Tutorial: Configurar e consultar o log de eventos de operações para o Azure Cloud HSM

O Azure Cloud HSM oferece suporte ao registro de eventos operacionais por meio dos espaços de trabalho do Log Analytics. Essa funcionalidade permite a coleta centralizada, a análise e o monitoramento de logs em seus recursos de HSM na nuvem.

O registro em log de eventos de operação é crucial para a segurança geral de um HSM (módulo de segurança de hardware). Ele fornece um registro transparente e imutável de todos os acessos e operações, para ajudar a garantir a responsabilidade e a rastreabilidade.

Capturando detalhes como atividades do usuário, ações de gerenciamento de chaves e eventos do sistema, os logs de operações ajudam você a detectar acesso não autorizado, investigar incidentes de segurança e cumprir os requisitos regulatórios. Eles também desempenham um papel vital na identificação de anomalias que podem indicar possíveis violações ou configurações incorretas. Dessa forma, eles reforçam a capacidade de uma organização de manter a integridade e a confidencialidade de suas operações criptográficas.

Neste tutorial, você:

Configure os logs de eventos operacionais, incluindo a criação de uma conta de armazenamento e de um workspace do Log Analytics.
Consulte os logs de eventos de operação para recuperar eventos de operação específicos do HSM.
Obtenha uma lista abrangente de eventos de operação HSM.

Importante

Para manter a segurança e a privacidade, o registro em log exclui detalhes confidenciais, como IDs de chave, nomes de chave e outras informações identificáveis relacionadas a chaves, usuários ou sessões. Os logs capturam a operação HSM executada, a hora da operação e os metadados relevantes do HSM.

O registro de eventos de operação do Azure Cloud HSM não pode determinar se uma operação HSM foi bem-sucedida ou falhou. Ele só pode registrar em log o fato de que a operação foi executada.

Pré-requisitos

Uma conta Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.
Um recurso de HSM de nuvem Azure que você implantou, inicializou e configurou. Para obter informações, consulte o guia de integração do Azure Cloud HSM.

Configurar e definir logs de eventos de operação

Use os comandos nas seções a seguir para configurar os recursos que você deseja monitorar.

Criar uma conta de armazenamento para armazenar logs de HSM

Para criar uma conta de armazenamento para armazenar logs de HSM, primeiro você precisa criar um grupo de recursos. Você também precisa criar a conta de armazenamento dentro desse grupo de recursos.

CLI do Azure
Azure PowerShell

az group create --name "<resource-group>" --location "<location>"

az storage account create \
  --name "<storage-account-name>" \
  --resource-group "<resource-group>" \
  --location "<location>" \
  --sku Standard_LRS \
  --kind StorageV2

New-AzResourceGroup -Name "<resource-group>" -Location "<location>"

New-AzStorageAccount `
  -Name "<storage-account-name>" `
  -ResourceGroupName "<resource-group>" `
  -Location "<location>" `
  -SkuName Standard_LRS `
  -Kind StorageV2

Criar um espaço de trabalho do Log Analytics

Para criar um workspace do Log Analytics para armazenar e analisar os logs do HSM, use o seguinte comando.

CLI do Azure
Azure PowerShell

az monitor log-analytics workspace create \
  --resource-group "<resource-group>" \
  --workspace-name "<workspace-name>"

New-AzOperationalInsightsWorkspace `
  -ResourceGroupName "<resource-group>" `
  -Name "<workspace-name>" `
  -Location "<location>"

Para obter mais informações sobre como criar um workspace Log Analytics para Azure Monitor, consulte Criar um workspace Log Analytics.

Habilitar configurações de diagnóstico

Para habilitar as configurações de diagnóstico para registro em log de eventos de operação do HSM na nuvem da Azure, use o código a seguir. Substitua os marcadores pelos valores apropriados para seu ambiente.

CLI do Azure
Azure PowerShell

resourceId="/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<hsm-name>"

storageAccountId="/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

workspaceId="/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace-name>"

az monitor diagnostic-settings create \
  --resource $resourceId \
  --name "my-chsmAuditLogs" \
  --storage-account $storageAccountId \
  --workspace $workspaceId \
  --logs '[{"category":"HsmServiceOperations","enabled":true}]'

$resourceId = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<hsm-name>"

$storageAccountId = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

$workspaceId = "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace-name>"

$log = New-AzDiagnosticSettingLogSettingsObject -Category HsmServiceOperations -Enabled $true

New-AzDiagnosticSetting `
  -ResourceId $resourceId `
  -Name "my-chsmAuditLogs" `
  -StorageAccountId $storageAccountId `
  -WorkspaceId $workspaceId `
  -Log $log

Verificar a configuração do log do HSM na nuvem

Após criar a configuração de diagnóstico, os logs começarão a ser exibidos em um a dois minutos.

Você pode consultar os logs de eventos de operação do HSM na nuvem no portal do Azure por meio do workspace Log Analytics.

Você também pode consultar logs de eventos de operação do HSM na nuvem usando o CLI do Azure ou Azure PowerShell.

CLI do Azure
Azure PowerShell

workspaceId=$(az monitor log-analytics workspace show \
  --resource-group "<resource-group>" \
  --workspace-name "<workspace-name>" \
  --query customerId --output tsv)

az monitor log-analytics query \
  --workspace $workspaceId \
  --analytics-query "CloudHsmServiceOperationAuditLogs | take 10"

$workspace = Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName "<resource-group>" `
  -Name "<workspace-name>"

Invoke-AzOperationalInsightsQuery `
  -WorkspaceId $workspace.CustomerId `
  -Query "CloudHsmServiceOperationAuditLogs | take 10"

Erro de registro

Se você receber a mensagem de erro "<subscription> não está registrado para usar microsoft.insights", sua assinatura de Azure não será registrada para usar o provedor de recursos Microsoft.Insights. Para resolver esse problema, você precisa se registrar no provedor Microsoft.Insights em sua assinatura.

CLI do Azure
Azure PowerShell

az provider register --namespace Microsoft.Insights

az provider show --namespace Microsoft.Insights --query "registrationState" --output table

Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Get-AzResourceProvider -ProviderNamespace Microsoft.Insights | Select-Object ProviderNamespace, RegistrationState

Depois de executar o comando, verifique se o provedor de recursos está registrado. Se ainda estiver registrando, talvez seja necessário aguardar alguns instantes e verificar novamente.

Consultar logs de eventos de operação

Você pode usar os comandos a seguir para recuperar eventos de operação HSM específicos registrados nos logs de operação. Para listar todos os eventos de operação, basta executar CloudHsmServiceOperationAuditLogs.

Para obter detalhes sobre outras operações que podem ser consultadas, consulte a lista abrangente de operações registradas posteriormente neste artigo.

// Find login and session events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_LOGIN", "CN_AUTHORIZE_SESSION")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventos para criar e excluir usuários

// Find user creation and deletion events 
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_CREATE_USER", "CN_DELETE_USER")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventos para criação de chave

// Find key creation events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_GENERATE_KEY", "CN_GENERATE_KEY_PAIR")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventos para exclusão de chave

// Find key deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName == "CN_TOMBSTONE_OBJECT"
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Glossário de operações

Os nomes a seguir estão relacionados a eventos de operação HSM.

azcloudhsm_util

Nome da operação	Nome do comando	Descrição
`CN_LOGIN`	`loginHSM`	Fazer logon no HSM.
`CN_LOGOUT`	`logoutHSM`	Fazer logoff do HSM.
`CN_GENERATE_KEY`	`genSymKey`	Gera uma chave simétrica.
`CN_GENERATE_KEY_PAIR`	`genRSAKeyPair`	Gera um par de chaves RSA.
`CN_GENERATE_KEY_PAIR`	`genECCKeyPair`	Gerar um par de chaves ECC.
`CN_SHARE_OBJECT`	`shareKey`	Compartilha/descompartilha uma chave existente com outros usuários.
`CN_TOMBSTONE_OBJECT`	`deleteKey`	Excluir uma chave.
`CN_FIND_OBJECTS_FROM_INDEX`	`findSingleKey`	Localiza uma única chave.
`CN_FIND_OBJECTS_USING_COUNT`	`findKey`	Localiza uma chave.
`CN_GET_OBJECT_INFO`	`getKeyInfo`	Obtém informações importantes sobre usuários/sessões compartilhados.
`HASH_SINGLE_CALL`	`sign`	Gera uma assinatura (`ME_PKCS_PKCS1v15_CRT_ENCRYPT`).
`HASH_SINGLE_CALL`	`verify`	Verifica uma assinatura (`ME_PKCS_PKCS1v15_DECRYPT`).
`CN_LIST_TOKENS`	`listTokens`	Lista todos os tokens na partição atual.
`CN_GET_TOKEN`	`getToken`	Obter um token.
`CN_CREATE_USER`	`createUser`	Cria um usuário.
`CN_DELETE_USER`	`deleteUser`	Exclui um usuário.
`CN_LIST_USERS`	`listUsers`	Lista usuários.
`CN_CHANGE_PSWD`	`changePswd`	Altera uma senha.
`CN_MODIFY_OBJECT`	`setAttribute`	Define um atributo de um objeto.
`CN_GET_ATTRIBUTE_VALUE` `CN_GET_ALL_ATTRIBUTE_VALUE` `CN_GET_ATTRIBUTE_SIZE` `CN_GET_ALL_ATTRIBUTE_SIZE`	`getAttribute`	Obtém um atributo de um objeto.
`CN_TOKEN_INFO`	`getHSMInfo`	Obter as informações do HSM.
`CN_PARTITION_INFO`	`getPartitionInfo`	Obtém as informações de partição.
---	`getClusterInfo`	Não gravado.
---	`server`	Não gravado.

azcloudhsm_mgmt

Nome da operação	Nome do comando	Descrição
`CN_LOGIN`	`loginHSM`	Fazer logon no HSM.
`CN_LOGOUT`	`logoutHSM`	Fazer logoff do HSM.
`CN_GENERATE_KEY`	`genSymKey`	Gera uma chave simétrica.
`CN_GENERATE_KEY_PAIR`	`genRSAKeyPair`	Gera um par de chaves RSA.
`CN_GENERATE_KEY_PAIR`	`genECCKeyPair`	Gerar um par de chaves ECC.
`CN_SHARE_OBJECT`	`shareKey`	Compartilha/descompartilha uma chave existente com outros usuários.
`CN_TOMBSTONE_OBJECT`	`deleteKey`	Excluir uma chave.
`CN_FIND_OBJECTS_FROM_INDEX`	`findSingleKey`	Localiza uma única chave.
`CN_FIND_OBJECTS_USING_COUNT`	`findKey`	Localiza uma chave.
`CN_GET_OBJECT_INFO`	`getKeyInfo`	Obtém informações importantes sobre usuários/sessões compartilhados.
`HASH_SINGLE_CALL`	`sign`	Gera uma assinatura (`ME_PKCS_PKCS1v15_CRT_ENCRYPT`).
`HASH_SINGLE_CALL`	`verify`	Verifica uma assinatura (`ME_PKCS_PKCS1v15_DECRYPT`).
`CN_LIST_TOKENS`	`listTokens`	Lista todos os tokens na partição atual.
`CN_GET_TOKEN`	`getToken`	Obter um token.
`CN_CREATE_USER`	`createUser`	Cria um usuário.
`CN_DELETE_USER`	`deleteUser`	Exclui um usuário.
`CN_LIST_USERS`	`listUsers`	Lista usuários.
`CN_CHANGE_PSWD`	`changePswd`	Altera uma senha.
`CN_MODIFY_OBJECT`	`setAttribute`	Define um atributo de um objeto.
`CN_GET_ATTRIBUTE_VALUE` `CN_GET_ALL_ATTRIBUTE_VALUE` `CN_GET_ATTRIBUTE_SIZE` `CN_GET_ALL_ATTRIBUTE_SIZE`	`getAttribute`	Obtém um atributo de um objeto.
`CN_TOKEN_INFO`	`getHSMInfo`	Obter as informações do HSM.
`CN_PARTITION_INFO`	`getPartitionInfo`	Obtém as informações de partição.
---	`getClusterInfo`	Não gravado.
---	`server`	Não gravado.

Backup e restauração

Nome da operação	Nome do comando	Descrição
	`/backup`
	`/restore`

Comentários

Esta página foi útil?

Last updated on 2026-04-13