Konfigurer Microsoft Sentinel kundeadministrert nøkkel

Denne artikkelen inneholder bakgrunnsinformasjon og trinn for å konfigurere en kundeadministrert nøkkel (CMK) for Microsoft Sentinel. Alle dataene som er lagret i Microsoft Sentinel, krypteres allerede av Microsoft i alle relevante lagringsressurser. CMK gir et ekstra lag med beskyttelse med en krypteringsnøkkel opprettet og eid av deg og lagret i Azure Key Vault.

Forutsetninger

1. Konfigurer en dedikert Log Analytics-klynge med minst 100 GB/dags forpliktelsesnivå. Når flere arbeidsområder er koblet til den samme dedikerte klyngen, deler de den samme kundeadministrerte nøkkelen. Finn ut mer om dedikerte klyngepriser for log analytics.
2. Konfigurer CMK på den dedikerte klyngen og koble arbeidsområdet til denne klyngen. Lær om cmk-klargjøringstrinnene i Azure Monitor.

Hensyn

• Pålasting av et CMK-arbeidsområde til Microsoft Sentinel støttes bare via REST-API og Azure CLI, og ikke via Azure Portal. Azure Resource Manager maler (ARM-maler) støttes for øyeblikket ikke for CMK-pålasting.

• I følgende tilfeller krypteres inntatte arbeidsområdedata og -logger med CMK, mens andre Microsoft Sentinel data, inkludert sikkerhetsinnhold som analyseregler, men også varsler, hendelser og mer, krypteres med Microsoft-administrerte nøkler:

  • Aktivering av CMK på et arbeidsområde som allerede er pålastet for å Microsoft Sentinel.
  • Aktivering av CMK på en klynge som inneholder Microsoft Sentinel-aktiverte arbeidsområder.
  • Koble et Microsoft Sentinel-aktivert, ikke-CMK-arbeidsområde til en CMK-aktivert klynge.

• Følgende CMK-relaterte endringer støttes ikke fordi de kan føre til udefinert og problematisk virkemåte:

  • Deaktivering av CMK på et arbeidsområde som allerede er pålastet til Microsoft Sentinel.
  • Angi et Sentinel innebygd, CMK-aktivert arbeidsområde som et ikke-CMK-arbeidsområde ved å koble det fra den CMK-aktiverte dedikerte klyngen.
  • Deaktivering av CMK på en cmk-aktivert log analytics-dedikert klynge.

• Hvis du tar Microsoft Sentinel-aktivert arbeidsområde til Defender-portalen, forblir inntatte arbeidsområdedata/logger kryptert med CMK. Andre data krypteres ikke med CMK og bruker en Microsoft-administrert nøkkel.

• Microsoft Sentinel støtter systemtilordnede identiteter i CMK-konfigurasjon. Den dedikerte Log Analytics-klyngens identitet bør derfor være av system tilordnet type. Vi anbefaler at du bruker identiteten som tilordnes automatisk til Log Analytics-klyngen når den opprettes.

• Endring av kundeadministrert nøkkel til en annen nøkkel (med en annen URI) støttes for øyeblikket ikke. Du bør endre nøkkelen ved å rotere den.

• Før du gjør noen CMK-endringer i et produksjonsarbeidsområde eller i en Log Analytics-klynge, må du kontakte Microsoft Sentinel Produktgruppe.

Slik fungerer CMK

Den Microsoft Sentinel løsningen bruker en dedikert Log Analytics-klynge for logginnsamling og -funksjoner. Som en del av cmk-konfigurasjonen Microsoft Sentinel må du konfigurere CMK-innstillingene på den relaterte log analytics-dedikerte klyngen. Data som lagres av Microsoft Sentinel i andre lagringsressurser enn Log Analytics, krypteres også ved hjelp av den kundeadministrerte nøkkelen som er konfigurert for den dedikerte Log Analytics-klyngen.

Hvis du vil ha mer informasjon, kan du se:

• Azure overvåke kundeadministrerte nøkler (CMK).
• Azure Key Vault.
• Log Analytics-dedikerte klynger.

Aktiver CMK

Følg disse trinnene for å klargjøre CMK:

1. Kontroller at du har et log analytics-arbeidsområde, og at det er koblet til en dedikert klynge der CMK er aktivert. (Se forutsetninger.)
2. Registrer deg for Azure Cosmos DB-ressursleverandør.
3. Legg til en tilgangspolicy i Azure Key Vault-forekomsten.
4. Gå om bord i arbeidsområdet for å Microsoft Sentinel via API-en for pålasting.
5. Kontakt produktgruppen Microsoft Sentinel for å bekrefte pålasting.

Trinn 1: Konfigurere CMK på et Log Analytics-arbeidsområde på en dedikert klynge

Som nevnt i forutsetningene, må dette arbeidsområdet først kobles til en dedikert Log Analytics-klynge der CMK er aktivert, for å få tilgang til et Log Analytics-arbeidsområde med CMK for å Microsoft Sentinel. Microsoft Sentinel bruker den samme nøkkelen som brukes av den dedikerte klyngen. Følg instruksjonene i Azure Overvåke kundeadministrert nøkkelkonfigurasjon for å opprette et CMK-arbeidsområde som brukes som Microsoft Sentinel arbeidsområde i følgende trinn.

Trinn 2: Registrere Azure Cosmos DB-ressursleverandør

Microsoft Sentinel fungerer med Azure Cosmos DB som en ekstra lagringsressurs. Pass på at du registrerer deg for Azure Cosmos DB-ressursleverandøren før du setter inn et CMK-arbeidsområde for å Microsoft Sentinel.

Følg instruksjonene for å registrere Azure Cosmos DB-ressursleverandøren for Azure-abonnementet.

Trinn 3: Legge til en tilgangspolicy i Azure Key Vault-forekomsten

Legg til en tilgangspolicy som gir Azure Cosmos DB tilgang til den Azure Key Vault forekomsten som er koblet til den dedikerte Log Analytics-klyngen (den samme nøkkelen brukes av Microsoft Sentinel).

Følg instruksjonene her for å legge til en tilgangspolicy i Azure Key Vault-forekomsten med en Azure Cosmos DB-sikkerhetskontohaver.

Trinn 4: Om bord i arbeidsområdet for å Microsoft Sentinel via API-en for pålasting

Om bord på det cmk-aktiverte arbeidsområdet for å Microsoft Sentinel via pålastings-API-en ved hjelp av customerManagedKey egenskapen som true. Hvis du vil ha mer kontekst om pålastings-API-en, kan du se dette dokumentet i Microsoft Sentinel GitHub-repositorium.

Følgende URI og forespørselstekst er for eksempel et gyldig kall for å få et arbeidsområde til å Microsoft Sentinel når de riktige URI-parameterne og godkjenningstokenet sendes.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Forespørselstekst

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Trinn 5: Kontakt Microsoft Sentinel produktgruppen for å bekrefte pålasting

Til slutt bekrefter du pålastingsstatusen for det CMK-aktiverte arbeidsområdet ved å kontakte Microsoft Sentinel produktgruppen.

Tilbakekalling eller sletting av nøkkelkrypteringsnøkkel

Hvis en bruker opphever nøkkelkrypteringsnøkkelen (CMK), enten ved å slette den eller fjerne tilgang for den dedikerte klyngen og Azure Cosmos DB-ressursleverandør, Microsoft Sentinel respekterer endringen og oppfører seg som om dataene ikke lenger er tilgjengelige innen én time. På dette tidspunktet forhindres enhver operasjon som bruker vedvarende lagringsressurser, for eksempel datainntak, vedvarende konfigurasjonsendringer og hendelsesoppretting. Tidligere lagrede data slettes ikke, men forblir utilgjengelige. Utilgjengelige data styres av policyen for dataoppbevaring og renses i henhold til denne policyen.

Den eneste operasjonen som er mulig etter at krypteringsnøkkelen er tilbakekalt eller slettet, er sletting av konto.

Hvis tilgang gjenopprettes etter tilbakekalling, gjenoppretter Microsoft Sentinel tilgang til dataene innen en time.

Tilgang til dataene kan tilbakekalles ved å deaktivere den kundeadministrerte nøkkelen i nøkkelhvelvet, eller slette tilgangspolicyen til nøkkelen, både for den dedikerte Log Analytics-klyngen og Azure Cosmos DB. Tilbakekalling av tilgang ved å fjerne nøkkelen fra den dedikerte Log Analytics-klyngen, eller ved å fjerne identiteten som er knyttet til den dedikerte Log Analytics-klyngen, støttes ikke.

Hvis du vil vite mer om hvordan nøkkelopphevelses fungerer i Azure Monitor, kan du se Azure Overvåke CMK-tilbakekalling.

Kundeadministrert nøkkelrotasjon

Microsoft Sentinel og Log Analytics støtter nøkkelrotasjon. Når en bruker utfører nøkkelrotasjon i Key Vault, støtter Microsoft Sentinel den nye nøkkelen innen en time.

Utfør nøkkelrotasjon i Azure Key Vault ved å opprette en ny versjon av nøkkelen:

Deaktiver den forrige versjonen av nøkkelen etter 24 timer, eller etter Azure Key Vault viser ikke lenger noen aktivitet som bruker den forrige versjonen.

Når du har rotert en nøkkel, må du eksplisitt oppdatere den dedikerte Log Analytics-klyngeressursen i Log Analytics med den nye Azure Key Vault nøkkelversjonen. Hvis du vil ha mer informasjon, kan du se Azure Overvåke CMK-rotasjon.

Erstatte en kundeadministrert nøkkel

Microsoft Sentinel støtter ikke erstatning av en kundeadministrert nøkkel. Du bør bruke tasterotasjonsfunksjonen i stedet.

Neste trinn

I dette dokumentet lærte du hvordan du konfigurerte en kundeadministrert nøkkel i Microsoft Sentinel. Hvis du vil ha mer informasjon om Microsoft Sentinel, kan du se følgende artikler:

• Finn ut hvordan du får innsyn i dataene dine og potensielle trusler.
• Kom i gang med å oppdage trusler med Microsoft Sentinel.
• Bruk arbeidsbøker til å overvåke dataene.