Microsoft Sentinel door de klant beheerde sleutel instellen

Dit artikel bevat achtergrondinformatie en stappen voor het configureren van een door de klant beheerde sleutel (CMK) voor Microsoft Sentinel. Alle gegevens die zijn opgeslagen in Microsoft Sentinel zijn al versleuteld door Microsoft in alle relevante opslagresources. CMK biedt een extra beveiligingslaag met een versleutelingssleutel die u hebt gemaakt en waarvan u eigenaar bent en die is opgeslagen in uw Azure Key Vault.

Vereisten

1. Configureer een toegewezen Log Analytics-cluster met ten minste een toezeggingslaag van 100 GB/dag. Wanneer meerdere werkruimten zijn gekoppeld aan hetzelfde toegewezen cluster, delen ze dezelfde door de klant beheerde sleutel. Meer informatie over de prijzen van toegewezen clusters voor Log Analytics.
2. Configureer CMK op het toegewezen cluster en koppel uw werkruimte aan dat cluster. Meer informatie over de cmk-inrichtingsstappen in Azure Monitor.

Gegevens die worden beveiligd door CMK

Zodra CMK is ingeschakeld, worden de volgende gegevens beveiligd:

• Log Analytics-tabellen in werkruimten die zijn gekoppeld aan het toegewezen cluster
• Bepaalde Microsoft Sentinel resources die zijn opgeslagen in de gekoppelde werkruimten:
  • Analyseregels
  • Bedreigingsinformatie
  • Overzichtsregels
  • Volglijsten

Alle andere gegevens maken in plaats hiervan gebruik van een door Microsoft beheerde sleutel (MMK) en worden niet beveiligd door CMK. Dit omvat bijvoorbeeld, maar is niet beperkt tot:

• Operationele gegevens binnen Microsoft Sentinel zoals waarschuwingen, incidenten en gedrag en de gegevens die erin zijn opgenomen.
• Gegevens die zijn opgeslagen in producten/services buiten Microsoft Sentinel, zoals Security Copilot en Entra, of resources die buiten de werkruimte zijn opgeslagen, zoals werkmappen en playbooks.

Als u specifieke behoeften hebt waarvoor meer CMK-dekking is vereist, neemt u contact op met uw accountteam.

Overwegingen voor onboarding

• Het onboarden van een CMK-werkruimte naar Microsoft Sentinel wordt alleen ondersteund via de REST API en de Azure CLI, en niet via de Azure Portal. Azure Resource Manager sjablonen (ARM-sjablonen) worden momenteel niet ondersteund voor CMK-onboarding.

• In de volgende gevallen worden alleen opgenomen gegevens in Log Analytics-tabellen versleuteld met CMK, terwijl alle andere gegevens worden versleuteld met door Microsoft beheerde sleutels:

  • CMK inschakelen voor een werkruimte die al is toegevoegd aan Microsoft Sentinel.
  • CMK inschakelen op een cluster dat Microsoft Sentinel werkruimten bevat.
  • Een Microsoft Sentinel niet-CMK-werkruimte koppelen aan een cluster waarvoor CMK is ingeschakeld.

• De volgende CMK-gerelateerde wijzigingen worden niet ondersteund omdat ze kunnen leiden tot niet-gedefinieerd en problematisch gedrag:

  • CMK uitschakelen voor een werkruimte die al is toegevoegd aan Microsoft Sentinel.
  • Een Sentinel-onboarded, CMK-werkruimte instellen als een niet-CMK-werkruimte door deze los te koppelen van het toegewezen CLUSTER met CMK-functionaliteit.
  • CMK uitschakelen op een toegewezen Log Analytics-cluster met CMK-functionaliteit.

• Microsoft Sentinel ondersteunt door het systeem toegewezen identiteiten in cmk-configuratie. Daarom moet de identiteit van het toegewezen Log Analytics-cluster een door het systeem toegewezen identiteit zijn. U wordt aangeraden de identiteit te gebruiken die automatisch wordt toegewezen aan het Log Analytics-cluster wanneer deze wordt gemaakt.

• Het wijzigen van de door de klant beheerde sleutel in een andere sleutel (met een andere URI) wordt momenteel niet ondersteund. Wijzig de sleutel door deze te draaien.

• Neem contact op met de Microsoft Sentinel productgroep voordat u CMK-wijzigingen aanbrengt in een productiewerkruimte of in een Log Analytics-cluster.

Hoe CMK werkt

De Microsoft Sentinel-oplossing maakt gebruik van een toegewezen Log Analytics-cluster voor logboekverzameling en -functies. Als onderdeel van de Microsoft Sentinel CMK-configuratie moet u de CMK-instellingen configureren op het gerelateerde toegewezen Log Analytics-cluster.

Zie voor meer informatie:

• Azure door de klant beheerde sleutels (CMK) bewaken.
• Azure Key Vault.
• Toegewezen Log Analytics-clusters.

CMK inschakelen

Voer de volgende stappen uit om CMK in te richten:

1. CMK configureren voor een Log Analytics-werkruimte in een toegewezen cluster. Zie Vereisten.
2. Registreer u bij de Azure Cosmos DB-resourceprovider.
3. Voeg een toegangsbeleid toe aan uw Azure Key Vault exemplaar.
4. Onboarding van de werkruimte naar Microsoft Sentinel via de Onboarding-API.
5. Neem contact op met de Microsoft Sentinel productgroep om de onboarding te bevestigen.

Stap 1: CMK configureren voor een Log Analytics-werkruimte in een toegewezen cluster

Zoals vermeld in de vereisten, moet deze werkruimte eerst worden gekoppeld aan een toegewezen Log Analytics-cluster waarop CMK is ingeschakeld om een Log Analytics-werkruimte met CMK te onboarden naar Microsoft Sentinel. Microsoft Sentinel gebruikt dezelfde sleutel die wordt gebruikt door het toegewezen cluster. Volg de instructies in Azure Door de klant beheerde sleutelconfiguratie bewaken om in de volgende stappen een CMK-werkruimte te maken die wordt gebruikt als de Microsoft Sentinel werkruimte.

Stap 2: de Azure Cosmos DB-resourceprovider registreren

Microsoft Sentinel werkt met Azure Cosmos DB als extra opslagresource. Zorg ervoor dat u zich registreert bij de Azure Cosmos DB-resourceprovider voordat u een CMK-werkruimte onboardt voor Microsoft Sentinel.

Volg de instructies voor het registreren van de Azure Cosmos DB-resourceprovider voor uw Azure-abonnement.

Stap 3: een toegangsbeleid toevoegen aan uw Azure Key Vault exemplaar

Voeg een toegangsbeleid toe waarmee Azure Cosmos DB toegang heeft tot het Azure Key Vault exemplaar dat is gekoppeld aan uw toegewezen Log Analytics-cluster (dezelfde sleutel wordt gebruikt door Microsoft Sentinel).

Volg de instructies hier om een toegangsbeleid toe te voegen aan uw Azure Key Vault-exemplaar met een Azure Cosmos DB-principal.

Stap 4: Onboarding van de werkruimte naar Microsoft Sentinel via de onboarding-API

Onboarding van de cmk-werkruimte voor Microsoft Sentinel via de onboarding-API met behulp van de customerManagedKey eigenschap als true. Zie dit document in de Microsoft Sentinel GitHub-opslagplaats voor meer context over de onboarding-API.

De volgende URI en aanvraagbody zijn bijvoorbeeld een geldige aanroep voor het onboarden van een werkruimte naar Microsoft Sentinel wanneer de juiste URI-parameters en autorisatietoken worden verzonden.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Aanvraagtekst

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Stap 5: Neem contact op met de Microsoft Sentinel productgroep om de onboarding te bevestigen

Bevestig ten slotte de onboardingstatus van uw werkruimte met CMK-functionaliteit door contact op te vragen met de Microsoft Sentinel productgroep.

Sleutelversleuteling Sleutel intrekken of verwijderen

Als een gebruiker de sleutelversleutelingssleutel (de CMK) intrekt door deze te verwijderen of de toegang te verwijderen voor het toegewezen cluster en Azure Cosmos DB-resourceprovider, Microsoft Sentinel de wijziging nakomt en zich gedraagt alsof de gegevens niet meer beschikbaar zijn, binnen één uur. Op dit punt wordt elke bewerking die gebruikmaakt van permanente opslagresources, zoals gegevensopname, permanente configuratiewijzigingen en het maken van incidenten, voorkomen. Eerder opgeslagen gegevens worden niet verwijderd, maar blijven ontoegankelijk. Niet-toegankelijke gegevens vallen onder het beleid voor gegevensretentie en worden opgeschoond in overeenstemming met dat beleid.

De enige bewerking die mogelijk is nadat de versleutelingssleutel is ingetrokken of verwijderd, is het verwijderen van het account.

Als de toegang wordt hersteld na intrekking, Microsoft Sentinel de toegang tot de gegevens binnen een uur.

Toegang tot de gegevens kan worden ingetrokken door de door de klant beheerde sleutel in de sleutelkluis uit te schakelen of het toegangsbeleid voor de sleutel te verwijderen voor zowel het toegewezen Log Analytics-cluster als Azure Cosmos DB. Het intrekken van de toegang door de sleutel uit het toegewezen Log Analytics-cluster te verwijderen of door de identiteit te verwijderen die is gekoppeld aan het toegewezen Log Analytics-cluster, wordt niet ondersteund.

Zie Azure CMK-intrekking controleren voor meer informatie over hoe sleutelintrekking werkt in Azure Monitor.

Door de klant beheerde sleutelrotatie

Microsoft Sentinel en Log Analytics ondersteunen sleutelrotatie. Wanneer een gebruiker sleutelrotatie uitvoert in Key Vault, ondersteunt Microsoft Sentinel de nieuwe sleutel binnen een uur.

Voer in Azure Key Vault sleutelrotatie uit door een nieuwe versie van de sleutel te maken:

Schakel de vorige versie van de sleutel na 24 uur uit of nadat de Azure Key Vault auditlogboeken geen activiteiten meer weergeven die gebruikmaken van de vorige versie.

Nadat u een sleutel hebt roteren, moet u de toegewezen Log Analytics-clusterresource in Log Analytics expliciet bijwerken met de nieuwe Azure Key Vault-sleutelversie. Zie Azure CMK-draaiing bewaken voor meer informatie.

Een door de klant beheerde sleutel vervangen

Microsoft Sentinel biedt geen ondersteuning voor het vervangen van een door de klant beheerde sleutel. Gebruik in plaats hiervan de mogelijkheid voor sleutelrotatie .

Volgende stappen

In dit document hebt u geleerd hoe u een door de klant beheerde sleutel instelt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.