Microsoft Sentinel のスコープを構成する (行レベル RBAC)

Microsoft Sentinelスコーピングでは、行レベルのロールベースのアクセス制御 (RBAC) が提供され、ワークスペースの分離を必要とせずに詳細な行レベルのアクセスが可能になります。 Microsoft Sentinelスコープを使用すると、複数のチームが共有Microsoft Sentinel環境内で安全に運用でき、テーブルとエクスペリエンス全体で一貫性のある再利用可能なスコープ定義を使用できます。

Microsoft Defender ポータルでスコープを構成します。 Azure ポータル (イビサ) の Sentinel では、スコープはサポートされていません。

Microsoft Sentinelスコーピングとは

Microsoft Sentinelスコープを設定すると、Defender ポータルでアクセス許可の管理が拡張され、管理者はSentinel テーブル内のデータの特定のサブセットにアクセス許可を付与できます。 スコープを作成するには、次の手順を実行します。

注:

スコープは加算されます。 複数のロールを割り当てられたユーザーは、すべての割り当てから最も幅広いアクセス許可を取得します。 たとえば、Entraグローバル閲覧者ロールと、システム テーブルに対するスコープ付きアクセス許可を提供する Defender XDR URBAC ロールの両方を保持している場合、Entraロールが原因でシステム テーブルのスコープによって制限されません。 別の例として、2 つの異なるスコープを持つワークスペースのMicrosoft Defender XDRで同じロールのアクセス許可を保持している場合、両方のスコープに対するアクセス許可があります。

スコープは、取り込み時変換をサポートする Sentinel テーブルに適用されます。

Microsoft Sentinel スコープのユース ケース

Microsoft Sentinelスコープは、次のシナリオで役立ちます。

  • 分散 SOC チームまたはフェデレーション SOC チーム: 大企業と MSSP は、多くの場合、特定のリージョン、ビジネス ユニット、または顧客に対して異なるチームが責任を負うフェデレーション SOC モデルを運用します。 スコープを使用すると、各 SOC チームは共有 Sentinel ワークスペース内で独立して動作し、関連のないデータにアクセスすることなく、ドメイン内の脅威を調査して対応できます。
  • 外部のセキュリティ以外のチームのスコープアクセス: ネットワーク、IT 運用、コンプライアンスなどの Teams では、多くの場合、より広範なセキュリティ コンテンツを可視化することなく、特定の生データ ソースにアクセスする必要があります。 行レベルのスコープを使用すると、これらの外部チームは、関数に関連するデータにのみ安全にアクセスできます。
  • 機密データ保護: 最小限の特権データ アクセス アプローチを適用して特定のデータまたはテーブルを保護し、機密情報にアクセスできるのは承認されたユーザーのみであることを確認します。

前提条件

開始する前に、次の前提条件を確認してください。

  • Microsoft Defender ポータルへのアクセス:https://security.microsoft.com
  • Defender ポータルにオンボードされたMicrosoft Sentinelワークスペース: ロールとアクセス許可を割り当てる前に、Defender ポータルで Sentinel ワークスペースを使用できる必要があります。
  • Unified RBAC で Microsoft Sentinel が有効: この機能を使用する前に、URBAC で Microsoft Sentinel を有効にする必要があります。
  • スコープとタグ付けテーブルを割り当てるユーザーに必要なアクセス許可:
    • セキュリティ承認 (管理) 権限 (URBAC) - スコープと割り当てを作成するためのもの
    • テーブル管理用のデータ操作(管理)アクセス許可(URBAC)
    • サブスクリプション所有者、またはデータ収集ルール (DCR) を作成するための Microsoft.Insights/DataCollectionRules/Write 権限が割り当てられている

手順 1: Sentinel スコープを作成する

Sentinel スコープを作成するには、次の手順に従います。

  1. Microsoft Defender ポータルで、[System>Permissions] に移動します。
  2. [Microsoft Defender XDR] を選択します。
  3. [スコープ] タブを開きます。
  4. Sentinel スコープの追加 を選択します。
  5. スコープ名と省略可能な説明を入力します。
  6. [ スコープの作成] を選択します

複数のスコープを作成し、各スコープのカスタム スコープ名と説明を定義して、組織の構造とポリシーを反映させることができます。

注:

テナントごとに最大 100 個の一意のSentinelスコープを作成できます。

[スコープの追加] タブと [Sentinel スコープの追加] ダイアログのスクリーンショット。

手順 2: ユーザーまたはグループにスコープ タグを割り当てる

ユーザーまたはグループにスコープ タグを割り当てるには、次の手順に従います。

  1. [ アクセス許可] で、[ ロール ] タブを開きます。

  2. [ カスタム ロールの作成] を選択します。

  3. ロールの名前と説明を入力し、[ 次へ] を選択します。

    カスタム ロールの名前と説明を作成するためのダイアログのスクリーンショット。

  4. ロールに必要なアクセス許可を割り当て、[適用] を選択 します

    カスタム ロールにアクセス許可を割り当てるためのダイアログのスクリーンショット。

  5. 割り当てで名前を入力し、次を選択します。

    • ユーザーまたはユーザー グループ (Microsoft Entra ID グループ)
    • データ ソースとデータ コレクション (Sentinel ワークスペース)
  6. Scope で、編集 を選択します。

  7. このロールに割り当てるスコープを 1 つ以上選択します。

  8. ロールを保存します。

複数のワークスペースに対して複数のスコープにユーザーを同時に割り当て、割り当てられたすべてのスコープからアクセス権の集計を行うことができます。 制限付きユーザーは、割り当てられたスコープに関連付けられている SIEM データにのみアクセスできます。

注:

Sentinel スコープは、Defender XDR RBAC ロールにのみ割り当てることができます。 ワークスペースのAzure RBAC アクセス許可と Entra グローバル ロールのアクセス許可はサポートされていません。 Jupyter Notebooks など、行レベルの RBAC を使用できないエクスペリエンスでは、スコープ付きユーザーがそれらのワークスペースのデータを表示することはできません。

Sentinelスコープをカスタム ロールに割り当てるスクリーンショット。

手順 3: スコープを使用してテーブルにタグを付けます

インジェスト中にデータにタグを付けることでスコープを適用します。 このタグ付けプロセスでは、新しく取り込まれたデータにスコープ タグを適用するデータ収集規則 (DCR) が作成されます。

テーブルにタグを付ける前に、次の制限に注意してください。

  • インジェスト時変換をサポートするテーブルにのみタグを付けることができます。 CLv1 上に構築されたカスタム テーブルはサポートされていません。CLv2 テーブルがサポートされています。
  • XDR テーブルはサポートされておらず、これには XDR テーブルの lake への保持期間の延長も含まれます。
  • 変換は、ユーザー サブスクリプションと同じサブスクリプションにのみ追加できます。
  • 新しく取り込まれたデータにのみタグを付けることができます。 以前に取り込まれたデータは含まれず、さかのぼってスコープを設定することはできません。
  • Log Analytics テーブルSecurityAlertsおよびSecurityIncidentsは、それらを生成した生テーブルからスコープを自動的に継承しないため、スコープ付きユーザーは既定でアクセスできません。 回避策として、次のいずれかを実行してください。
    • スコープが自動的に継承される XDR AlertsInfo テーブルと AlertsEvidence テーブルを使用します。
    • これらのLog Analytics テーブルにスコープを手動で適用します。 このメソッドはテーブル内の属性に限定され、ソース データ テーブルからの継承と同等ではない可能性があります。

テーブルにタグ付けするには、次の方法を使用します。

  1. Microsoft Sentinelで、[構成>テーブル] に移動します。

  2. インジェスト時間変換をサポートするテーブルを選択します。

  3. [ スコープ タグ ルール] を選択します

    [スコープ タグ ルール] タブのスクリーンショット。

  4. [ RBAC のスコープ タグの使用を許可する ] トグルを有効にします。

  5. Scope tag rule の切り替えを有効にします。

  6. transformKQL でサポートされている演算子と制限を使用して行を選択する KQL 式を定義します。

    場所によってスコープを設定する例:

    Location == 'Spain'
    
  7. 式に一致する行に適用するスコープを選択します。

  8. ルールを保存します。

新しく取り込まれたデータにのみタグを付けることができます。 以前に取り込まれたデータは含まれません。 タグ付け後、新しいルールが有効になるまでに最大で 1 時間かかることがあります。

ヒント

同じテーブルに複数のスコープ タグ ルールを作成して、異なるスコープを持つ異なる行にタグを付けることができます。 レコードは複数のスコープに同時に属できます。

テーブル スコープ タグ ルールのスクリーンショット。

手順 4: スコープ付きデータにアクセスする

スコープを作成、割り当て、テーブルに適用すると、スコープ付きユーザーは、割り当てられたスコープに基づいてMicrosoft Sentinelエクスペリエンスにアクセスできます。 新しく取り込まれたデータはすべて、スコープで自動的にタグ付けされます。 履歴 (以前に取り込まれた) データは含まれません。 スコープ付きユーザーは、明示的にスコープが設定されていないデータを表示できません。 スコープ外のユーザーは、ワークスペース内のすべてのデータを表示できます。

スコープ付きユーザーは、次のことができます。

  • スコープ付きデータから生成されたアラートを表示します。
  • アラートにリンクされているすべてのイベントにアクセスできる場合は、アラートを管理します。
  • 少なくとも 1 つのスコープ付きアラートを含むインシデントを表示します。
  • インシデントが基になるすべてのアラートにアクセスでき、必要なアクセス許可を持っている場合は、インシデントを管理します。
  • スコープ指定された行に対してのみ高度なハンティング クエリを実行します。
  • Sentinel レイク内のデータ(スコープを持つテーブル)をクエリして探索する。
  • Sentinel スコープに基づいてアラートとインシデントをフィルター処理します。

アラートは、基になるデータからスコープを継承します。 少なくとも 1 つのアラートがスコープ内にある場合は、インシデントが表示されます。

クエリと検出ルールで分析のスコープを参照するには、SentinelScope_CF カスタム フィールドを使用します。

注:

カスタム検出と分析ルールを作成するときは、アラートがスコープを正しく継承するように、KQL に SentinelScope_CF 列を射影する必要があります。 この列を投影しない場合は、スコープ付きルールであっても、スコープ付きユーザーには表示されないスコープなしアラートが生成されます。

Sentinel スコープでフィルター処理されたアラートのスクリーンショット。

Microsoft Sentinel の適用範囲の制限事項

カスタム検出ルールの特定のスコープを選択するスクリーンショット。

  1. 対象範囲外のユーザーの場合は、[ すべてのデータ] を選択することもできます。 このオプションを選択すると、ルールはスコープ外になり、すべてのデータに対して実行され、スコープ外のユーザーにのみ表示および編集可能になります。

  2. ウィザードを完了し、ルールを保存します。

    スコープ指定されたカスタム検出ルールのレビュー 手順のスクリーンショット。

スコープ付きカスタム検出では、次の制限に注意してください。

  • AlertInfoAlertEvidenceに対するカスタム検出は、定義されたスコープに関係なく、すべてのデータに対してサポートおよび実行されるわけではありません。
  • スコープなしテーブルにスコープ検出を作成しないでください。 スコープ検出からスコープ外のテーブルに対してクエリを実行しても、常に結果は返されません。
  • XDR テーブルがクエリに含まれている場合、スコープ検出ではカスタム頻度を使用できません。 カスタム頻度では、XDR テーブルがスコープされていない Sentinel からデータを取得する必要があります。 XDR テーブルは、スコープ外の検出によってのみ照会できます。

スコープ付き自動化規則を作成する

スコープ付き自動化規則を作成するには、次の手順に従います。

  1. Microsoft Defender ポータルで、Microsoft Sentinel>Configuration>Automation に移動します。

  2. [拡張ルール] タブを開きます。

    Automation の [拡張ルール] タブのスクリーンショット。

  3. [ 作成] を選択して新しいオートメーション ルールを追加し、オートメーション ルールの詳細を入力します。

    新しい拡張自動化ルールの作成のスクリーンショット。

  4. ルールに適用する Sentinel スコープ を選択します。

    • スコープ付きユーザー (1 つ以上の Sentinel スコープが割り当てられている) の場合は、スコープを選択する必要があります。
    • 対象範囲外のユーザーの場合は、[ 使用可能なすべてのスコープと今後の Sentinel スコープ] を選択できます。

    自動化ルールの Sentinel スコープ セレクターのスクリーンショット。

  5. ルールを保存します。

自動化規則は、選択したスコープに関連付けられているデータに適用され、そのスコープに割り当てられているユーザーにのみ表示されます。

注:

プレイブックとインテグレーションでは、Sentinel のスコープ指定はまだサポートされていません。

スコープ付きデータでのアクセス許可とアクセスのしくみ

次の点では、Microsoft Sentinelでのアクセス許可とスコープ付きアクセスの動作について説明します。

  • インシデント内の少なくとも 1 つのアラートにアクセスできる場合、ユーザーはインシデントを表示できます。 インシデントを管理できるのは、インシデント内のすべてのアラートにアクセスし、必要なアクセス許可を持っている場合のみです。
  • スコープ付きユーザーは、スコープに関連付けられているデータのみを表示できます。 ユーザーがアクセスできないエンティティがアラートに含まれている場合、ユーザーはこれらのエンティティを表示できません。 ユーザーが関連付けられているエンティティの少なくとも 1 つにアクセスできる場合は、アラート自体を表示できます。
  • テーブル全体のスコープを設定するには、すべての行に一致するルールを使用します (たとえば、常に true の条件を使用)。 すでに取り込まれているデータには、後からスコープを適用することはできません。
  • スコープ付きユーザーは、別のロールの割り当てでアクセス許可が割り当てられない限り、リソース (検出ルール、プレイブック、オートメーション ルールなど) を管理できません。

次の手順

スコープデプロイの計画を続行するには、次のリソースを使用します。