Log Analytics çalışma alanında tablo düzeyinde okuma erişimini yönetme
Tablo düzeyinde erişim ayarları, tablodaki veriler için belirli kullanıcılara veya gruplara salt okunur izin vermenizi sağlar. Tablo düzeyinde okuma erişimi olan kullanıcılar, hem çalışma alanında hem de kaynak bağlamında belirtilen tablodan verileri okuyabilir.
Bu makalede tablo düzeyinde okuma erişimini yönetmenin iki yolu açıklanmaktadır.
Not
Burada açıklanan ve şu anda önizleme aşamasında olan ilk yöntemi kullanmanızı öneririz. Önizleme sırasında, burada açıklanan önerilen yöntem Microsoft Sentinel Algılama Kuralları için geçerli değildir ve bu kurallar hedeflenenden daha fazla tabloya erişebilir. Alternatif olarak, özel günlük tablolarıyla ilgili bazı sınırlamaları olan tablo düzeyinde okuma erişimini ayarlamak için eski yöntemi kullanabilirsiniz. Yöntemlerden birini kullanmadan önce bkz . Tablo düzeyinde erişimle ilgili önemli noktalar ve sınırlamalar.
Tablo düzeyinde okuma erişimini ayarlama (önizleme)
Tablo düzeyinde okuma erişimi vermek, kullanıcıya iki rol atamayı içerir:
- Çalışma alanı düzeyinde: Çalışma alanı ayrıntılarını okumak ve çalışma alanında sorgu çalıştırmak için sınırlı izinler sağlayan, ancak herhangi bir tablodaki verileri okumamaya yönelik özel bir rol.
- Tablo düzeyinde, kapsamı belirli bir tabloyla belirlenmiş bir Okuyucu rolü.
Bir kullanıcıya veya gruba Log Analytics çalışma alanı için sınırlı izinler vermek için:
Kullanıcıların çalışma alanı ayrıntılarını okumasına ve herhangi bir tablodaki verilere okuma erişimi sağlamadan çalışma alanında sorgu çalıştırmasına olanak sağlamak için çalışma alanı düzeyinde özel bir rol oluşturun:
Çalışma alanınıza gidin ve Erişim denetimi (IAM)Roller'i> seçin.
Okuyucu rolüne sağ tıklayın ve Kopyala'yı seçin.
Bu, Özel rol oluştur ekranını açar.
Ekranın Temel Bilgiler sekmesinde:
- Özel rol adı değeri girin ve isteğe bağlı olarak bir açıklama girin.
- Temel izinleri Sıfırdan başla olarak ayarlayın.
JSON sekmesini >düzenle'yi seçin:
"actions"
bölümüne şu eylemleri ekleyin:"Microsoft.OperationalInsights/workspaces/read", "Microsoft.OperationalInsights/workspaces/query/read"
"not actions"
bölümüne şunları ekleyin:"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
Ekranın alt kısmındaki Gözden Geçirmeyi Kaydet>+ Oluştur'u ve ardından sonraki sayfada Oluştur'u seçin.
Özel rolünüzü ilgili kullanıcıya atayın:
Kullanıcı artık çalışma alanı ayrıntılarını okuyabilir ve sorgu çalıştırabilir, ancak herhangi bir tablodaki verileri okuyamaz.
Kullanıcıya belirli bir tabloya okuma erişimi vermek için:
Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.
Tablonuzun sağ tarafındaki üç noktayı ( ... ) seçin ve Erişim denetimi (IAM) seçeneğini belirleyin.
Erişim denetimi (IAM) ekranında Rol ataması ekle'yi>seçin.
Okuyucu rolünü seçin ve İleri'yi seçin.
Üyeleri seç ekranını açmak için + Üyeleri seç'e tıklayın.
Kullanıcıyı arayıp seçin ve Seç'e tıklayın.
Gözden geçir ve ata'yı seçin.
Kullanıcı artık bu tablodaki verileri okuyabilir. Kullanıcıya gerektiğinde çalışma alanı içindeki diğer tablolara okuma erişimi verin.
Tablo düzeyinde okuma erişimini ayarlamanın eski yöntemi
Tablo düzeyindeki eski yöntem, çalışma alanında belirli kullanıcılara veya gruplara belirli tablolara erişim izni vermenizi sağlamak için Azure özel rollerini de kullanır. Azure özel rolleri, kullanıcının erişim modundan bağımsız olarak çalışma alanı bağlamı veya kaynak bağlamı erişim denetimi modlarına sahip çalışma alanları için geçerlidir.
Belirli bir tabloya erişimi tanımlamak için özel bir rol oluşturun:
- Rol tanımının Eylemler bölümünde kullanıcı izinlerini ayarlayın.
- Tüm tablolara erişim vermek için kullanın
Microsoft.OperationalInsights/workspaces/query/*
. - Eylemler'de joker karakter kullandığınızda belirli tablolara erişimi dışlamak için rol tanımının NotActions bölümünde dışlanan tabloları listeleyin.
Burada, belirli tablolara erişim vermek ve reddetmek için özel rol eylemleri örnekleri verilmiştir.
Heartbeat ve AzureActivity tablolarına erişim izni verme:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
"Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
],
Yalnızca SecurityBaseline tablosuna erişim izni verin:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],
SecurityAlert tablosu dışındaki tüm tablolara erişim izni verin:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],
Özel tablolarla ilgili eski yöntemin sınırlamaları
Özel tablolar, metin günlükleri ve HTTP Veri Toplayıcı API'si gibi veri kaynaklarından topladığınız verileri depolar. Tablo türünü tanımlamak için Log Analytics'te tablo bilgilerini görüntüleyin.
Tablo düzeyindeki eski erişim yöntemini kullanarak, tablo düzeyinde tek tek özel günlük tablolarına erişim izni veramazsınız, ancak tüm özel günlük tablolarına erişim vekleyebilirsiniz. Tüm özel günlük tablolarına erişimi olan bir rol oluşturmak için aşağıdaki eylemleri kullanarak özel bir rol oluşturun:
"Actions": [
"Microsoft.OperationalInsights/workspaces/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],
Tablo düzeyinde erişimle ilgili dikkat edilmesi gerekenler ve sınırlamalar
- Log Analytics kullanıcı arabiriminde, tablo düzeyine sahip kullanıcılar çalışma alanı içindeki tüm tabloların listesini görebilir, ancak yalnızca erişim sahibi oldukları tablolardan veri alabilir.
- */okuma eylemini içeren standart Okuyucu veya Katkıda Bulunan rolleri, tablo düzeyinde erişim denetimini geçersiz kılar ve kullanıcılara tüm günlük verilerine erişim verir.
- Tablo düzeyinde erişime sahip ancak çalışma alanı düzeyinde izinlere sahip olmayan bir kullanıcı günlük verilerine API'den erişemez ancak Azure portalından erişemez.
- Aboneliğin yöneticileri ve sahipleri, diğer izin ayarlarından bağımsız olarak tüm veri türlerine erişebilir.
- Çalışma alanı sahipleri, tablo başına erişim denetimi için diğer kullanıcılar gibi değerlendirilir.
- Atama sayısını azaltmak için tek tek kullanıcılar yerine güvenlik gruplarına roller atayın. Bu uygulama, erişimi yapılandırmak ve doğrulamak için mevcut grup yönetimi araçlarını kullanmanıza da yardımcı olur.
Sonraki adımlar
- Log Analytics çalışma alanlarına erişimi yönetme hakkında daha fazla bilgi edinin.