوصول إلى مصادر بيانات أولية محددة دون الحاجة إلى رؤية محتوى أمان أوسع. يتيح النطاق على مستوى الصف لهذه الفرق الخارجية الوصول بأمان فقط إلى البيانات ذات الصلة بوظيفتها.
- حماية البيانات الحساسة: حماية بيانات أو جداول معينة من خلال تطبيق نهج الوصول إلى البيانات الأقل امتيازا، وضمان وصول المستخدمين المصرح لهم فقط إلى المعلومات الحساسة.
المتطلبات الأساسية
قبل البدء، تحقق من المتطلبات الأساسية التالية:
-
الوصول إلى مدخل Microsoft Defender:
https://security.microsoft.com - Microsoft Sentinel مساحات العمل المإلحاقة بمدخل Defender: يجب أن تكون مساحات عمل Sentinel متوفرة في مدخل Defender قبل أن تتمكن من تعيين الأدوار والأذونات.
- تمكين Sentinel في التحكم في الوصول استنادا إلى الدور الموحد: يجب تمكين Microsoft Sentinel في URBAC قبل استخدام هذه الميزة.
-
الأذونات المطلوبة للشخص الذي يقوم بتعيين جداول النطاق ووضع العلامات:
- إذن تخويل الأمان (إدارة) (URBAC) لإنشاء النطاقات والتعيينات
- إذن عمليات البيانات (إدارة) (URBAC) لإدارة الجداول
-
مالك الاشتراك أو تم تعيينه بإذن
Microsoft.Insights/DataCollectionRules/Writeلإنشاء قواعد تجميع البيانات (DCRs)
الخطوة 1: إنشاء نطاق Sentinel
لإنشاء نطاق Sentinel، اتبع الخطوات التالية:
- في مدخل Microsoft Defender، انتقل إلىأذونات>.
- حدد Microsoft Defender XDR.
- افتح علامة التبويب النطاقات .
- حدد إضافة نطاق Sentinel.
- أدخل اسم نطاق ووصفا اختياريا.
- حدد إنشاء نطاق.
يمكنك إنشاء نطاقات متعددة وتحديد أسماء النطاقات المخصصة والأوصاف لكل نطاق لتعكس البنية والنهج التنظيمية الخاصة بك.
ملاحظة
يمكنك إنشاء ما يصل إلى 100 نطاق Sentinel فريد لكل مستأجر.
الخطوة 2: تعيين علامات النطاق للمستخدمين أو المجموعات
لتعيين علامات النطاق للمستخدمين أو المجموعات، اتبع الخطوات التالية:
في Permissions، افتح علامة التبويب Roles .
حدد إنشاء دور مخصص.
أدخل اسم الدور ووصفه، وحدد التالي.
قم بتعيين الأذونات المطلوبة للدور وحدد Apply.
في الواجبات، أدخل اسما وحدد:
- المستخدمون أو مجموعات المستخدمين (مجموعات Microsoft Entra ID)
- مصادر البيانات ومجموعات البيانات (Sentinel مساحات العمل)
ضمن Scope، حدد Edit.
حدد نطاقا واحدا أو أكثر لتعيينه لهذا الدور.
احفظ الدور.
يمكنك تعيين مستخدمين لنطاقات متعددة في وقت واحد عبر مساحات عمل متعددة، وتجميع حقوق الوصول من جميع النطاقات المعينة. يمكن للمستخدمين المقيدين الوصول إلى بيانات SIEM المقترنة بالنطاقات المعينة لهم فقط.
ملاحظة
يمكنك فقط تعيين نطاقات Sentinel لأدوار RBAC Defender XDR. Azure أذونات التحكم في الوصول استنادا إلى الدور على مساحات العمل وأذونات الدور العمومية ل Entra غير مدعومة. لا تسمح التجارب التي لا يمكنها استخدام التحكم في الوصول استنادا إلى الدور على مستوى الصف، مثل Jupyter Notebooks، للمستخدمين المحددي النطاق بعرض البيانات لمساحات العمل هذه.
الخطوة 3: وضع علامة على الجداول ذات النطاق
فرض النطاقات عن طريق وضع علامات على البيانات أثناء الاستيعاب. تنشئ عملية وضع العلامات هذه قاعدة تجميع البيانات (DCR) التي تطبق علامات النطاق على البيانات التي تم استيعابها حديثا.
ضع الحدود التالية في الاعتبار قبل وضع علامة على جدول:
- يمكن وضع علامة على الجداول التي تدعم تحويلات وقت الاستيعاب فقط. الجداول المخصصة المبنية على CLv1 غير مدعومة؛ جداول CLv2 مدعومة.
- جداول XDR غير مدعومة، بما في ذلك الاستبقاء الموسع لجداول XDR في البحيرة.
- يمكنك فقط إضافة تحويلات في نفس الاشتراك مثل اشتراك المستخدم الخاص بك.
- يمكنك فقط وضع علامة على البيانات التي تم إدخالها حديثا. لا يتم تضمين البيانات التي تم استيعابها مسبقا ولا يمكن تحديد نطاقها بأثر رجعي.
- Log Analytics الجداول
SecurityAlertsولاSecurityIncidentsترث النطاق تلقائيا من الجداول الأولية التي أنشأتها، لذلك لا يمكن للمستخدمين المحددين الوصول إليها بشكل افتراضي. كحل بديل، إما:- استخدم XDR
AlertsInfoوالجداولAlertsEvidence، حيث يتم توريث النطاق تلقائيا، أو - تطبيق النطاق على هذه الجداول Log Analytics يدويا. يقتصر هذا الأسلوب على السمات الموجودة في الجدول وقد لا يكون مكافئا للتوريث من جداول البيانات المصدر.
- استخدم XDR
لوضع علامة على جدول:
في Microsoft Sentinel، انتقل إلى جداول التكوين>.
حدد جدولا يدعم تحويلات وقت الاستيعاب.
حدد قاعدة علامة النطاق.
قم بتمكين تبديل السماح باستخدام علامات النطاق ل RBAC .
تمكين تبديل قاعدة علامة النطاق .
تعريف تعبير KQL الذي يحدد الصفوف باستخدام عوامل التشغيل والحدود المدعومة من transformKQL.
مثال على النطاق حسب الموقع:
Location == 'Spain'حدد النطاق لتطبيقه على الصفوف المطابقة للتعبير.
احفظ القاعدة.
يمكنك فقط وضع علامة على البيانات التي تم إدخالها حديثا. لم يتم تضمين البيانات التي تم استيعابها مسبقا. بعد وضع العلامات، قد يستغرق الأمر ما يصل إلى ساعة حتى تسري القاعدة الجديدة.
تلميح
يمكنك إنشاء قواعد علامات نطاق متعددة على نفس الجدول لوضع علامة على صفوف مختلفة ذات نطاقات مختلفة. يمكن أن تنتمي السجلات إلى نطاقات متعددة في وقت واحد.
الخطوة 4: الوصول إلى البيانات التي تم تحديد نطاقها
بعد إنشاء النطاقات وتعيينها وتطبيقها على الجداول، يمكن للمستخدمين المحددين النطاق الوصول إلى تجارب Microsoft Sentinel استنادا إلى النطاق المعين لهم. يتم وضع علامة على جميع البيانات التي تم استيعابها حديثا تلقائيا بالنطاق. لا يتم تضمين البيانات التاريخية (التي تم استيعابها سابقا). لا يمكن للمستخدمين المحددين النطاق رؤية أي بيانات غير محددة النطاق بشكل صريح. يمكن للمستخدمين غير المحددين رؤية جميع البيانات داخل مساحة العمل.
يمكن للمستخدمين المحددين النطاق:
- عرض التنبيهات التي تم إنشاؤها من البيانات المحددة النطاق.
- إدارة التنبيهات إذا كان لديها حق الوصول إلى جميع الأحداث المرتبطة بهذا التنبيه.
- عرض الحوادث التي تحتوي على تنبيه واحد على الأقل محدد النطاق.
- إدارة الحوادث إذا كان لديهم حق الوصول إلى جميع التنبيهات الأساسية ولديهم الإذن المطلوب.
- تشغيل استعلامات التتبع المتقدمة عبر صفوف محددة النطاق فقط.
- الاستعلام عن البيانات واستكشافها في بحيرة Sentinel (جداول ذات نطاق).
- تصفية التنبيهات والحوادث استنادا إلى نطاق Sentinel الخاص بها.
ترث التنبيهات النطاق من البيانات الأساسية. تكون الحوادث مرئية إذا كان تنبيه واحد على الأقل ضمن النطاق.
SentinelScope_CF استخدم الحقل المخصص في الاستعلامات وقواعد الكشف للإشارة إلى النطاق في التحليلات الخاصة بك.
ملاحظة
عند إنشاء عمليات الكشف المخصصة وقواعد التحليلات، يجب عرض SentinelScope_CF العمود في KQL بحيث ترث التنبيهات النطاق بشكل صحيح. إذا لم تعرض هذا العمود، حتى القواعد المحددة النطاق تنتج تنبيهات غير محددة النطاق غير مرئية للمستخدمين المحددي النطاق.
قيود النطاق Microsoft Sentinel
إذا كنت مستخدما غير محدد النطاق، يمكنك أيضا تحديد All data. بتحديد هذا الخيار، تكون القاعدة غير محددة النطاق، ويتم تشغيلها عبر جميع البيانات، وتكون مرئية وقابلة للتحرير للمستخدمين غير المحددين فقط.
أكمل المعالج واحفظ القاعدة.
ضع الحدود التالية في الاعتبار للكشف المخصص المحدد النطاق:
- لا يتم دعم عمليات الكشف
AlertInfoالمخصصة عبر جميعAlertEvidenceالبيانات وتشغيلها، بغض النظر عن النطاق المحدد. - لا تقم بإنشاء اكتشافات محددة النطاق على جداول غير محددة النطاق. لا يرجع الاستعلام عن الجداول غير المحددة النطاق من الكشف المحدد النطاق أي نتائج دائما.
- لا يمكن للكشف عن النطاق استخدام التردد المخصص عند تضمين جداول XDR في الاستعلام. يتطلب التردد المخصص إحضار البيانات من Sentinel، حيث يتم إلغاء تحديد نطاق جداول XDR. لا يمكن الاستعلام عن جداول XDR إلا عن طريق عمليات الكشف غير المحددة النطاق.
إنشاء قواعد أتمتة محددة النطاق
لإنشاء قواعد أتمتة محددة النطاق، اتبع الخطوات التالية:
في مدخل Microsoft Defender، انتقل إلى Microsoft Sentinel>Configuration>Automation.
افتح علامة التبويب القواعد المحسنة .
حدد Create لإضافة قاعدة أتمتة جديدة، ثم املأ تفاصيل قاعدة التنفيذ التلقائي.
حدد نطاق Sentinel لتطبيقه على القاعدة:
- إذا كنت مستخدما محدد النطاق (لديك نطاق Sentinel واحد أو أكثر تم تعيينه لك)، فيجب عليك اختيار نطاق.
- إذا كنت مستخدما غير محدد النطاق، يمكنك اختيار جميع نطاقات Sentinel المتوفرة والمستقبلية.
احفظ القاعدة.
تنطبق قاعدة التنفيذ التلقائي على البيانات المقترنة بالنطاق المحدد وتكون مرئية فقط للمستخدمين المعينين لهذا النطاق.
ملاحظة
لا تدعم أدلة المبادئ والتكاملات بعد تحديد نطاق Sentinel.
كيفية عمل الأذونات والوصول مع البيانات ذات النطاق
تصف النقاط التالية كيفية تصرف الأذونات والوصول المحدد النطاق في Microsoft Sentinel:
- يمكن للمستخدمين عرض حادث إذا كان لديهم حق الوصول إلى تنبيه واحد على الأقل في الحادث. يمكنهم إدارة الحادث فقط إذا كان لديهم حق الوصول إلى جميع التنبيهات في الحادث ولديهم الإذن المطلوب.
- يمكن للمستخدم المحدد النطاق رؤية البيانات المقترنة بالنطاق فقط. إذا كان التنبيه يحتوي على كيانات لا يملك المستخدم حق الوصول إليها، فلن يتمكن المستخدم من رؤية هذه الكيانات. إذا كان لدى المستخدم حق الوصول إلى واحد على الأقل من الكيانات المقترنة، فيمكنه رؤية التنبيه نفسه.
- لتحديد نطاق جدول بأكمله، استخدم قاعدة تطابق جميع الصفوف (على سبيل المثال، استخدام شرط صحيح دائما). لا يمكن تحديد نطاق البيانات التي تم استيعابها مسبقا بأثر رجعي.
- لا يمكن للمستخدمين المحددين النطاق إدارة الموارد (مثل قواعد الكشف ودلائل المبادئ وقواعد التشغيل التلقائي) ما لم يتم تعيين إذن لهم في تعيين دور منفصل.
الخطوات التالية
استخدم الموارد التالية لمتابعة تخطيط نشر النطاق الخاص بك:
- مراجعة قائمة الجداول التي تدعم تحويلات وقت الاستيعاب
- تخطيط أسماء النطاقات والمنطق قبل وضع علامات على البيانات
- ابدأ بالنطاق التجريبي لفريق صغير أو مجموعة فرعية للبيانات
- تعرف على المزيد حول التحكم في الوصول استنادا إلى الدور الموحد في Microsoft Defender XDR