Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Hintergrundinformationen und Schritte zum Konfigurieren eines kundenseitig verwalteten Schlüssels (CMK) für Microsoft Sentinel. Alle in Microsoft Sentinel gespeicherten Daten sind bereits von Microsoft in allen relevanten Speicherressourcen verschlüsselt. CMK bietet eine zusätzliche Schutzebene mit einem Verschlüsselungsschlüssel, der von Ihnen erstellt und in Ihrem Azure Key Vault gespeichert wird.
Voraussetzungen
- Konfigurieren Sie einen dedizierten Log Analytics-Cluster mit mindestens einer Mindestabnahmeebene von 100 GB/Tag. Wenn mehrere Arbeitsbereiche mit demselben dedizierten Cluster verknüpft sind, verwenden sie denselben kundenseitig verwalteten Schlüssel. Erfahren Sie mehr über die Preise für dedizierte Log Analytics-Cluster.
- Konfigurieren Sie CMK für den dedizierten Cluster, und verknüpfen Sie Ihren Arbeitsbereich mit diesem Cluster. Erfahren Sie mehr über die CMK-Bereitstellungsschritte in Azure Monitor.
Überlegungen
Das Onboarding eines CMK-Arbeitsbereichs in Microsoft Sentinel wird nur über die REST-API und die Azure CLI und nicht über die Azure-Portal unterstützt. Azure Resource Manager-Vorlagen (ARM-Vorlagen) werden für das CMK-Onboarding derzeit nicht unterstützt.
In den folgenden Fällen werden erfasste Arbeitsbereichsdaten und -protokolle mit CMK verschlüsselt, während andere Microsoft Sentinel Daten, einschließlich Sicherheitsinhalte wie Analyseregeln, aber auch Warnungen, Vorfälle und mehr, mit von Microsoft verwalteten Schlüsseln verschlüsselt werden:
- Aktivieren von CMK für einen Arbeitsbereich, der bereits in Microsoft Sentinel integriert ist.
- Aktivieren von CMK in einem Cluster, der Microsoft Sentinel Arbeitsbereiche enthält.
- Verknüpfen eines Microsoft Sentinel-fähigen, nicht CMK-Arbeitsbereichs mit einem CMK-fähigen Cluster.
Die folgenden CMK-bezogenen Änderungen werden nicht unterstützt , da sie zu undefiniertem und problematischem Verhalten führen können:
- Deaktivieren des CMK für einen Arbeitsbereich, der bereits in Microsoft Sentinel integriert wurde.
- Festlegen eines Sentinel integrierten, CMK-fähigen Arbeitsbereichs als Nicht-CMK-Arbeitsbereich, indem Sie die Verknüpfung mit dem cmk-fähigen dedizierten Cluster aufheben.
- Deaktivieren des CMK in einem dedizierten Log Analytics-Cluster mit CMK-Unterstützung.
Wenn Sie Ihren Microsoft Sentinel-fähigen Arbeitsbereich in das Defender-Portal integrieren, bleiben die erfassten Arbeitsbereichsdaten/-protokolle mit CMK verschlüsselt. Andere Daten werden nicht mit CMK verschlüsselt und verwenden einen von Microsoft verwalteten Schlüssel.
Microsoft Sentinel unterstützt systemseitig zugewiesene Identitäten in der CMK-Konfiguration. Daher sollte die Identität des dedizierten Log Analytics-Clusters vom Typ "Systemseitig zugewiesen" sein. Es wird empfohlen, die Identität zu verwenden, die dem Log Analytics-Cluster automatisch zugewiesen wird, wenn er erstellt wird.
Das Ändern des kundenseitig verwalteten Schlüssels in einen anderen Schlüssel (mit einem anderen URI) wird derzeit nicht unterstützt. Sie sollten den Schlüssel ändern, indem Sie ihn drehen.
Bevor Sie CMK-Änderungen an einem Produktionsarbeitsbereich oder an einem Log Analytics-Cluster vornehmen, wenden Sie sich an die Microsoft Sentinel Produktgruppe.
Funktionsweise von CMK
Die Microsoft Sentinel Lösung verwendet einen dedizierten Log Analytics-Cluster für die Protokollsammlung und -features. Im Rahmen der Microsoft Sentinel CMK-Konfiguration müssen Sie die CMK-Einstellungen für den zugehörigen dedizierten Log Analytics-Cluster konfigurieren. Daten, die von Microsoft Sentinel in anderen Speicherressourcen als Log Analytics gespeichert werden, werden ebenfalls mit dem kundenseitig verwalteten Schlüssel verschlüsselt, der für den dedizierten Log Analytics-Cluster konfiguriert ist.
Weitere Informationen finden Sie unter:
- Azure Überwachen von kundenseitig verwalteten Schlüsseln (CMK)
- Azure Key Vault.
- Dedizierte Log Analytics-Cluster.
Hinweis
Wenn Sie CMK auf Microsoft Sentinel aktivieren, sind alle Features der öffentlichen Vorschau, die CMK nicht unterstützen, nicht aktiviert.
Aktivieren von CMK
Führen Sie die folgenden Schritte aus, um CMK bereitzustellen:
- Stellen Sie sicher, dass Sie über einen Log Analytics-Arbeitsbereich verfügen und mit einem dedizierten Cluster verknüpft sind, in dem CMK aktiviert ist. (Weitere Informationen finden Sie unter Voraussetzungen.)
- Registrieren Sie sich beim Azure Cosmos DB-Ressourcenanbieter.
- Fügen Sie Ihrer Azure Key Vault instance eine Zugriffsrichtlinie hinzu.
- Integrieren Sie den Arbeitsbereich über die Onboarding-API in Microsoft Sentinel.
- Wenden Sie sich an die Microsoft Sentinel Produktgruppe, um das Onboarding zu bestätigen.
Schritt 1: Konfigurieren des CMK in einem Log Analytics-Arbeitsbereich in einem dedizierten Cluster
Wie in den Voraussetzungen erwähnt, muss dieser Arbeitsbereich zunächst mit einem dedizierten Log Analytics-Cluster verknüpft werden, in dem CMK aktiviert ist, um das Onboarding eines Log Analytics-Arbeitsbereichs mit Microsoft Sentinel durchzuführen. Microsoft Sentinel verwenden denselben Schlüssel, der auch vom dedizierten Cluster verwendet wird. Befolgen Sie die Anweisungen unter Azure Überwachen der Konfiguration von kundenseitig verwalteten Schlüsseln, um einen CMK-Arbeitsbereich zu erstellen, der in den folgenden Schritten als Microsoft Sentinel Arbeitsbereich verwendet wird.
Schritt 2: Registrieren des Azure Cosmos DB-Ressourcenanbieters
Microsoft Sentinel funktioniert mit Azure Cosmos DB als zusätzliche Speicherressource. Stellen Sie sicher, dass Sie sich beim Azure Cosmos DB-Ressourcenanbieter registrieren, bevor Sie einen CMK-Arbeitsbereich in Microsoft Sentinel integrieren.
Befolgen Sie die Anweisungen unter Registrieren des Azure Cosmos DB-Ressourcenanbieters für Ihr Azure-Abonnement.
Schritt 3: Hinzufügen einer Zugriffsrichtlinie zu Ihrem Azure Key Vault instance
Fügen Sie eine Zugriffsrichtlinie hinzu, die es Azure Cosmos DB ermöglicht, auf die Azure Key Vault instance zuzugreifen, die mit Ihrem dedizierten Log Analytics-Cluster verknüpft ist (derselbe Schlüssel wird von Microsoft Sentinel verwendet).
Befolgen Sie die hier beschriebenen Anweisungen, um Ihrer Azure Key Vault instance mit einem Azure Cosmos DB-Prinzipal eine Zugriffsrichtlinie hinzuzufügen.
Schritt 4: Onboarding des Arbeitsbereichs in Microsoft Sentinel über die Onboarding-API
Integrieren Sie den CMK-fähigen Arbeitsbereich in Microsoft Sentinel über die Onboarding-API, indem Sie die customerManagedKey -Eigenschaft als verwendentrue. Weitere Informationen zur Onboarding-API finden Sie in diesem Dokument im Microsoft Sentinel GitHub-Repository.
Der folgende URI und anforderungstext ist beispielsweise ein gültiger Aufruf zum Onboarding eines Arbeitsbereichs in Microsoft Sentinel, wenn die richtigen URI-Parameter und das Autorisierungstoken gesendet werden.
uri
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Anforderungstext
{
"properties": {
"customerManagedKey": true
}
}
Schritt 5: Wenden Sie sich an die Microsoft Sentinel Produktgruppe, um das Onboarding zu bestätigen.
Bestätigen Sie abschließend das Onboarding status Ihres CMK-fähigen Arbeitsbereichs, indem Sie sich an die Microsoft Sentinel-Produktgruppe wenden.
Sperrung oder Löschung von Schlüsselverschlüsselungsschlüsseln
Wenn ein Benutzer den Schlüsselverschlüsselungsschlüssel (CMK) entweder durch Löschen oder Entfernen des Zugriffs für den dedizierten Cluster und Azure Cosmos DB-Ressourcenanbieters widerruft, berücksichtigt Microsoft Sentinel die Änderung und verhält sich innerhalb einer Stunde so, als ob die Daten nicht mehr verfügbar sind. An diesem Punkt wird jeder Vorgang, der persistente Speicherressourcen wie Datenerfassung, persistente Konfigurationsänderungen und Die Erstellung von Incidents verwendet, verhindert. Zuvor gespeicherte Daten werden nicht gelöscht, sind aber weiterhin unzugänglich. Nicht zugängliche Daten unterliegen der Datenaufbewahrungsrichtlinie und werden gemäß dieser Richtlinie gelöscht.
Der einzige vorgang, der nach dem Widerrufen oder Löschen des Verschlüsselungsschlüssels möglich ist, ist das Löschen des Kontos.
Wenn der Zugriff nach der Sperrung wiederhergestellt wird, stellt Microsoft Sentinel den Zugriff auf die Daten innerhalb einer Stunde wieder her.
Der Zugriff auf die Daten kann widerrufen werden, indem der kundenseitig verwaltete Schlüssel im Schlüsseltresor deaktiviert oder die Zugriffsrichtlinie für den Schlüssel sowohl für den dedizierten Log Analytics-Cluster als auch für Azure Cosmos DB gelöscht wird. Das Widerrufen des Zugriffs durch Entfernen des Schlüssels aus dem dedizierten Log Analytics-Cluster oder durch Entfernen der Identität, die dem dedizierten Log Analytics-Cluster zugeordnet ist, wird nicht unterstützt.
Weitere Informationen zur Funktionsweise der Schlüsselsperrung in Azure Monitor finden Sie unter Azure Überwachen der CMK-Sperrung.
Kundenseitig verwaltete Schlüsselrotation
Microsoft Sentinel und Log Analytics unterstützen die Schlüsselrotation. Wenn ein Benutzer die Schlüsselrotation in Key Vault durchführt, unterstützt Microsoft Sentinel den neuen Schlüssel innerhalb einer Stunde.
Führen Sie in Azure Key Vault eine Schlüsselrotation durch, indem Sie eine neue Version des Schlüssels erstellen:
Deaktivieren Sie die vorherige Version des Schlüssels nach 24 Stunden oder nach dem Azure Key Vault Überwachungsprotokollen keine Aktivität mehr anzeigt, die die vorherige Version verwendet.
Nach dem Rotieren eines Schlüssels müssen Sie die dedizierte Log Analytics-Clusterressource in Log Analytics explizit mit der neuen Azure Key Vault Schlüsselversion aktualisieren. Weitere Informationen finden Sie unter Azure Überwachen der CMK-Drehung.
Ersetzen eines kundenseitig verwalteten Schlüssels
Microsoft Sentinel unterstützt das Ersetzen eines kundenseitig verwalteten Schlüssels nicht. Sie sollten stattdessen die Schlüsselrotationsfunktion verwenden.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie einen kundenseitig verwalteten Schlüssel in Microsoft Sentinel einrichten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.