Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general y pasos para configurar una clave administrada por el cliente (CMK) para Microsoft Sentinel. Todos los datos almacenados en Microsoft Sentinel ya están cifrados por Microsoft en todos los recursos de almacenamiento pertinentes. CMK proporciona una capa adicional de protección con una clave de cifrado creada y propiedad de usted y almacenada en Azure Key Vault.
Prerequisites
- Configure un clúster dedicado de Log Analytics con al menos un nivel de compromiso de 100 GB/día. Cuando varias áreas de trabajo están vinculadas al mismo clúster dedicado, comparten la misma clave administrada por el cliente. Obtenga información sobre los precios de los clústeres dedicados de Log Analytics.
- Configure CMK en el clúster dedicado y vincule el área de trabajo a ese clúster. Obtenga información sobre los pasos de aprovisionamiento de CMK en Azure Monitor.
Considerations
La incorporación de un área de trabajo de CMK a Microsoft Sentinel solo se admite a través de la API REST y la CLI de Azure, y no a través de Azure Portal. Actualmente, no se admiten las plantillas de Resource Manager (plantillas de ARM) para la incorporación de CMK.
En los casos siguientes, los datos y registros del área de trabajo ingeridos se cifran con CMK, mientras que otros datos de Microsoft Sentinel, incluidos el contenido de seguridad, como las reglas de análisis, pero también las alertas, los incidentes y mucho más, se cifran con claves administradas por Microsoft:
- Habilitación de CMK en un área de trabajo que ya está incorporada a Microsoft Sentinel.
- Habilitación de CMK en un clúster que contiene áreas de trabajo habilitadas para Microsoft Sentinel.
- Vinculación de un área de trabajo habilitada para Microsoft Sentinel que no sea CMK a un clúster habilitado para CMK.
No se admiten los siguientes cambios relacionados con CMK porque pueden provocar un comportamiento no definido y problemático:
- Deshabilitación de CMK en un área de trabajo que ya está incorporada a Microsoft Sentinel.
- Configurar un área de trabajo de Sentinel habilitada para CMK como un área de trabajo sin CMK, desvinculándola de su clúster dedicado habilitado para CMK.
- Deshabilitación de CMK en un clúster dedicado de Log Analytics habilitado para CMK.
Si incorpora el área de trabajo habilitada para Microsoft Sentinel al portal de Defender, los datos o registros del área de trabajo ingeridos permanecen cifrados con CMK. Otros datos no se cifran con CMK y usan una clave administrada por Microsoft.
Microsoft Sentinel admite identidades asignadas por el sistema en la configuración de CMK. Por lo tanto, la identidad del clúster de Log Analytics dedicado debe ser del tipo asignado por el sistema . Se recomienda usar la identidad que se asigna automáticamente al clúster de Log Analytics cuando se crea.
Actualmente no se admite el cambio de la clave administrada por el cliente a otra clave (con otro URI). Para cambiar la clave, debe rotarla.
Antes de realizar cambios de CMK en un área de trabajo de producción o en un clúster de Log Analytics, póngase en contacto con el grupo de productos de Microsoft Sentinel.
Funcionamiento de CMK
La solución Microsoft Sentinel usa un clúster dedicado de Log Analytics para la recopilación y las características de registros. Como parte de la configuración de CMK de Microsoft Sentinel, debe configurar los valores de CMK en el clúster dedicado de Log Analytics relacionado. Los datos que guarde Microsoft Sentinel en recursos de almacenamiento distintos de Log Analytics también se cifran mediante la clave administrada por el cliente que se haya configurado para el clúster dedicado de Log Analytics.
Para más información, consulte:
- Claves administradas por el cliente (CMK) de Azure Monitor.
- Azure Key Vault
- Clústeres dedicados de Log Analytics.
Note
Si habilita CMK en Microsoft Sentinel, cualquier característica de Public Preview que no admita CMK no estará habilitada.
Enable CMK
Para aprovisionar CMK, siga estos pasos:
- Asegúrese de que tiene un área de trabajo de Log Analytics y de que está vinculada a un clúster dedicado en el que CMK está habilitado. (See Prerequisites.)
- Regístrese en el proveedor de recursos de Azure Cosmos DB.
- Agregue una directiva de acceso a la instancia de Azure Key Vault.
- Incorpore el área de trabajo a Microsoft Sentinel a través de la API de incorporación.
- Póngase en contacto con el grupo de productos de Microsoft Sentinel para confirmar la incorporación.
Paso 1: Configuración de CMK en un área de trabajo de Log Analytics en un clúster dedicado
Como se mencionó en los requisitos previos, para incorporar un área de trabajo de Log Analytics con CMK a Microsoft Sentinel, este área de trabajo debe estar vinculada primero a un clúster de Log Analytics dedicado en el que cmK está habilitado. Microsoft Sentinel usará la misma clave que usa el clúster dedicado. Siga las instrucciones de configuración de clave administrada por el cliente de Azure Monitor para crear un área de trabajo de CMK que se use como área de trabajo de Microsoft Sentinel en los pasos siguientes.
Paso 2: Registro del proveedor de recursos Azure Cosmos DB
Microsoft Sentinel funciona con Azure Cosmos DB como recurso de almacenamiento adicional. Asegúrese de registrarse en el proveedor de recursos de Azure Cosmos DB antes de incorporar un área de trabajo de CMK a Microsoft Sentinel.
Siga las instrucciones para registrar el proveedor de recursos de Azure Cosmos DB para su suscripción de Azure.
Paso 3: Incorporación de una directiva de acceso a la instancia de Azure Key Vault
Agregue una directiva de acceso que permita a Azure Cosmos DB acceder a la instancia de Azure Key Vault vinculada al clúster de Log Analytics dedicado (Microsoft Sentinel usará la misma clave).
Siga las instrucciones que se indican aquí para agregar una directiva de acceso a la instancia de Azure Key Vault con un principal de Azure Cosmos DB.
Paso 4: Incorporación del área de trabajo a Microsoft Sentinel por medio de la API de incorporación
Incorpore el área de trabajo habilitada para CMK a Microsoft Sentinel a través de la API de incorporación utilizando la propiedad customerManagedKey como true. Para obtener más contexto sobre la API de incorporación, consulte este documento en el repositorio de GitHub de Microsoft Sentinel.
Por ejemplo, el siguiente URI y cuerpo de solicitud es una llamada válida para incorporar un área de trabajo a Microsoft Sentinel cuando se envían los parámetros URI y el token de autorización adecuados.
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Request body
{
"properties": {
"customerManagedKey": true
}
}
Paso 5: Contacto con el grupo de productos de Microsoft Sentinel para confirmar la incorporación
Por último, confirme el estado de incorporación del área de trabajo habilitada para CMK poniéndose en contacto con el grupo de productos de Microsoft Sentinel.
Revocación o eliminación de la clave de cifrado de claves
Si un usuario revoca la clave de cifrado (CMK), ya sea eliminándola o retirando el acceso al clúster dedicado y al proveedor de recursos de Azure Cosmos DB, Microsoft Sentinel respetará el cambio y se comportará como si los datos ya no estuvieran disponibles en un plazo de una hora. Desde ese momento se evita cualquier operación que use recursos de almacenamiento persistente, como la ingesta de datos, los cambios de configuración persistentes y la creación de incidentes. Los datos almacenados anteriormente no se eliminan, pero permanecen inaccesibles. Los datos inaccesibles se rigen por la directiva de retención de datos y se purgan conforme a esa directiva.
La única operación posible una vez revocada o eliminada la clave de cifrado es la eliminación de la cuenta.
Si se restaura el acceso después de la revocación, Microsoft Sentinel restaura el acceso a los datos en una hora.
El acceso a los datos se puede revocar si se deshabilita la clave administrada por el cliente en el almacén de claves o se elimina la directiva de acceso a la clave, tanto para el clúster dedicado de Log Analytics como para Azure Cosmos DB. No se admite la revocación del acceso quitando la clave del clúster dedicado de Log Analytics ni quitando la identidad asociada a ese clúster.
Para más información sobre cómo funciona la revocación de claves en Azure Monitor, consulte Revocación de CMK de Azure Monitor.
Rotación de claves administradas por el cliente
Microsoft Sentinel y Log Analytics admiten la rotación de claves. Cuando un usuario realiza una rotación de claves en Key Vault, Microsoft Sentinel admite la nueva clave en una hora.
En Azure Key Vault, realice la rotación de claves creando una nueva versión de la clave:
Deshabilite la versión anterior de la clave tras 24 horas, o bien después de que los registros de auditoría de Azure Key Vault ya no muestren ninguna actividad que use la versión anterior.
Después de rotar una clave, debe actualizar explícitamente el recurso de clúster dedicado en Log Analytics con la nueva versión de la clave de Azure Key Vault. Para obtener más información, consulte Rotación de CMK de Azure Monitor.
Reemplazo de una clave administrada por el cliente
Microsoft Sentinel no permite reemplazar una clave administrada por el cliente. En su lugar debe usar la funcionalidad de rotación de claves.
Next steps
En este documento ha aprendido a configurar una clave administrada por el cliente en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Comienza a detectar amenazas con Microsoft Sentinel.
- Usa hojas de cálculo para supervisar tus datos.