Gerenciar o acesso de leitura no nível da tabela em um espaço de trabalho do Log Analytics

As configurações de acesso no nível da tabela permitem conceder a usuários ou grupos específicos permissão somente leitura para dados em uma tabela. Os usuários com acesso de leitura no nível da tabela podem ler dados da tabela especificada no espaço de trabalho e no contexto do recurso.

Este artigo descreve duas maneiras de gerenciar o acesso de leitura no nível da tabela.

Nota

Recomendamos o uso do primeiro método descrito aqui, que está atualmente em visualização. Durante a visualização, o método recomendado descrito aqui não se aplica às Regras de Deteção do Microsoft Sentinel, que podem ter acesso a mais tabelas do que o pretendido. Como alternativa, você pode usar o método herdado de definir o acesso de leitura no nível da tabela, que tem algumas limitações relacionadas a tabelas de log personalizadas. Antes de usar qualquer um dos métodos, consulte Considerações e limitações de acesso no nível da tabela.

Definir acesso de leitura no nível da tabela (visualização)

A concessão de acesso de leitura no nível da tabela envolve a atribuição de duas funções a um usuário:

• No nível do espaço de trabalho - uma função personalizada que fornece permissões limitadas para ler detalhes do espaço de trabalho e executar uma consulta no espaço de trabalho, mas não para ler dados de nenhuma tabela.
• No nível da tabela - uma função de leitor , com escopo para a tabela específica.

Para conceder a um usuário ou grupo permissões limitadas para o espaço de trabalho do Log Analytics:

1. Crie uma função personalizada no nível do espaço de trabalho para permitir que os usuários leiam os detalhes do espaço de trabalho e executem uma consulta no espaço de trabalho, sem fornecer acesso de leitura aos dados em nenhuma tabela:

   1. Navegue até o espaço de trabalho e selecione Controle de acesso (IAM)>Funções.

   2. Clique com o botão direito do mouse na função Leitor e selecione Clonar.

      

      Isso abre a tela Criar uma função personalizada.

   3. Na guia Noções básicas da tela:

      1. Insira um valor de nome de função personalizado e, opcionalmente, forneça uma descrição.
      2. Defina as permissões da Linha de Base como Iniciar do zero.

      

   4. Selecione a guia >JSON Editar:

      1. "actions" Na seção , adicione estas ações:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" Na seção, adicione:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selecione Guardar>Revisão + Criar na parte inferior do ecrã e, em seguida , Criar na página seguinte.

2. Atribua sua função personalizada ao usuário relevante:

   1. Selecione Controle de acesso (AIM)>Adicionar>Adicionar atribuição de função.

      

   2. Selecione a função personalizada que você criou e selecione Avançar.

      

      Isso abre a guia Membros da tela Adicionar atribuição de função personalizada.

   3. Clique em + Selecionar membros para abrir a tela Selecionar membros .

      

   4. Procure e selecione um usuário e clique em Selecionar.

   5. Selecione Rever e atribuir.

O usuário agora pode ler detalhes do espaço de trabalho e executar uma consulta, mas não pode ler dados de nenhuma tabela.

Para conceder ao usuário acesso de leitura a uma tabela específica:

1. No menu Espaços de trabalho do Log Analytics, selecione Tabelas.

2. Selecione as reticências ( ... ) à direita da tabela e selecione Controle de acesso (IAM).

   

3. Na tela Controle de acesso (IAM), selecione Adicionar>atribuição de função.

4. Selecione a função Leitor e selecione Avançar.

5. Clique em + Selecionar membros para abrir a tela Selecionar membros .

6. Procure e selecione o usuário e clique em Selecionar.

7. Selecione Rever e atribuir.

O usuário agora pode ler dados desta tabela específica. Conceda ao usuário acesso de leitura a outras tabelas no espaço de trabalho, conforme necessário.

Método herdado de configuração do acesso de leitura no nível da tabela

O método herdado de nível de tabela também usa funções personalizadas do Azure para permitir que você conceda a usuários ou grupos específicos acesso a tabelas específicas no espaço de trabalho. As funções personalizadas do Azure aplicam-se a espaços de trabalho com modos de controle de acesso de contexto de espaço de trabalho ou de contexto de recurso, independentemente do modo de acesso do usuário.

Para definir o acesso a uma tabela específica, crie uma função personalizada:

• Defina as permissões de usuário na seção Ações da definição de função.
• Use Microsoft.OperationalInsights/workspaces/query/* para conceder acesso a todas as tabelas.
• Para excluir o acesso a tabelas específicas quando você usa um curinga em Ações, liste as tabelas excluídas na seção NotActions da definição de função.

Aqui estão exemplos de ações de função personalizadas para conceder e negar acesso a tabelas específicas.

Conceda acesso às tabelas Heartbeat e AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Conceda acesso apenas à tabela SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Conceda acesso a todas as tabelas, exceto à tabela SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Limitações do método herdado relacionadas a tabelas personalizadas

As tabelas personalizadas armazenam dados coletados de fontes de dados, como logs de texto e a API do Coletor de Dados HTTP. Para identificar o tipo de tabela, exiba as informações da tabela no Log Analytics.

Usando o método herdado de acesso no nível da tabela, você não pode conceder acesso a tabelas de log personalizadas individuais no nível da tabela, mas pode conceder acesso a todas as tabelas de log personalizadas. Para criar uma função com acesso a todas as tabelas de log personalizadas, crie uma função personalizada usando as seguintes ações:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Considerações e limitações de acesso em nível de tabela

• Na interface do usuário do Log Analytics, os usuários com nível de tabela podem ver a lista de todas as tabelas no espaço de trabalho, mas só podem recuperar dados de tabelas às quais têm acesso.
• As funções padrão de Leitor ou Colaborador, que incluem a ação */leitura, substituem o controle de acesso no nível da tabela e dão aos usuários acesso a todos os dados de log.
• Um usuário com acesso no nível da tabela, mas sem permissões no nível do espaço de trabalho, pode acessar dados de log da API, mas não do portal do Azure.
• Os administradores e proprietários da subscrição têm acesso a todos os tipos de dados, independentemente de quaisquer outras definições de permissão.
• Os proprietários de espaços de trabalho são tratados como qualquer outro usuário para controle de acesso por tabela.
• Atribua funções a grupos de segurança em vez de usuários individuais para reduzir o número de atribuições. Essa prática também ajudará você a usar as ferramentas de gerenciamento de grupo existentes para configurar e verificar o acesso.

Próximos passos

• Saiba mais sobre como gerenciar o acesso aos espaços de trabalho do Log Analytics.