Konfigurera Microsoft Sentinel kundhanterad nyckel

Den här artikeln innehåller bakgrundsinformation och steg för att konfigurera en kundhanterad nyckel (CMK) för Microsoft Sentinel. Alla data som lagras i Microsoft Sentinel är redan krypterade av Microsoft i alla relevanta lagringsresurser. CMK ger ett extra skyddslager med en krypteringsnyckel som skapats och ägs av dig och som lagras i din Azure Key Vault.

Förhandskrav

1. Konfigurera ett dedikerat Log Analytics-kluster med minst en åtagandenivå på 100 GB/dag. När flera arbetsytor är länkade till samma dedikerade kluster delar de samma kundhanterade nyckel. Läs mer om priser för dedikerade Log Analytics-kluster.
2. Konfigurera CMK på det dedikerade klustret och länka arbetsytan till klustret. Läs mer om CMK-etableringsstegen i Azure Monitor.

Överväganden

• Registrering av en CMK-arbetsyta till Microsoft Sentinel stöds endast via REST API och Azure CLI, och inte via Azure Portal. Azure Resource Manager mallar (ARM-mallar) stöds för närvarande inte för CMK-registrering.

• I följande fall krypteras inmatade arbetsytedata och loggar med CMK, medan andra Microsoft Sentinel data, inklusive säkerhetsinnehåll som analysregler, men även aviseringar, incidenter med mera, krypteras med Microsoft-hanterade nycklar:

  • Aktivera CMK på en arbetsyta som redan har registrerats för Microsoft Sentinel.
  • Aktivera CMK i ett kluster som innehåller Microsoft Sentinel-aktiverade arbetsytor.
  • Länka en Microsoft Sentinel-aktiverad, icke-CMK-arbetsyta till ett CMK-aktiverat kluster.

• Följande CMK-relaterade ändringar stöds inte eftersom de kan leda till odefinierat och problematiskt beteende:

  • Inaktivera CMK på en arbetsyta som redan har registrerats för Microsoft Sentinel.
  • Ange en Sentinel cmk-aktiverad arbetsyta som en icke-CMK-arbetsyta genom att ta bort länken från det CMK-aktiverade dedikerade klustret.
  • Inaktivera CMK på ett CMK-aktiverat Log Analytics-dedikerat kluster.

• Om du registrerar din Microsoft Sentinel-aktiverade arbetsyta i Defender-portalen förblir inmatade arbetsytedata/loggar krypterade med CMK. Andra data krypteras inte med CMK och använder en Microsoft-hanterad nyckel.

• Microsoft Sentinel stöder systemtilldelade identiteter i CMK-konfiguration. Därför bör den dedikerade Log Analytics-klustrets identitet vara av systemtilldelad typ. Vi rekommenderar att du använder den identitet som automatiskt tilldelas Till Log Analytics-klustret när det skapas.

• Det går för närvarande inte att ändra den kundhanterade nyckeln till en annan nyckel (med en annan URI). Du bör ändra nyckeln genom att rotera den.

• Innan du gör några CMK-ändringar i en produktionsarbetsyta eller i ett Log Analytics-kluster kontaktar du produktgruppen Microsoft Sentinel.

Så här fungerar CMK

Den Microsoft Sentinel lösningen använder ett dedikerat Log Analytics-kluster för logginsamling och funktioner. Som en del av Microsoft Sentinel CMK-konfigurationen måste du konfigurera CMK-inställningarna för det relaterade log analytics-dedikerade klustret. Data som sparas av Microsoft Sentinel i andra lagringsresurser än Log Analytics krypteras också med hjälp av den kundhanterade nyckeln som konfigurerats för det dedikerade Log Analytics-klustret.

Mer information finns i:

• Azure Övervaka kundhanterade nycklar (CMK).
• Azure Key Vault.
• Log Analytics-dedikerade kluster.

Aktivera CMK

Så här etablerar du CMK:

1. Kontrollera att du har en Log Analytics-arbetsyta och att den är länkad till ett dedikerat kluster där CMK är aktiverat. (Se Förutsättningar.)
2. Registrera dig för Azure Cosmos DB-resursprovidern.
3. Lägg till en åtkomstprincip i din Azure Key Vault-instans.
4. Registrera arbetsytan för att Microsoft Sentinel via onboarding-API:et.
5. Kontakta Microsoft Sentinel produktgruppen för att bekräfta registrering.

Steg 1: Konfigurera CMK på en Log Analytics-arbetsyta i ett dedikerat kluster

Som nämnts i förhandskraven måste den här arbetsytan först länkas till ett dedikerat Log Analytics-kluster där CMK är aktiverat för att kunna registrera en Log Analytics-arbetsyta med CMK för att Microsoft Sentinel. Microsoft Sentinel använder samma nyckel som används av det dedikerade klustret. Följ anvisningarna i Azure Övervaka kundhanterad nyckelkonfiguration för att skapa en CMK-arbetsyta som används som Microsoft Sentinel arbetsyta i följande steg.

Steg 2: Registrera Azure Cosmos DB-resursprovidern

Microsoft Sentinel fungerar med Azure Cosmos DB som ytterligare en lagringsresurs. Se till att registrera dig för Azure Cosmos DB-resursprovidern innan du registrerar en CMK-arbetsyta för att Microsoft Sentinel.

Följ anvisningarna för att registrera Azure Cosmos DB-resursprovidern för din Azure-prenumeration.

Steg 3: Lägg till en åtkomstprincip i din Azure Key Vault-instans

Lägg till en åtkomstprincip som gör att Azure Cosmos DB kan komma åt Azure Key Vault-instansen som är länkad till ditt dedikerade Log Analytics-kluster (samma nyckel används av Microsoft Sentinel).

Följ anvisningarna här för att lägga till en åtkomstprincip i din Azure Key Vault-instans med ett Azure Cosmos DB-huvudnamn.

Steg 4: Registrera arbetsytan för att Microsoft Sentinel via registrerings-API:et

Registrera den CMK-aktiverade arbetsytan för att Microsoft Sentinel via onboarding-API:et customerManagedKey med egenskapen som true. Mer kontext för onboarding-API:et finns i det här dokumentet på Microsoft Sentinel GitHub-lagringsplatsen.

Följande URI och begärandetext är till exempel ett giltigt anrop för att registrera en arbetsyta för att Microsoft Sentinel när rätt URI-parametrar och auktoriseringstoken skickas.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Frågebrödtext

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Steg 5: Kontakta Microsoft Sentinel produktgruppen för att bekräfta registrering

Slutligen bekräftar du registreringsstatusen för din CMK-aktiverade arbetsyta genom att kontakta Microsoft Sentinel produktgruppen.

Återkalla eller ta bort nyckelkrypteringsnyckel

Om en användare återkallar nyckelkrypteringsnyckeln (CMK), antingen genom att ta bort den eller ta bort åtkomsten för det dedikerade klustret och Azure Cosmos DB-resursprovidern, följer Microsoft Sentinel ändringen och beter sig som om data inte längre är tillgängliga inom en timme. I det här läget förhindras alla åtgärder som använder beständiga lagringsresurser som datainmatning, beständiga konfigurationsändringar och incidentskapande. Tidigare lagrade data tas inte bort men är fortfarande otillgängliga. Otillgängliga data styrs av datakvarhållningsprincipen och rensas i enlighet med den principen.

Den enda åtgärd som är möjlig när krypteringsnyckeln har återkallats eller tagits bort är kontoborttagning.

Om åtkomsten återställs efter återkallning återställer Microsoft Sentinel åtkomsten till data inom en timme.

Åtkomst till data kan återkallas genom att inaktivera den kundhanterade nyckeln i nyckelvalvet eller ta bort åtkomstprincipen till nyckeln för både det dedikerade Log Analytics-klustret och Azure Cosmos DB. Det går inte att återkalla åtkomsten genom att ta bort nyckeln från det dedikerade Log Analytics-klustret eller genom att ta bort identiteten som är associerad med det dedikerade Log Analytics-klustret.

Mer information om hur nyckelåterkallning fungerar i Azure Monitor finns i Azure Övervaka CMK-återkallande.

Kundhanterad nyckelrotation

Microsoft Sentinel och Log Analytics stöder nyckelrotation. När en användare utför nyckelrotation i Key Vault stöder Microsoft Sentinel den nya nyckeln inom en timme.

I Azure Key Vault utför du nyckelrotation genom att skapa en ny version av nyckeln:

Inaktivera den tidigare versionen av nyckeln efter 24 timmar eller efter att Azure Key Vault granskningsloggar inte längre visar någon aktivitet som använder den tidigare versionen.

När du har roterat en nyckel måste du uttryckligen uppdatera den dedikerade Log Analytics-klusterresursen i Log Analytics med den nya Azure Key Vault nyckelversionen. Mer information finns i Azure Övervaka CMK-rotation.

Ersätta en kundhanterad nyckel

Microsoft Sentinel har inte stöd för att ersätta en kundhanterad nyckel. Du bör använda funktionen för nyckelrotation i stället.

Nästa steg

I det här dokumentet har du lärt dig hur du konfigurerar en kundhanterad nyckel i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.