Мы находимся в процессе внедрения Sentinel с несколькими источниками данных. Как лучше всего реализовать RBAC?
Azure Sentinel RBAC - передовой опыт
Ответы (2)
Вы просто создаете панель мониторинга из Azure Sentinel и назначаете ей роли RBAC так же, как и с любым другим ресурсом в Azure.
Это описано в кратком руководстве:
Чтобы создать новую панель мониторинга с нуля, выберите «Панели мониторинга», а затем + «Новая панель мониторинга».
Выберите подписку, в которой создана панель управления, и дайте ей описательное имя. Каждая панель мониторинга является ресурсом Azure, как и любой другой, и вы можете назначать ей роли (RBAC), чтобы определять и ограничивать круг лиц, имеющих доступ.
Чтобы он отображался на ваших информационных панелях для закрепления визуализаций, вы должны поделиться им. Нажмите «Поделиться», а затем «Управление пользователями».
Используйте проверки доступа и назначения ролей, как и для любого другого ресурса Azure. Дополнительные сведения см. В разделе Совместное использование панелей мониторинга Azure с помощью RBAC.
Позвольте мне знать, если это помогает.
Это состоит из двух частей. Первый - это использование RBAC для защиты вашего Azure Sentinel. В этом документе есть дополнительная информация об этом: https://docs.microsoft.com/en-us/azure/sentinel/roles
Вторая часть - это защита журналов в вашей рабочей области Log Analytics. Это будет контролировать, какую информацию могут видеть те пользователи, у которых есть доступ к вашему Azure Sentinel. Поэтому, если вы хотите, чтобы только определенные аналитики безопасности видели ваши журналы O365, вы можете управлять им с помощью RBAC на уровне таблицы в журналах.
https://techcommunity.microsoft.com/t5/Azure-Sentinel/Table-Level-RBAC-In-Azure-Sentinel/ba-p/965043