Azure Sentinel RBAC - Лучшая практика
Мы находимся в процессе внедрения Sentinel несколькими источниками данных, каков наилучший способ сделать RBAC?
1 ответ
Это состоит из двух частей. Первый - это использование RBAC для защиты вашего Azure Sentinel. В этом документе есть дополнительная информация об этом:https://docs.microsoft.com/en-us/azure/sentinel/roles
Вторая часть - это защита журналов в вашей рабочей области Log Analytics. Это позволит контролировать, какую информацию могут видеть пользователи, имеющие доступ к вашему Azure Sentinel. Поэтому, если вы хотите, чтобы только определенные аналитики безопасности видели ваши журналы O365, вы можете управлять им с помощью RBAC на уровне таблицы в журналах.
https://techcommunity.microsoft.com/t5/Azure-Sentinel/Table-Level-RBAC-In-Azure-Sentinel/ba-p/965043
Вы просто создадите панель мониторинга из Azure Sentinel и назначите ей роли RBAC так же, как и с любым другим ресурсом в Azure.
Краткое руководство охватывает это:
Чтобы создать новую панель с нуля, выберите "Панели мониторинга", а затем "+ Новая панель мониторинга".
Выберите подписку, в которой создана панель мониторинга, и дайте ей описательное имя. Каждая панель мониторинга является ресурсом Azure, как и любой другой, и вы можете назначить ему роли (RBAC) для определения и ограничения доступа к ним.
Чтобы он отображался на ваших инструментальных панелях для закрепления визуализаций, вы должны поделиться им. Нажмите "Поделиться", а затем "Управление пользователями".
Используйте проверки доступа и назначения ролей, как для любого другого ресурса Azure. Дополнительные сведения см. В разделе "Аналитические панели общего доступа Azure с использованием RBAC".
Позвольте мне знать, если это помогает.