تكوين نطاق Microsoft Sentinel (RBAC على مستوى الصف)

يوفر Microsoft Sentinel النطاق التحكم في الوصول المستند إلى الدور على مستوى الصف (RBAC)، ما يتيح الوصول متعدد المستويات على مستوى الصف دون الحاجة إلى فصل مساحة العمل. يسمح النطاق Microsoft Sentinel لفرق متعددة بالعمل بأمان داخل بيئة Microsoft Sentinel مشتركة مع استخدام تعريفات نطاق متسقة وقابلة لإعادة الاستخدام عبر الجداول والتجارب.

تكوين النطاق في مدخل Microsoft Defender. لا يدعم Sentinel في مدخل Azure (Ibiza) تحديد النطاق.

ما هو النطاق Microsoft Sentinel؟

Microsoft Sentinel النطاق توسيع إدارة الأذونات في مدخل Defender حتى يتمكن المسؤول من منح أذونات لمجموعات فرعية معينة من البيانات في جداول Sentinel. لإنشاء نطاقات، أكمل الخطوات التالية:

ملاحظة

النطاقات مضافة. يحصل المستخدمون المعينون لأدوار متعددة على أوسع الأذونات المتاحة لهم من جميع تعييناتهم. على سبيل المثال، إذا كنت تحتفظ بدور قارئ عمومي Entra ودور URBAC Defender XDR يوفر أذونات محددة النطاق على جداول النظام، فأنت غير مقيد بواسطة النطاقات في جداول النظام بسبب دور Entra. مثال آخر هو إذا كنت تحتفظ بنفس أذونات الدور في Microsoft Defender XDR لمساحة عمل، مع نطاقين مختلفين، لديك هذه الأذونات لكلا النطاقين.

تنطبق النطاقات على جداول Sentinel التي تدعم تحويلات وقت الاستيعاب.

حالات الاستخدام Microsoft Sentinel النطاق

Microsoft Sentinel النطاق مفيد في السيناريوهات التالية:

  • فرق SOC الموزعة أو الموحدة: غالبا ما تقوم المؤسسات الكبيرة وMSSPs بتشغيل نماذج SOC متحدة حيث تكون الفرق المختلفة مسؤولة عن مناطق أو وحدات عمل أو عملاء محددين. يسمح تحديد النطاق لكل فريق SOC بالعمل بشكل مستقل داخل مساحة عمل Sentinel مشتركة، ما يضمن أنه يمكنهم التحقيق في التهديدات والاستجابة لها في مجالهم دون الوصول إلى البيانات غير المرتبطة.
  • الوصول المحدد النطاق للفرق الخارجية غير الأمنية: غالبا ما تتطلب الفرق مثل الشبكات أو عمليات تكنولوجيا المعلومات أو التوافق الوصول إلى مصادر بيانات أولية محددة دون الحاجة إلى رؤية محتوى أمان أوسع. يتيح النطاق على مستوى الصف لهذه الفرق الخارجية الوصول بأمان فقط إلى البيانات ذات الصلة بوظيفتها.
  • حماية البيانات الحساسة: حماية بيانات أو جداول معينة من خلال تطبيق نهج الوصول إلى البيانات الأقل امتيازا، وضمان وصول المستخدمين المصرح لهم فقط إلى المعلومات الحساسة.

المتطلبات الأساسية

قبل البدء، تحقق من المتطلبات الأساسية التالية:

  • الوصول إلى مدخل Microsoft Defender:https://security.microsoft.com
  • Microsoft Sentinel مساحات العمل المإلحاقة بمدخل Defender: يجب أن تكون مساحات عمل Sentinel متوفرة في مدخل Defender قبل أن تتمكن من تعيين الأدوار والأذونات.
  • تمكين Sentinel في التحكم في الوصول استنادا إلى الدور الموحد: يجب تمكين Microsoft Sentinel في URBAC قبل استخدام هذه الميزة.
  • الأذونات المطلوبة للشخص الذي يقوم بتعيين جداول النطاق ووضع العلامات:
    • إذن تخويل الأمان (إدارة) (URBAC) لإنشاء النطاقات والتعيينات
    • إذن عمليات البيانات (إدارة) (URBAC) لإدارة الجداول
    • مالك الاشتراك أو تم تعيينه بإذن Microsoft.Insights/DataCollectionRules/Write لإنشاء قواعد تجميع البيانات (DCRs)

الخطوة 1: إنشاء نطاق Sentinel

لإنشاء نطاق Sentinel، اتبع الخطوات التالية:

  1. في مدخل Microsoft Defender، انتقل إلىأذونات>.
  2. حدد Microsoft Defender XDR.
  3. افتح علامة التبويب النطاقات .
  4. حدد إضافة نطاق Sentinel.
  5. أدخل اسم نطاق ووصفا اختياريا.
  6. حدد إنشاء نطاق.

يمكنك إنشاء نطاقات متعددة وتحديد أسماء النطاقات المخصصة والأوصاف لكل نطاق لتعكس البنية والنهج التنظيمية الخاصة بك.

ملاحظة

يمكنك إنشاء ما يصل إلى 100 نطاق Sentinel فريد لكل مستأجر.

لقطة شاشة لعلامة التبويب

الخطوة 2: تعيين علامات النطاق للمستخدمين أو المجموعات

لتعيين علامات النطاق للمستخدمين أو المجموعات، اتبع الخطوات التالية:

  1. في Permissions، افتح علامة التبويب Roles .

  2. حدد إنشاء دور مخصص.

  3. أدخل اسم الدور ووصفه، وحدد التالي.

    لقطة شاشة لمربع الحوار لإنشاء اسم ووصف لدور مخصص.

  4. قم بتعيين الأذونات المطلوبة للدور وحدد Apply.

    لقطة شاشة لمربع الحوار لتعيين أذونات لدور مخصص.

  5. في الواجبات، أدخل اسما وحدد:

    • المستخدمون أو مجموعات المستخدمين (مجموعات Microsoft Entra ID)
    • مصادر البيانات ومجموعات البيانات (Sentinel مساحات العمل)
  6. ضمن Scope، حدد Edit.

  7. حدد نطاقا واحدا أو أكثر لتعيينه لهذا الدور.

  8. احفظ الدور.

يمكنك تعيين مستخدمين لنطاقات متعددة في وقت واحد عبر مساحات عمل متعددة، وتجميع حقوق الوصول من جميع النطاقات المعينة. يمكن للمستخدمين المقيدين الوصول إلى بيانات SIEM المقترنة بالنطاقات المعينة لهم فقط.

ملاحظة

يمكنك فقط تعيين نطاقات Sentinel لأدوار RBAC Defender XDR. Azure أذونات التحكم في الوصول استنادا إلى الدور على مساحات العمل وأذونات الدور العمومية ل Entra غير مدعومة. لا تسمح التجارب التي لا يمكنها استخدام التحكم في الوصول استنادا إلى الدور على مستوى الصف، مثل Jupyter Notebooks، للمستخدمين المحددي النطاق بعرض البيانات لمساحات العمل هذه.

لقطة شاشة لتعيين نطاقات Sentinel لدور مخصص.

الخطوة 3: وضع علامة على الجداول ذات النطاق

فرض النطاقات عن طريق وضع علامات على البيانات أثناء الاستيعاب. تنشئ عملية وضع العلامات هذه قاعدة تجميع البيانات (DCR) التي تطبق علامات النطاق على البيانات التي تم استيعابها حديثا.

ضع الحدود التالية في الاعتبار قبل وضع علامة على جدول:

  • يمكن وضع علامة على الجداول التي تدعم تحويلات وقت الاستيعاب فقط. الجداول المخصصة المبنية على CLv1 غير مدعومة؛ جداول CLv2 مدعومة.
  • جداول XDR غير مدعومة، بما في ذلك الاستبقاء الموسع لجداول XDR في البحيرة.
  • يمكنك فقط إضافة تحويلات في نفس الاشتراك مثل اشتراك المستخدم الخاص بك.
  • يمكنك فقط وضع علامة على البيانات التي تم إدخالها حديثا. لا يتم تضمين البيانات التي تم استيعابها مسبقا ولا يمكن تحديد نطاقها بأثر رجعي.
  • Log Analytics الجداول SecurityAlerts ولا SecurityIncidents ترث النطاق تلقائيا من الجداول الأولية التي أنشأتها، لذلك لا يمكن للمستخدمين المحددين الوصول إليها بشكل افتراضي. كحل بديل، إما:
    • استخدم XDR AlertsInfo والجداول AlertsEvidence ، حيث يتم توريث النطاق تلقائيا، أو
    • تطبيق النطاق على هذه الجداول Log Analytics يدويا. يقتصر هذا الأسلوب على السمات الموجودة في الجدول وقد لا يكون مكافئا للتوريث من جداول البيانات المصدر.

لوضع علامة على جدول:

  1. في Microsoft Sentinel، انتقل إلى جداول التكوين>.

  2. حدد جدولا يدعم تحويلات وقت الاستيعاب.

  3. حدد قاعدة علامة النطاق.

    لقطة شاشة لعلامة تبويب قاعدة علامة النطاق.

  4. قم بتمكين تبديل السماح باستخدام علامات النطاق ل RBAC .

  5. تمكين تبديل قاعدة علامة النطاق .

  6. تعريف تعبير KQL الذي يحدد الصفوف باستخدام عوامل التشغيل والحدود المدعومة من transformKQL.

    مثال على النطاق حسب الموقع:

    Location == 'Spain'
    
  7. حدد النطاق لتطبيقه على الصفوف المطابقة للتعبير.

  8. احفظ القاعدة.

يمكنك فقط وضع علامة على البيانات التي تم إدخالها حديثا. لم يتم تضمين البيانات التي تم استيعابها مسبقا. بعد وضع العلامات، قد يستغرق الأمر ما يصل إلى ساعة حتى تسري القاعدة الجديدة.

تلميح

يمكنك إنشاء قواعد علامات نطاق متعددة على نفس الجدول لوضع علامة على صفوف مختلفة ذات نطاقات مختلفة. يمكن أن تنتمي السجلات إلى نطاقات متعددة في وقت واحد.

لقطة شاشة لقاعدة علامة نطاق الجدول.

الخطوة 4: الوصول إلى البيانات التي تم تحديد نطاقها

بعد إنشاء النطاقات وتعيينها وتطبيقها على الجداول، يمكن للمستخدمين المحددين النطاق الوصول إلى تجارب Microsoft Sentinel استنادا إلى النطاق المعين لهم. يتم وضع علامة على جميع البيانات التي تم استيعابها حديثا تلقائيا بالنطاق. لا يتم تضمين البيانات التاريخية (التي تم استيعابها سابقا). لا يمكن للمستخدمين المحددين النطاق رؤية أي بيانات غير محددة النطاق بشكل صريح. يمكن للمستخدمين غير المحددين رؤية جميع البيانات داخل مساحة العمل.

يمكن للمستخدمين المحددين النطاق:

  • عرض التنبيهات التي تم إنشاؤها من البيانات المحددة النطاق.
  • إدارة التنبيهات إذا كان لديها حق الوصول إلى جميع الأحداث المرتبطة بهذا التنبيه.
  • عرض الحوادث التي تحتوي على تنبيه واحد على الأقل محدد النطاق.
  • إدارة الحوادث إذا كان لديهم حق الوصول إلى جميع التنبيهات الأساسية ولديهم الإذن المطلوب.
  • تشغيل استعلامات التتبع المتقدمة عبر صفوف محددة النطاق فقط.
  • الاستعلام عن البيانات واستكشافها في بحيرة Sentinel (جداول ذات نطاق).
  • تصفية التنبيهات والحوادث استنادا إلى نطاق Sentinel الخاص بها.

ترث التنبيهات النطاق من البيانات الأساسية. تكون الحوادث مرئية إذا كان تنبيه واحد على الأقل ضمن النطاق.

SentinelScope_CF استخدم الحقل المخصص في الاستعلامات وقواعد الكشف للإشارة إلى النطاق في التحليلات الخاصة بك.

ملاحظة

عند إنشاء عمليات الكشف المخصصة وقواعد التحليلات، يجب عرض SentinelScope_CF العمود في KQL بحيث ترث التنبيهات النطاق بشكل صحيح. إذا لم تعرض هذا العمود، حتى القواعد المحددة النطاق تنتج تنبيهات غير محددة النطاق غير مرئية للمستخدمين المحددي النطاق.

لقطة شاشة للتنبيهات التي تمت تصفيتها حسب نطاق Sentinel.

قيود النطاق Microsoft Sentinel

لقطة شاشة لتحديد نطاقات محددة لقاعدة الكشف المخصصة.

  1. إذا كنت مستخدما غير محدد النطاق، يمكنك أيضا تحديد All data. بتحديد هذا الخيار، تكون القاعدة غير محددة النطاق، ويتم تشغيلها عبر جميع البيانات، وتكون مرئية وقابلة للتحرير للمستخدمين غير المحددين فقط.

  2. أكمل المعالج واحفظ القاعدة.

    لقطة شاشة لخطوة المراجعة لقاعدة اكتشاف مخصصة محددة النطاق.

ضع الحدود التالية في الاعتبار للكشف المخصص المحدد النطاق:

  • لا يتم دعم عمليات الكشف AlertInfo المخصصة عبر جميع AlertEvidence البيانات وتشغيلها، بغض النظر عن النطاق المحدد.
  • لا تقم بإنشاء اكتشافات محددة النطاق على جداول غير محددة النطاق. لا يرجع الاستعلام عن الجداول غير المحددة النطاق من الكشف المحدد النطاق أي نتائج دائما.
  • لا يمكن للكشف عن النطاق استخدام التردد المخصص عند تضمين جداول XDR في الاستعلام. يتطلب التردد المخصص إحضار البيانات من Sentinel، حيث يتم إلغاء تحديد نطاق جداول XDR. لا يمكن الاستعلام عن جداول XDR إلا عن طريق عمليات الكشف غير المحددة النطاق.

إنشاء قواعد أتمتة محددة النطاق

لإنشاء قواعد أتمتة محددة النطاق، اتبع الخطوات التالية:

  1. في مدخل Microsoft Defender، انتقل إلى Microsoft Sentinel>Configuration>Automation.

  2. افتح علامة التبويب القواعد المحسنة .

    لقطة شاشة لعلامة تبويب القواعد المحسنة في التنفيذ التلقائي.

  3. حدد Create لإضافة قاعدة أتمتة جديدة، ثم املأ تفاصيل قاعدة التنفيذ التلقائي.

    لقطة شاشة لإنشاء قاعدة أتمتة محسنة جديدة.

  4. حدد نطاق Sentinel لتطبيقه على القاعدة:

    • إذا كنت مستخدما محدد النطاق (لديك نطاق Sentinel واحد أو أكثر تم تعيينه لك)، فيجب عليك اختيار نطاق.
    • إذا كنت مستخدما غير محدد النطاق، يمكنك اختيار جميع نطاقات Sentinel المتوفرة والمستقبلية.

    لقطة شاشة لمحدد نطاق Sentinel لقاعدة التنفيذ التلقائي.

  5. احفظ القاعدة.

تنطبق قاعدة التنفيذ التلقائي على البيانات المقترنة بالنطاق المحدد وتكون مرئية فقط للمستخدمين المعينين لهذا النطاق.

ملاحظة

لا تدعم أدلة المبادئ والتكاملات بعد تحديد نطاق Sentinel.

كيفية عمل الأذونات والوصول مع البيانات ذات النطاق

تصف النقاط التالية كيفية تصرف الأذونات والوصول المحدد النطاق في Microsoft Sentinel:

  • يمكن للمستخدمين عرض حادث إذا كان لديهم حق الوصول إلى تنبيه واحد على الأقل في الحادث. يمكنهم إدارة الحادث فقط إذا كان لديهم حق الوصول إلى جميع التنبيهات في الحادث ولديهم الإذن المطلوب.
  • يمكن للمستخدم المحدد النطاق رؤية البيانات المقترنة بالنطاق فقط. إذا كان التنبيه يحتوي على كيانات لا يملك المستخدم حق الوصول إليها، فلن يتمكن المستخدم من رؤية هذه الكيانات. إذا كان لدى المستخدم حق الوصول إلى واحد على الأقل من الكيانات المقترنة، فيمكنه رؤية التنبيه نفسه.
  • لتحديد نطاق جدول بأكمله، استخدم قاعدة تطابق جميع الصفوف (على سبيل المثال، استخدام شرط صحيح دائما). لا يمكن تحديد نطاق البيانات التي تم استيعابها مسبقا بأثر رجعي.
  • لا يمكن للمستخدمين المحددين النطاق إدارة الموارد (مثل قواعد الكشف ودلائل المبادئ وقواعد التشغيل التلقائي) ما لم يتم تعيين إذن لهم في تعيين دور منفصل.

الخطوات التالية

استخدم الموارد التالية لمتابعة تخطيط نشر النطاق الخاص بك: