Konfigurer Microsoft Sentinel kundeadministrerede nøgle

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Denne artikel indeholder baggrundsoplysninger og trin til konfiguration af en kundeadministrert nøgle (CMK) til Microsoft Sentinel. Alle de data, der er gemt i Microsoft Sentinel, er allerede krypteret af Microsoft i alle relevante lagerressourcer. CMK giver et ekstra beskyttelseslag med en krypteringsnøgle, der er oprettet og ejet af dig og gemt i dit Azure Key Vault.

Forudsætninger

  1. Konfigurer en dedikeret Log Analytics-klynge med mindst 100 GB/dags bindingsniveau. Når flere arbejdsområder er knyttet til den samme dedikerede klynge, deler de den samme kundeadministrerede nøgle. Få mere at vide om prisfastsættelse for dedikerede klynger i Log Analytics.
  2. Konfigurer CMK på den dedikerede klynge, og sammenkæd dit arbejdsområde med den pågældende klynge. Få mere at vide om CMK-klargøringstrinnene i Azure Monitor.

Data beskyttet af CMK

Når CMK er aktiveret, beskyttes følgende data:

  • Log Analytics-tabeller i arbejdsområder, der er knyttet til den dedikerede klynge
  • Visse Microsoft Sentinel ressourcer, der er gemt i de sammenkædede arbejdsområder:
    • Analyseregler
    • Trusselsintelligens
    • Oversigtsregler
    • Visningslister

Bemærk!

UEBA skriver data og indsigt i dit Log Analytics-arbejdsområde, som kan beskyttes ved hjælp af kundeadministrerede nøgler (CMK). UEBA-behandling omfatter dog også lagring af afledte data uden for dit Log Analytics-arbejdsområde, som i øjeblikket ikke kan beskyttes med CMK.

Alle andre data bruger i stedet en Microsoft-administreret nøgle (MMK) og er ikke beskyttet af CMK. Dette omfatter f.eks., men er ikke begrænset til:

  • Driftsdata i Microsoft Sentinel f.eks. beskeder, hændelser og funktionsmåder og de data, der er inkluderet i dem.
  • Data, der er gemt i produkter/tjenester uden for Microsoft Sentinel, f.eks. Security Copilot og Entra, eller ressourcer, der er gemt uden for arbejdsområdet, f.eks. projektmapper, playbooks.

Hvis du har specifikke behov, der kræver øget CMK-dækning, skal du kontakte dit kontoteam.

Overvejelser i forbindelse med onboarding

  • Onboarding af et CMK-arbejdsområde til Microsoft Sentinel understøttes kun via REST API og Azure kommandolinjegrænsefladen og ikke via Azure Portal. Azure Resource Manager skabeloner (ARM-skabeloner) understøttes i øjeblikket ikke til cmk-onboarding.

  • I følgende tilfælde krypteres kun data, der er indtaget i Log Analytics-tabeller, med CMK, mens alle andre data krypteres med Microsoft-administrerede nøgler:

    • Aktivering af CMK på et arbejdsområde, der allerede er onboardet til Microsoft Sentinel.
    • Aktivering af CMK på en klynge, der indeholder Microsoft Sentinel-aktiverede arbejdsområder.
    • Linkning af et Microsoft Sentinel-aktiveret, ikke-CMK-arbejdsområde til en CMK-aktiveret klynge.

  • Følgende CMK-relaterede ændringer understøttes ikke , fordi de kan medføre udefineret og problematisk funktionsmåde:

    • Deaktivering af CMK i et arbejdsområde, der allerede er onboardet til Microsoft Sentinel.
    • Angivelse af et Sentinel onboardet CMK-aktiveret arbejdsområde som et arbejdsområde, der ikke er CMK, ved at fjerne sammenkædningen af det med den cmk-aktiverede dedikerede klynge.
    • Deaktivering af CMK på en CMK-aktiveret Log Analytics-dedikeret klynge.

  • Microsoft Sentinel understøtter System Assigned Identities i CMK-konfigurationen. Derfor skal den dedikerede Log Analytics-klynges identitet være en System Assigned-identitet . Vi anbefaler, at du bruger den identitet, der automatisk tildeles Log Analytics-klyngen, når den oprettes.

  • Ændring af den kundeadministrerede nøgle til en anden nøgle (med en anden URI) understøttes ikke i øjeblikket. Skift tasten ved at rotere den.

  • Før du foretager CMK-ændringer i et produktionsarbejdsområde eller en Log Analytics-klynge, skal du kontakte Microsoft Sentinel Product Group.

Sådan fungerer CMK

Den Microsoft Sentinel løsning bruger en dedikeret Log Analytics-klynge til samling af logfiler og funktioner. Som en del af Microsoft Sentinel CMK-konfigurationen skal du konfigurere CMK-indstillingerne i den relaterede dedikerede Log Analytics-klynge.

Du kan finde flere oplysninger under:

Bemærk!

Hvis du aktiverer CMK på Microsoft Sentinel, aktiveres alle offentlige prøveversionsfunktioner, der ikke understøtter CMK, ikke.

Aktivér CMK

Hvis du vil klargøre CMK, skal du følge disse trin:

  1. Konfigurer CMK i et arbejdsområde til loganalyse på en dedikeret klynge. Se Forudsætninger.
  2. Tilmeld dig Azure Cosmos DB-ressourceudbyderen.
  3. Føj en adgangspolitik til din Azure Key Vault forekomst.
  4. Onboarder arbejdsområdet for at Microsoft Sentinel via Onboarding-API'en.
  5. Kontakt Microsoft Sentinel produktgruppen for at bekræfte onboarding.

Trin 1: Konfigurer CMK i et Log Analytics-arbejdsområde på en dedikeret klynge

Som nævnt i forudsætningerne skal dette arbejdsområde først knyttes til en dedikeret Log Analytics-klynge, hvor CMK er aktiveret, for at onboarde et Log Analytics-arbejdsområde med CMK til Microsoft Sentinel. Microsoft Sentinel bruger den samme nøgle, der bruges af den dedikerede klynge. Følg vejledningen i Azure Overvåg konfiguration af kundeadministrerede nøgler for at oprette et CMK-arbejdsområde, der bruges som Microsoft Sentinel arbejdsområde, i følgende trin.

Trin 2: Registrer Azure Cosmos DB-ressourceudbyderen

Microsoft Sentinel arbejder med Azure Cosmos DB som en ekstra lagerressource. Sørg for at tilmelde dig Azure Cosmos DB-ressourceudbyderen, før du onboarder et CMK-arbejdsområde for at Microsoft Sentinel.

Følg vejledningen for at registrere Azure Cosmos DB-ressourceudbyderen for dit Azure-abonnement.

Trin 3: Føj en adgangspolitik til din Azure Key Vault forekomst

Tilføj en adgangspolitik, der gør det muligt for Azure Cosmos DB at få adgang til den Azure Key Vault forekomst, der er knyttet til din dedikerede Log Analytics-klynge (den samme nøgle bruges af Microsoft Sentinel).

Følg vejledningen her for at føje en adgangspolitik til din Azure Key Vault forekomst med en Azure Cosmos DB-sikkerhedskonto.

Skærmbillede af indstillingen Vælg hovedprincipal på siden Tilføj adgangspolitik.

Trin 4: Onboarder arbejdsområdet for at Microsoft Sentinel via onboarding-API'en

Onboarder det CMK-aktiverede arbejdsområde for at Microsoft Sentinel via onboarding-API'en ved hjælp af egenskaben customerManagedKey som true. Du kan få mere kontekst om onboarding-API'en i dette dokument i Microsoft Sentinel GitHub-lager.

Følgende URI og anmodningsbrødtekst er f.eks. et gyldigt kald til onboarding af et arbejdsområde for at Microsoft Sentinel, når de korrekte URI-parametre og godkendelsestoken sendes.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Brødtekst i anmodning

{ 
"properties": { 
    "customerManagedKey": true 
    }  
}

Trin 5: Kontakt Microsoft Sentinel produktgruppen for at bekræfte onboarding

Endelig skal du bekræfte onboardingstatussen for dit CMK-aktiverede arbejdsområde ved at kontakte Microsoft Sentinel Produktgruppe.

Tilbagekaldelse eller sletning af nøglekrypteringsnøgle

Hvis en bruger tilbagekalder nøglekrypteringsnøglen (CMK), enten ved at slette den eller fjerne adgangen for den dedikerede klynge og Azure Cosmos DB-ressourceudbyder, accepterer Microsoft Sentinel ændringen og fungerer, som om dataene ikke længere er tilgængelige, inden for én time. På dette tidspunkt forhindres enhver handling, der bruger vedvarende lagerressourcer, f.eks. dataindtagelse, vedvarende konfigurationsændringer og oprettelse af hændelser. Tidligere gemte data slettes ikke, men er stadig utilgængelige. Utilgængelige data er underlagt politikken for dataopbevaring og fjernes i overensstemmelse med denne politik.

Den eneste mulige handling, når krypteringsnøglen er tilbagekaldt eller slettet, er kontosletning.

Hvis adgangen gendannes efter tilbagekaldelsen, gendanner Microsoft Sentinel adgang til dataene inden for en time.

Adgang til dataene kan tilbagekaldes ved at deaktivere den kundeadministrerede nøgle i key vault eller slette adgangspolitikken til nøglen for både den dedikerede Log Analytics-klynge og Azure Cosmos DB. Tilbagekaldelse af adgang ved at fjerne nøglen fra den dedikerede Log Analytics-klynge eller ved at fjerne den identitet, der er knyttet til den dedikerede Log Analytics-klynge, understøttes ikke.

Hvis du vil vide mere om, hvordan tilbagekaldelse af nøgler fungerer i Azure Monitor, skal du se Azure Monitor CMK-tilbagekaldelse.

Kundeadministrerede nøglerotationer

Microsoft Sentinel og Log Analytics understøtter nøglerotation. Når en bruger udfører nøglerotation i Key Vault, understøtter Microsoft Sentinel den nye nøgle inden for en time.

I Azure Key Vault skal du udføre nøglerotation ved at oprette en ny version af nøglen:

nøglerotation

Deaktiver den tidligere version af nøglen efter 24 timer, eller efter at de Azure Key Vault overvågningslogge ikke længere viser nogen aktivitet, der bruger den tidligere version.

Når du har roteret en nøgle, skal du eksplicit opdatere den dedikerede Log Analytics-klyngeressource i Log Analytics med den nye Azure Key Vault nøgleversion. Du kan få flere oplysninger under Azure Overvåg CMK-rotation.

Erstatning af en kundeadministrerede nøgle

Microsoft Sentinel understøtter ikke erstatning af en kundeadministrerede nøgle. Du bør i stedet bruge nøglerotationsfunktionen .

Næste trin

I dette dokument har du lært, hvordan du konfigurerer en kundeadministrerede nøgle i Microsoft Sentinel. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

  • Last updated on