Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa on taustatietoja ja ohjeita asiakkaan hallitseman avaimen (CMK) määrittämiseen Microsoft Sentinel varten. Microsoft on jo salannut kaikki Microsoft Sentinel tallennetut tiedot kaikissa asianmukaisissa tallennusresursseissa. CMK tarjoaa ylimääräisen suojauskerroksen, jossa on sinun luomasi ja omistamasi salausavain, joka on tallennettu Azure Key Vault.
Ennakkovaatimukset
- Määritä Log Analyticsille varattu klusteri, jossa on vähintään 100 Gigatavua päivässä -sitoumustaso. Kun samaan erilliseen klusteriin on linkitetty useita työtiloja, niillä on sama asiakkaan hallitsema avain. Lisätietoja Log Analyticsin varatun klusterin hinnoittelusta.
- Määritä CMK erilliseen klusteriin ja linkitä työtila kyseiseen klusteriin. Lue lisätietoja cmk-valmisteluvaiheista Azure Monitorissa.
Näkökohdat
CMK-työtilan perehdyttämistä Microsoft Sentinel tuetaan vain REST-ohjelmointirajapinnan ja Azure CLI:n kautta, ei Azure-portaali kautta. Azure Resource Manager malleja (ARM-malleja) ei tällä hetkellä tueta CMK-perehdytykseen.
Seuraavissa tapauksissa sisäänkäytetyt työtilan tiedot ja lokit salataan CMK:lla, kun taas muut Microsoft Sentinel tiedot, mukaan lukien suojaussisältö, kuten analytiikkasäännöt, mutta myös hälytykset, tapaukset ja paljon muuta, salataan Microsoftin hallitsemilla avaimilla:
- CMK:n ottaminen käyttöön työtilassa, joka on jo otettu käyttöön Microsoft Sentinel.
- CMK:n ottaminen käyttöön klusterissa, joka sisältää Microsoft Sentinel työtiloja.
- Microsoft Sentinel käyttävän muun kuin CMK-työtilan linkittäminen CMK:ta käyttävään klusteriin.
Seuraavia CMK:hen liittyviä muutoksia ei tueta , koska ne voivat johtaa määrittämättömään ja ongelmalliseen käyttäytymiseen:
- CMK:n poistaminen käytöstä työtilassa, joka on jo otettu käyttöön Microsoft Sentinel.
- Määrittämällä Sentinel käyttöön otettu, CMK:ta käyttävä työtila ei-CMK-työtilaksi poistamalla sen linkityksen cmk-yhteensopivasta erillisestä klusterista.
- CMK:n poistaminen käytöstä CMK-yhteensopivassa Log Analytics -klusterissa.
Jos otat Microsoft Sentinel työtilan käyttöön Defender-portaalissa, sisäänotetut työtilan tiedot/lokit pysyvät salattuina CMK:lla. Muita tietoja ei salata CMK:lla, ja ne käyttävät Microsoftin hallitsemaa avainta.
Microsoft Sentinel tukee järjestelmälle määritettyjä käyttäjätietoja CMK-määrityksissä. Siksi varatun Log Analytics -klusterin käyttäjätietojen on oltava System Assigned - tyyppiä. Suosittelemme, että käytät käyttäjätietoja, jotka määritetään automaattisesti Log Analytics -klusteriin, kun se luodaan.
Asiakkaan hallitseman avaimen muuttamista toiseen avaimeen (jolla on toinen URI) ei tällä hetkellä tueta. Muuta avainta kiertämällä sitä.
Ennen kuin teet CMK-muutoksia tuotantotyötilaan tai Log Analytics -klusteriin, ota yhteyttä tuoteryhmän Microsoft Sentinel.
CMK:n toiminta
Microsoft Sentinel ratkaisu käyttää erillistä Log Analytics -klusteria lokien keräämiseen ja ominaisuuksiin. Osana Microsoft Sentinel CMK-määritystä sinun on määritettävä CMK-asetukset liittyvässä Log Analytics -klusterissa. Microsoft Sentinel muihin tallennusresursseihin kuin Log Analyticsiin tallentamat tiedot salataan myös käyttämällä asiakkaan hallitsemaa avainta, joka on määritetty varattua Log Analytics -klusteria varten.
Lisätietoja on seuraavissa artikkeleissa:
- Azure Valvo asiakkaan hallitsemia avaimia (CMK).
- Azure Key Vault.
- Log Analyticsin varatut klusterit.
Huomautus
Jos otat CMK:n käyttöön Microsoft Sentinel, mitään julkisen esikatselun ominaisuuksia, jotka eivät tue CMK:ta, ei oteta käyttöön.
Ota CMK käyttöön
Voit valmistella CMK:n seuraavasti:
- Varmista, että sinulla on Log Analytics -työtila ja että se on linkitetty erilliseen klusteriin, jossa CMK on käytössä. (Katso Edellytykset.)
- Rekisteröidy Azure Cosmos DB -resurssipalveluun.
- Lisää käyttöoikeuskäytäntö Azure Key Vault esiintymään.
- Perehdyttämisrajapinnan kautta työtilaan Microsoft Sentinel.
- Vahvista perehdytys ottamalla yhteyttä Microsoft Sentinel Tuote-ryhmään.
Vaihe 1: CMK:n määrittäminen Log Analytics -työtilassa erillisessä klusterissa
Kuten edellytyksistä mainittiin, Jotta Log Analytics -työtila voidaan ottaa käyttöön CMK:n avulla Microsoft Sentinel, tämä työtila on ensin linkitettävä erilliseen Log Analytics -klusteriin, jossa CMK on käytössä. Microsoft Sentinel käyttää samaa avainta kuin varattu klusteri. Noudata ohjeita kohdassa Azure Valvo asiakkaan hallitseman avaimen määritystä, jotta voit luoda CMK-työtilan, jota käytetään Microsoft Sentinel työtilana seuraavissa vaiheissa.
Vaihe 2: Azure Cosmos DB -resurssipalvelun rekisteröiminen
Microsoft Sentinel toimii Azure Cosmos DB:n kanssa ylimääräisenä tallennusresurssina. Muista rekisteröityä Azure Cosmos DB Resource Provideriin, ennen kuin perehdytät CMK-työtilan Microsoft Sentinel.
Rekisteröi Azure-tilauksesi Azure Cosmos DB -resurssipalvelu ohjeiden mukaisesti.
Vaihe 3: Käyttöoikeuskäytännön lisääminen Azure Key Vault esiintymään
Lisää käyttöoikeuskäytäntö, jonka avulla Azure Cosmos DB voi käyttää Azure Key Vault esiintymää, joka on linkitetty erilliseen Log Analytics -klusteriisi (samaa avainta käyttävät Microsoft Sentinel).
Seuraa näitä ohjeita lisätäksesi käyttöoikeuskäytännön Azure Key Vault-esiintymään Azure Cosmos DB -päänimellä.
Vaihe 4: Työtilan käyttöönotto Microsoft Sentinel perehdyttämisen ohjelmointirajapinnan kautta
Jos haluat, että CMK-työtila Microsoft Sentinel perehdyttämisen ohjelmointirajapinnan kautta käyttämällä customerManagedKey -ominaisuutta muodossa true. Lisätietoja perehdyttämisen ohjelmointirajapinnasta on Microsoft Sentinel GitHub -säilössä.
Esimerkiksi seuraava URI-tunnus ja pyynnön runko on kelvollinen kutsu työtilaan, joka Microsoft Sentinel, kun asianmukaiset URI-parametrit ja valtuutustunnus lähetetään.
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Pyynnön leipäteksti
{
"properties": {
"customerManagedKey": true
}
}
Vaihe 5: Vahvista perehdytys ottamalla yhteyttä Microsoft Sentinel tuoteryhmään
Vahvista lopuksi CMK-työtilasi perehdytystila ottamalla yhteyttä Microsoft Sentinel Tuoteryhmään.
Avaimen salausavaimen kumoaminen tai poistaminen
Jos käyttäjä kumoaa avaimen salausavaimen (CMK) joko poistamalla sen tai poistamalla käyttöoikeuden erilliseen klusteriin ja Azure Cosmos DB Resource Provideriin, Microsoft Sentinel noudattaa muutosta ja käyttäytyy kuin tiedot eivät olisi enää käytettävissä tunnin kuluessa. Tässä vaiheessa estetään kaikki toiminto, joka käyttää pysyviä tallennusresursseja, kuten tietojen käsittely, pysyvät määrityksen muutokset ja tapausten luominen. Aiemmin tallennettuja tietoja ei poisteta, mutta ne eivät ole käytettävissä. Tietojen säilytyskäytäntö ohjaa tietoja, joita ei voi käyttää, ja ne puhdistetaan kyseisen käytännön mukaisesti.
Ainoa mahdollinen toiminto salausavaimen kumoamisen tai poistamisen jälkeen on tilin poistaminen.
Jos käyttöoikeus palautetaan kumoamisen jälkeen, Microsoft Sentinel palauttaa tietojen käytön tunnin kuluessa.
Tietojen käyttö voidaan peruuttaa poistamalla asiakkaan hallitsema avain käytöstä avainsäilössä tai poistamalla avaimen käyttöoikeuskäytäntö sekä erilliseltä Log Analytics -klusterilta että Azure Cosmos DB:ltä. Käytön peruuttamista poistamalla avain erillisestä Log Analytics -klusterista tai poistamalla erilliseen Log Analytics -klusteriin liittyviä käyttäjätietoja ei tueta.
Lisätietoja siitä, miten avainten kumoaminen toimii Azure Monitorissa, on artikkelissa CMK:n kumoamisen valvonta Azure.
Asiakkaan hallitsema avainkierto
Microsoft Sentinel ja Log Analytics tukevat avainkiertoa. Kun käyttäjä suorittaa avaimen kierron Key Vault, Microsoft Sentinel tukee uutta avainta tunnin kuluessa.
Suorita Azure Key Vault avaimen kierto luomalla avaimesta uusi versio:
Poista avaimen edellinen versio käytöstä 24 tunnin kuluttua tai sen jälkeen, kun Azure Key Vault valvontalokeissa ei enää näy toimintaa, joka käyttää edellistä versiota.
Kun olet kiertänyt avainta, sinun on nimenomaisesti päivitettävä Log Analytics -klusteriresurssi Log Analyticsissa uudella Azure Key Vault avainversiolla. Lisätietoja on kohdassa Azure Monitorin CMK-kierto.
Asiakkaan hallitseman avaimen korvaaminen
Microsoft Sentinel ei tue asiakkaan hallitseman avaimen korvaamista. Käytä sen sijaan avainkiertotoimintoa .
Seuraavat vaiheet
Tässä asiakirjassa opit määrittämään asiakkaan hallitseman avaimen Microsoft Sentinel. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:
- Lue, miten saat näkyvyyttä tietoihisi ja mahdollisiin uhkiin.
- Aloita uhkien tunnistaminen Microsoft Sentinel avulla.
- Tietojen valvonta työkirjojen avulla .