我们正在使用多个数据源实现Sentinel,什么是执行RBAC的最佳方法?
答案 0 :(得分:1)
有两个部分。首先是使用RBAC保护Azure Sentinel。本文档包含有关以下内容的更多信息: https://docs.microsoft.com/en-us/azure/sentinel/roles
第二部分是在Log Analytics工作区中保护日志的安全。这将控制那些有权访问您的Azure Sentinel的用户可以看到哪些信息。因此,如果您只希望某些安全分析师查看O365日志,则可以通过日志中的表级RBAC对其进行控制。
https://techcommunity.microsoft.com/t5/Azure-Sentinel/Table-Level-RBAC-In-Azure-Sentinel/ba-p/965043
答案 1 :(得分:0)
您只需从Azure Sentinel创建仪表板,并以与Azure中任何其他资源相同的方式向其分配RBAC角色。
quickstart guide涵盖了这一点:
要从头开始创建新的仪表板,请选择“仪表板”,然后选择“ +新建仪表板”。
选择创建仪表板的订阅,并为其指定描述性名称。每个仪表盘都像其他资源一样都是Azure资源,您可以为其分配角色(RBAC)来定义和限制谁可以访问。
要使其能够显示在仪表板上以将可视化图固定在其中,必须共享它。点击共享,然后点击管理用户。
像使用其他任何Azure资源一样,使用“检查”访问权限和角色分配。有关更多信息,请参见使用RBAC共享Azure仪表板。
让我知道这是否有帮助。