Konfigurowanie klucza zarządzanego przez klienta usługi Microsoft Sentinel

Ten artykuł zawiera podstawowe informacje i kroki konfigurowania klucza zarządzanego przez klienta dla usługi Microsoft Sentinel. Wszystkie dane przechowywane w usłudze Microsoft Sentinel są już szyfrowane przez firmę Microsoft we wszystkich odpowiednich zasobach magazynu. Klucz cmK zapewnia dodatkową warstwę ochrony za pomocą klucza szyfrowania utworzonego i należącego do Ciebie oraz przechowywanego w usłudze Azure Key Vault.

Prerequisites

1. Skonfiguruj dedykowany klaster usługi Log Analytics z co najmniej warstwą zobowiązania 100 GB/dzień. Gdy wiele obszarów roboczych jest połączonych z tym samym dedykowanym klastrem, współużytkują ten sam klucz zarządzany przez klienta. Dowiedz się więcej o cenach dedykowanego klastra usługi Log Analytics.
2. Skonfiguruj klucz cmK w dedykowanym klastrze i połącz obszar roboczy z tym klastrem. Dowiedz się więcej na temat kroków aprowizacji klucza zarządzanego przez klienta w usłudze Azure Monitor.

Considerations

• Dołączanie obszaru roboczego cmK do usługi Microsoft Sentinel jest obsługiwane tylko za pośrednictwem interfejsu API REST i interfejsu wiersza polecenia platformy Azure, a nie za pośrednictwem witryny Azure Portal. Szablony usługi Azure Resource Manager (szablony usługi ARM) nie są obecnie obsługiwane w przypadku dołączania klucza zarządzanego przez klienta.

• W następujących przypadkach pozyskane dane i dzienniki obszaru roboczego są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK), podczas gdy inne dane usługi Microsoft Sentinel, takie jak zawartość zabezpieczeń, reguły analizy, alerty, incydenty i pozostałe elementy, są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft:

  • Włączanie klucza zarządzanego przez użytkownika w obszarze roboczym, który jest już zintegrowany z Microsoft Sentinel.
  • Włączenie CMK w klastrze zawierającym obszary robocze z obsługą usługi Microsoft Sentinel.
  • Łączenie obszaru roboczego z włączoną usługą Microsoft Sentinel, który nie ma obsługi CMK, z klastrem, w którym włączono obsługę CMK.

• Następujące zmiany związane z kluczem cmK nie są obsługiwane , ponieważ mogą prowadzić do niezdefiniowanego i problematycznego zachowania:

  • Wyłączanie klucza zarządzanego przez klienta w obszarze roboczym już dołączonym do usługi Microsoft Sentinel.
  • Ustawianie obszaru roboczego dołączonego do usługi Sentinel z włączoną obsługą klucza zarządzanego przez klienta jako obszaru roboczego innego niż CMK przez odłączenie go od dedykowanego klastra z włączoną obsługą klucza zarządzanego przez klienta.
  • Wyłączanie klucza zarządzanego przez klienta w dedykowanym klastrze usługi Log Analytics z włączoną obsługą klucza zarządzanego.

• Jeśli dołączysz obszar roboczy z obsługą usługi Microsoft Sentinel do portalu usługi Defender, pozyskane dane/dzienniki obszaru roboczego pozostaną zaszyfrowane przy użyciu klucza zarządzanego przez klienta. Inne dane nie są szyfrowane za pomocą klucza głównego CMK i używają klucza zarządzanego przez firmę Microsoft.

• Usługa Microsoft Sentinel obsługuje tożsamości przypisane przez system w konfiguracji klucza zarządzanego przez system. W związku z tym tożsamość dedykowanego klastra usługi Log Analytics powinna być typu Przypisane przez system. Zalecamy użycie tożsamości, która jest automatycznie przypisywana do klastra usługi Log Analytics podczas jego tworzenia.

• Zmiana klucza zarządzanego przez klienta na inny klucz (z innym identyfikatorem URI) nie jest obecnie obsługiwana. Należy zmienić klucz, obracając go.

• Przed wprowadzeniem jakichkolwiek zmian klucza zarządzanego przez klienta w obszarze roboczym produkcyjnym lub w klastrze usługi Log Analytics skontaktuj się z grupą produktów usługi Microsoft Sentinel.

Jak działa klucz cmk

Rozwiązanie Microsoft Sentinel używa dedykowanego klastra usługi Log Analytics na potrzeby zbierania dzienników i funkcji. W ramach konfiguracji klucza zarządzanego przez klienta usługi Microsoft Sentinel należy skonfigurować ustawienia klucza zarządzanego przez klienta w powiązanym dedykowanym klastrze usługi Log Analytics. Dane zapisane przez usługę Microsoft Sentinel w zasobach magazynu innych niż usługa Log Analytics również są szyfrowane przy użyciu klucza zarządzanego przez klienta skonfigurowanego dla dedykowanego klastra usługi Log Analytics.

Aby uzyskać więcej informacji, zobacz:

• Klucze zarządzane przez klienta (CMK) usługi Azure Monitor.
• Usługa Azure Key Vault.
• Dedykowane klastry usługi Log Analytics.

Enable CMK

Aby zainicjować obsługę klucza zarządzanego przez klienta, wykonaj następujące kroki:

1. Upewnij się, że masz obszar roboczy usługi Log Analytics i że jest on połączony z dedykowanym klastrem, w którym włączono klucz zarządzania kluczami. (See Prerequisites.)
2. Zarejestruj się u dostawcy zasobów usługi Azure Cosmos DB.
3. Dodaj zasady dostępu do wystąpienia usługi Azure Key Vault.
4. Dołącz obszar roboczy do usługi Microsoft Sentinel za pośrednictwem interfejsu API dołączania.
5. Skontaktuj się z grupą produktów Microsoft Sentinel, aby potwierdzić dołączanie.

Krok 1. Konfigurowanie klucza zarządzanego przez klienta w obszarze roboczym usługi Log Analytics w dedykowanym klastrze

Jak wspomniano w wymaganiach wstępnych, aby dołączyć obszar roboczy usługi Log Analytics z kluczem cmK do usługi Microsoft Sentinel, ten obszar roboczy musi najpierw być połączony z dedykowanym klastrem usługi Log Analytics, na którym włączono klucz zarządzania kluczami klienta. Usługa Microsoft Sentinel będzie używać tego samego klucza używanego przez dedykowany klaster. Postępuj zgodnie z instrukcjami w konfiguracji klucza zarządzanego przez klienta usługi Azure Monitor, aby utworzyć obszar roboczy klucza zarządzanego przez klienta, który jest używany jako obszar roboczy usługi Microsoft Sentinel w poniższych krokach.

Krok 2. Rejestrowanie dostawcy zasobów usługi Azure Cosmos DB

Usługa Microsoft Sentinel współpracuje z usługą Azure Cosmos DB jako dodatkowym zasobem magazynu. Pamiętaj, aby zarejestrować się w dostawcy zasobów usługi Azure Cosmos DB przed dołączenia obszaru roboczego cmK do usługi Microsoft Sentinel.

Postępuj zgodnie z instrukcjami, aby zarejestrować dostawcę zasobów usługi Azure Cosmos DB dla subskrypcji platformy Azure.

Krok 3. Dodawanie zasad dostępu do wystąpienia usługi Azure Key Vault

Dodaj zasady dostępu umożliwiające usłudze Azure Cosmos DB dostęp do wystąpienia usługi Azure Key Vault połączonego z dedykowanym klastrem usługi Log Analytics (ten sam klucz będzie używany przez usługę Microsoft Sentinel).

Postępuj zgodnie z instrukcjami podanymi tutaj, aby dodać zasady dostępu do wystąpienia usługi Azure Key Vault za pomocą podmiotu zabezpieczeń usługi Azure Cosmos DB.

Krok 4. Dołączanie obszaru roboczego do usługi Microsoft Sentinel za pośrednictwem interfejsu API dołączania

Dołącz obszar roboczy z włączonym kluczem cmK do usługi Microsoft Sentinel za pośrednictwem interfejsu API dołączania przy użyciu customerManagedKey właściwości .true Aby uzyskać więcej kontekstu w interfejsie API dołączania, zobacz ten dokument w repozytorium GitHub usługi Microsoft Sentinel.

Na przykład następujący identyfikator URI i treść żądania to prawidłowe wywołanie dołączania obszaru roboczego do usługi Microsoft Sentinel po wysłaniu odpowiednich parametrów identyfikatora URI i tokenu autoryzacji.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Request body

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Krok 5. Skontaktuj się z grupą produktów Microsoft Sentinel, aby potwierdzić dołączanie

Na koniec potwierdź stan dołączania obszaru roboczego z obsługą klucza zarządzanego przez klienta, kontaktując się z grupą produktów usługi Microsoft Sentinel.

Odwołanie lub usunięcie klucza szyfrowania kluczy

Jeśli użytkownik odwoła klucz szyfrowania klucza (CMK), usuwając go lub usuwając dostęp dla dedykowanego klastra i dostawcy zasobów usługi Azure Cosmos DB, usługa Microsoft Sentinel honoruje zmianę i zachowuje się tak, jakby dane nie są już dostępne, w ciągu jednej godziny. W tym momencie wszelkie operacje korzystające z trwałych zasobów magazynu, takich jak pozyskiwanie danych, trwałe zmiany konfiguracji i tworzenie zdarzeń, są blokowane. Wcześniej przechowywane dane nie są usuwane, ale pozostają niedostępne. Niedostępne dane podlegają zasadom przechowywania danych i są czyszczone zgodnie z zasadami.

Jedyną operacją możliwą po odwołaniu lub usunięciu klucza szyfrowania jest usunięcie konta.

Jeśli dostęp zostanie przywrócony po odwołaniu, usługa Microsoft Sentinel przywraca dostęp do danych w ciągu godziny.

Dostęp do danych można odwołać, wyłączając klucz zarządzany przez klienta w magazynie kluczy lub usuwając zasady dostępu do klucza zarówno dla dedykowanego klastra usługi Log Analytics, jak i usługi Azure Cosmos DB. Odwoływania dostępu przez usunięcie klucza z dedykowanego klastra usługi Log Analytics lub usunięcie tożsamości skojarzonej z dedykowanym klastrem usługi Log Analytics nie jest obsługiwane.

Aby dowiedzieć się więcej o sposobie działania odwołania kluczy w usłudze Azure Monitor, zobacz Odwołanie klucza zarządzanego przez klienta usługi Azure Monitor.

Rotacja kluczy zarządzanych przez klienta

Usługi Microsoft Sentinel i Log Analytics obsługują rotację kluczy. Gdy użytkownik wykonuje rotację kluczy w usłudze Key Vault, usługa Microsoft Sentinel obsługuje nowy klucz w ciągu godziny.

W usłudze Azure Key Vault wykonaj rotację kluczy, tworząc nową wersję klucza:

Wyłącz poprzednią wersję klucza po 24 godzinach lub po tym, jak dzienniki inspekcji usługi Azure Key Vault nie pokazują już żadnych działań korzystających z poprzedniej wersji.

Po rotacji klucza należy jawnie zaktualizować dedykowany zasób klastra usługi Log Analytics w usłudze Log Analytics przy użyciu nowej wersji klucza usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Rotacja klucza zarządzanego przez klienta w usłudze Azure Monitor.

Zastępowanie klucza zarządzanego przez klienta

Usługa Microsoft Sentinel nie obsługuje zastępowania klucza zarządzanego przez klienta. Zamiast tego należy użyć funkcji rotacji kluczy.

Next steps

W tym dokumencie przedstawiono sposób konfigurowania klucza zarządzanego przez klienta w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .