Registrazione del modulo di protezione hardware gestito

Dopo aver creato uno o più moduli di protezione hardware gestiti, è probabile che si voglia monitorare come e quando si accede ai moduli di protezione hardware e a chi. È possibile monitorare questo accesso abilitando la registrazione, che salva le informazioni in un account di archiviazione di Azure fornito. Per tale account di archiviazione viene creato automaticamente un contenitore denominato insights-log-auditevent, che può essere usato per raccogliere i log relativi a più moduli di protezione hardware gestiti. È anche possibile scegliere di inviare i log a un'area di lavoro Log Analytics, che è possibile usare per consentire a Microsoft Sentinel di rilevare automaticamente attività sospette.

È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione del modulo di protezione hardware gestito, Nella maggior parte dei casi, avviene prima. È possibile gestire i log nell'account di archiviazione:

Usare i metodi di controllo di accesso standard di Azure per proteggere i log limitando l'accesso agli utenti specificati.
Eliminare i log che non è più necessario mantenere nell'account di archiviazione.

Questa esercitazione offre un'introduzione alla registrazione del modulo di protezione hardware gestito. Prima di abilitare la registrazione e interpretare le informazioni di log raccolte, è necessario avere già un account di archiviazione o un'area di lavoro Log Analytics.

Prerequisiti

È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito.

Altri elementi necessari:

Interfaccia della riga di comando di Azure versione 2.25.0 o successiva. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
Un modulo di protezione hardware gestito nel tuo abbonamento. Vedere Avvio rapido: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure per effettuare il provisioning e attivare un modulo di protezione hardware gestito.
Un account di archiviazione di Azure e/o un'area di lavoro Log Analytics. Se non si dispone di uno o entrambi, è possibile crearli usando il portale di Azure:
- Creare un account di archiviazione.
- Creare aree di lavoro Log Analytics.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Premere Invio per eseguire il codice o il comando.

Connettersi alla sottoscrizione di Azure

Accedere alla sottoscrizione di Azure usando il comando az login dell'interfaccia della riga di comando di Azure:

az login

Per altre informazioni sulle opzioni di autenticazione tramite l'interfaccia della riga di comando, vedere Accedere con l'interfaccia della riga di comando di Azure.

Accedere alla sottoscrizione di Azure usando il comando Connect-AzAccount:

Connect-AzAccount

Per altre informazioni sulle opzioni di autenticazione tramite PowerShell, vedere Accedere con Azure PowerShell.

Identificare l'HSM gestito, l'account di archiviazione e l'area di lavoro Log Analytics

Il primo passaggio per la configurazione della registrazione delle chiavi consiste nel trovare l'HSM gestito che si vuole registrare.

Usare il comando az keyvault show dell'interfaccia della riga di comando di Azure per trovare l'HSM gestito che si vuole registrare.

È anche possibile usare il comando az storage account show dell'interfaccia della riga di comando di Azure per trovare l'account di archiviazione da usare per la registrazione. Per trovare l'area di lavoro Log Analytics da usare per la registrazione, usare il comando az monitor log-analytics workspace show della CLI di Azure.

hsmresource=$(az keyvault show --hsm-name <hsm-name> --query id -o tsv)
storageresource=$(az storage account show --name <storage-account-name> --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group <resource-group> --workspace-name <workspace-name> --query id -o tsv)

Usare il cmdlet Get-AzKeyVault di Azure PowerShell per trovare l'HSM gestito che si vuole registrare.

È anche possibile usare il cmdlet di Azure PowerShell Get-AzStorageAccount per trovare l'account di archiviazione da usare per la registrazione. Per trovare l'area di lavoro Log Analytics da usare per la registrazione, usare il cmdlet di Azure PowerShell Get-AzOperationalInsightsWorkspace .

$hsmresource = (Get-AzKeyVaultManagedHSM -ResourceGroupName "<resource-group>" -Name "<hsm-name>").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "<resource-group>" -Name "<storage-account-name>").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "<resource-group>" -Name "<workspace-name>").ResourceId

Abilitazione della registrazione

Per consentire la registrazione per l'HSM gestito, usare il comando az monitor diagnostic-settings create dell'interfaccia utente della riga di comando di Azure, insieme alle variabili dei comandi precedenti. Impostare il -Enabled flag su true e impostare il category su AuditEvent (l'unica categoria per il logging gestito di HSM).

Per inviare i log a un account di archiviazione:

az monitor diagnostic-settings create --name <hsm-name>-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Per inviare i log a un'area di lavoro Log Analytics:

az monitor diagnostic-settings create --name "<hsm-name>-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Per abilitare la registrazione per HSM gestito, usare il cmdlet Set-AzDiagnosticSetting di Azure PowerShell insieme alle variabili dei comandi precedenti. Impostare il flag -Enabled su $true e impostare il category su AuditEvent (l'unica categoria per il logging del Modulo di Protezione Hardware gestito).

Per inviare i log a un account di archiviazione:

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

Per inviare i log a un'area di lavoro Log Analytics:

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Selezionare la risorsa HSM nel portale di Azure e quindi selezionare Impostazioni di diagnostica in Monitoraggio.

Selezionare Aggiungi impostazione di diagnostica.

Immettere un nome per le impostazioni di diagnostica.

Selezionare il gruppo di categorie di log e metriche da inviare e i dettagli di destinazione dei log. In questo esempio selezionare audit e allLogs e AllMetrics inviare a un'area di lavoro Log Analytics. Immettere i dettagli per la destinazione e selezionare Salva.

Elementi che vengono registrati

Il modulo di protezione hardware gestito registra i tipi di operazioni ed eventi seguenti:

Tutte le richieste api REST autenticate, incluse le richieste non riuscite a causa di autorizzazioni di accesso, errori di sistema, blocchi del firewall o richieste non valide.
Le operazioni del piano gestito nella risorsa HSM gestito stessa, inclusi gli attributi di creazione, eliminazione e aggiornamento come i tag.
Operazioni correlate al dominio di sicurezza, ad esempio inizializzare e scaricare, inizializzare il ripristino e caricare.
Backup, ripristino e ripristino selettivi completi del modulo di protezione hardware.
Operazioni di gestione dei ruoli, ad esempio creare, visualizzare ed eliminare assegnazioni di ruolo, nonché creare, visualizzare ed eliminare definizioni di ruolo personalizzate.
Operazioni sulle chiavi, tra cui:
- Creazione, modifica o eliminazione di chiavi.
- Firma, verifica, crittografia, decrittografia, wrapping e annullamento del wrapping delle chiavi e elenco delle chiavi.
- Backup, ripristino ed eliminazione delle chiavi.
- Rilascio della chiave.
Percorsi non validi che generano una risposta 404.

Accedere ai log

Account di archiviazione

Il contenitore insights-logs-auditevent nell'account di archiviazione che fornisci archivia i log dell'HSM gestito. Per visualizzare i log, è necessario scaricare i BLOB. Per informazioni su Archiviazione di Azure, vedere Creare, scaricare ed elencare BLOB con l'interfaccia della riga di comando di Azure.

I singoli BLOB vengono archiviati come testo, formattati come JSON. Ecco una voce di log di esempio. Questo esempio mostra la voce del log quando all'HSM gestito viene inviata una richiesta di creazione di un backup completo.

[
  {
    "TenantId": "<tenant-id>",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/<subscription-id>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/<hsm-name>",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"<application-id>\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"<object-id>\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"<user-email>\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://<hsm-name>.managedhsm.azure.net/backup",
    "resourceGroup": "<resource-group>",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "<hsm-name>",
    "resourceType": "managedHSMs"
  }
]

Area di lavoro Log Analytics

L'area di lavoro Log Analytics specificata archivia i log del modulo di protezione hardware gestito. Per eseguire query sui log, è possibile usare il portale di Azure. Per altre informazioni, vedere Esercitazione su Log Analytics.

Usare i log di Monitoraggio di Azure

Usare la soluzione Key Vault nei log di Monitoraggio di Azure per esaminare i log di AuditEvent dell'HSM gestito. Nei log di Monitoraggio di Azure usare le query di log per analizzare i dati e ottenere le informazioni necessarie. Per altre informazioni, inclusa la configurazione, vedere Monitorare l'HSM gestito di Azure.

Per informazioni su come analizzare i log, vedere Query di log Kusto di esempio.

Se si inviano i log a un'area di lavoro Log Analytics, è possibile usare Microsoft Sentinel per rilevare automaticamente attività sospette. Vedere Microsoft Sentinel per HSM gestito di Azure.

Passaggi successivi

Informazioni su Proteggere la distribuzione del modulo di protezione hardware gestito di Azure per effettuare il provisioning e usare un modulo di protezione hardware gestito.
Informazioni su come eseguire il backup e il ripristino di un modulo di protezione hardware gestito.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-26