Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat achtergrondinformatie en stappen voor het configureren van een door de klant beheerde sleutel (CMK) voor Microsoft Sentinel. Alle gegevens die zijn opgeslagen in Microsoft Sentinel zijn al versleuteld door Microsoft in alle relevante opslagresources. CMK biedt een extra beveiligingslaag met een versleutelingssleutel die u hebt gemaakt en waarvan u eigenaar bent en die is opgeslagen in uw Azure Key Vault.
Vereisten
- Configureer een toegewezen Log Analytics-cluster met ten minste een toezeggingslaag van 100 GB/dag. Wanneer meerdere werkruimten zijn gekoppeld aan hetzelfde toegewezen cluster, delen ze dezelfde door de klant beheerde sleutel. Meer informatie over de prijzen van toegewezen clusters voor Log Analytics.
- Configureer CMK op het toegewezen cluster en koppel uw werkruimte aan dat cluster. Meer informatie over de cmk-inrichtingsstappen in Azure Monitor.
Overwegingen
Het onboarden van een CMK-werkruimte naar Microsoft Sentinel wordt alleen ondersteund via de REST API en de Azure CLI, en niet via de Azure Portal. Azure Resource Manager sjablonen (ARM-sjablonen) worden momenteel niet ondersteund voor CMK-onboarding.
In de volgende gevallen worden opgenomen werkruimtegegevens en logboeken versleuteld met CMK, terwijl andere Microsoft Sentinel gegevens, waaronder beveiligingsinhoud zoals analyseregels, maar ook waarschuwingen, incidenten en meer, worden versleuteld met door Microsoft beheerde sleutels:
- CMK inschakelen voor een werkruimte die al is toegevoegd aan Microsoft Sentinel.
- CMK inschakelen op een cluster dat Microsoft Sentinel werkruimten bevat.
- Een Microsoft Sentinel niet-CMK-werkruimte koppelen aan een cluster waarvoor CMK is ingeschakeld.
De volgende CMK-gerelateerde wijzigingen worden niet ondersteund omdat ze kunnen leiden tot niet-gedefinieerd en problematisch gedrag:
- CMK uitschakelen voor een werkruimte die al is toegevoegd aan Microsoft Sentinel.
- Een Sentinel-onboarded, CMK-werkruimte instellen als een niet-CMK-werkruimte door deze los te koppelen van het toegewezen CLUSTER met CMK-functionaliteit.
- CMK uitschakelen op een toegewezen Log Analytics-cluster met CMK-functionaliteit.
Als u uw werkruimte met Microsoft Sentinel in de Defender-portal onboardt, blijven opgenomen werkruimtegegevens/-logboeken versleuteld met CMK. Andere gegevens worden niet versleuteld met CMK en maken gebruik van een door Microsoft beheerde sleutel.
Microsoft Sentinel ondersteunt door het systeem toegewezen identiteiten in cmk-configuratie. Daarom moet de identiteit van het toegewezen Log Analytics-cluster van het type Systeem toegewezen zijn. U wordt aangeraden de identiteit te gebruiken die automatisch wordt toegewezen aan het Log Analytics-cluster wanneer deze wordt gemaakt.
Het wijzigen van de door de klant beheerde sleutel in een andere sleutel (met een andere URI) wordt momenteel niet ondersteund. U moet de sleutel wijzigen door deze te draaien.
Neem contact op met de Microsoft Sentinel productgroep voordat u CMK-wijzigingen aanbrengt in een productiewerkruimte of in een Log Analytics-cluster.
Hoe CMK werkt
De Microsoft Sentinel-oplossing maakt gebruik van een toegewezen Log Analytics-cluster voor logboekverzameling en -functies. Als onderdeel van de Microsoft Sentinel CMK-configuratie moet u de CMK-instellingen configureren op het gerelateerde toegewezen Log Analytics-cluster. Gegevens die zijn opgeslagen door Microsoft Sentinel in andere opslagresources dan Log Analytics, worden ook versleuteld met behulp van de door de klant beheerde sleutel die is geconfigureerd voor het toegewezen Log Analytics-cluster.
Zie voor meer informatie:
- Azure door de klant beheerde sleutels (CMK) bewaken.
- Azure Key Vault.
- Toegewezen Log Analytics-clusters.
Opmerking
Als u CMK inschakelt op Microsoft Sentinel, worden openbare preview-functies die CMK niet ondersteunen, niet ingeschakeld.
CMK inschakelen
Voer de volgende stappen uit om CMK in te richten:
- Zorg ervoor dat u een Log Analytics-werkruimte hebt en dat deze is gekoppeld aan een toegewezen cluster waarop CMK is ingeschakeld. (Zie Vereisten.)
- Registreer u bij de Azure Cosmos DB-resourceprovider.
- Voeg een toegangsbeleid toe aan uw Azure Key Vault exemplaar.
- Onboarding van de werkruimte naar Microsoft Sentinel via de Onboarding-API.
- Neem contact op met de Microsoft Sentinel productgroep om de onboarding te bevestigen.
Stap 1: CMK configureren voor een Log Analytics-werkruimte in een toegewezen cluster
Zoals vermeld in de vereisten, moet deze werkruimte eerst worden gekoppeld aan een toegewezen Log Analytics-cluster waarop CMK is ingeschakeld om een Log Analytics-werkruimte met CMK te onboarden naar Microsoft Sentinel. Microsoft Sentinel gebruikt dezelfde sleutel die wordt gebruikt door het toegewezen cluster. Volg de instructies in Azure Door de klant beheerde sleutelconfiguratie bewaken om in de volgende stappen een CMK-werkruimte te maken die wordt gebruikt als de Microsoft Sentinel werkruimte.
Stap 2: de Azure Cosmos DB-resourceprovider registreren
Microsoft Sentinel werkt met Azure Cosmos DB als extra opslagresource. Zorg ervoor dat u zich registreert bij de Azure Cosmos DB-resourceprovider voordat u een CMK-werkruimte onboardt voor Microsoft Sentinel.
Volg de instructies voor het registreren van de Azure Cosmos DB-resourceprovider voor uw Azure-abonnement.
Stap 3: een toegangsbeleid toevoegen aan uw Azure Key Vault exemplaar
Voeg een toegangsbeleid toe waarmee Azure Cosmos DB toegang heeft tot het Azure Key Vault exemplaar dat is gekoppeld aan uw toegewezen Log Analytics-cluster (dezelfde sleutel wordt gebruikt door Microsoft Sentinel).
Volg de instructies hier om een toegangsbeleid toe te voegen aan uw Azure Key Vault-exemplaar met een Azure Cosmos DB-principal.
Stap 4: Onboarding van de werkruimte naar Microsoft Sentinel via de onboarding-API
Onboarding van de cmk-werkruimte voor Microsoft Sentinel via de onboarding-API met behulp van de customerManagedKey eigenschap als true. Zie dit document in de Microsoft Sentinel GitHub-opslagplaats voor meer context over de onboarding-API.
De volgende URI en aanvraagbody zijn bijvoorbeeld een geldige aanroep voor het onboarden van een werkruimte naar Microsoft Sentinel wanneer de juiste URI-parameters en autorisatietoken worden verzonden.
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Aanvraagtekst
{
"properties": {
"customerManagedKey": true
}
}
Stap 5: Neem contact op met de Microsoft Sentinel productgroep om de onboarding te bevestigen
Bevestig ten slotte de onboardingstatus van uw werkruimte met CMK-functionaliteit door contact op te vragen met de Microsoft Sentinel productgroep.
Sleutelversleuteling Sleutel intrekken of verwijderen
Als een gebruiker de sleutelversleutelingssleutel (de CMK) intrekt door deze te verwijderen of de toegang te verwijderen voor het toegewezen cluster en Azure Cosmos DB-resourceprovider, Microsoft Sentinel de wijziging nakomt en zich gedraagt alsof de gegevens niet meer beschikbaar zijn, binnen één uur. Op dit punt wordt elke bewerking die gebruikmaakt van permanente opslagresources, zoals gegevensopname, permanente configuratiewijzigingen en het maken van incidenten, voorkomen. Eerder opgeslagen gegevens worden niet verwijderd, maar blijven ontoegankelijk. Niet-toegankelijke gegevens vallen onder het beleid voor gegevensretentie en worden opgeschoond in overeenstemming met dat beleid.
De enige bewerking die mogelijk is nadat de versleutelingssleutel is ingetrokken of verwijderd, is het verwijderen van het account.
Als de toegang wordt hersteld na intrekking, Microsoft Sentinel de toegang tot de gegevens binnen een uur.
Toegang tot de gegevens kan worden ingetrokken door de door de klant beheerde sleutel in de sleutelkluis uit te schakelen of het toegangsbeleid voor de sleutel te verwijderen voor zowel het toegewezen Log Analytics-cluster als Azure Cosmos DB. Het intrekken van de toegang door de sleutel uit het toegewezen Log Analytics-cluster te verwijderen of door de identiteit te verwijderen die is gekoppeld aan het toegewezen Log Analytics-cluster, wordt niet ondersteund.
Zie Azure CMK-intrekking controleren voor meer informatie over hoe sleutelintrekking werkt in Azure Monitor.
Door de klant beheerde sleutelrotatie
Microsoft Sentinel en Log Analytics ondersteunen sleutelrotatie. Wanneer een gebruiker sleutelrotatie uitvoert in Key Vault, ondersteunt Microsoft Sentinel de nieuwe sleutel binnen een uur.
Voer in Azure Key Vault sleutelrotatie uit door een nieuwe versie van de sleutel te maken:
Schakel de vorige versie van de sleutel na 24 uur uit of nadat de Azure Key Vault auditlogboeken geen activiteiten meer weergeven die gebruikmaken van de vorige versie.
Nadat u een sleutel hebt roteren, moet u de toegewezen Log Analytics-clusterresource in Log Analytics expliciet bijwerken met de nieuwe Azure Key Vault-sleutelversie. Zie Azure CMK-draaiing bewaken voor meer informatie.
Een door de klant beheerde sleutel vervangen
Microsoft Sentinel biedt geen ondersteuning voor het vervangen van een door de klant beheerde sleutel. Gebruik in plaats hiervan de mogelijkheid voor sleutelrotatie .
Volgende stappen
In dit document hebt u geleerd hoe u een door de klant beheerde sleutel instelt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.