Managed HSM logging

بعد إنشاء وحدة HSM مدارة واحدة أو أكثر، من المحتمل أن ترغب في مراقبة كيفية ووقت الوصول إلى HSMs ومن قبل من. يُمكنك القيام بذلك عن طريق تمكين تسجيل الدخول، الذي يحفظ المعلومات فيAzure storage account التي توفرها. يجري إنشاء حاوية جديدة تسمى insights-logs-auditevent تلقائياً لحساب التخزين المُحدد. يُمكنك استخدام حساب التخزين نفسه لتجميع سجلات لـ HSMs المُدارة المتعددة. يمكنك أيضا اختيار إرسال سجلاتك إلى مساحة عمل تحليلات السجل، والتي يمكن استخدامها بعد ذلك لتمكين Microsoft Sentinel من الكشف عن النشاط المشبوه تلقائيا.

يمكنك الوصول إلى معلومات التسجيل خلال 10 دقائق (على الأكثر) بعد تنفيذ عملية HSM المُدارة. في معظم الحالات، يكون ذلك عاجلا. الأمر متروك لك لإدارة سجلاتك في حساب التخزين الخاص بك:

• استخدم أساليب التحكم القياسية في الوصول Azure لتأمين سجلاتك عن طريق حظر من يمكنه الوصول إليها.
• حذف السجلات التي لم تعد تريد الاحتفاظ بها في حساب التخزين.

استخدم البرنامج التعليمي المتاح لمساعدتك على البدء في Managed HSM logging. يجب أن يكون لديك حساب تخزين أو مساحة عمل تحليلات السجل تم إنشاؤها بالفعل قبل تمكين التسجيل وتفسير معلومات السجل المجمعة.

المتطلبات الأساسية

لإكمال الخطوات الواردة في هذه المقالة، يجب أن تتوفر لديك العناصر التالية:

• اشتراك في منصة Microsoft Azure. إذا لم يكن لديك واحداً، يُمكنك الاشتراك في الإصدار التجريبي المجاني.
• الإصدار 2.25.0 من Azure CLI أو أحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.
• إدارة HSM في اشتراكك. راجع Quickstart: Provision and activate a managed HSM using Azure CLI لتوفير HSM المُدار وتنشيطه.
• حساب تخزين Azure و/أو مساحة عمل Log Analytics. إذا لم يكن لديك واحد أو كليهما، يمكنك إنشاؤها باستخدام مدخل Microsoft Azure:
  • قم بإنشاء حساب تخزين.
  • إنشاء مساحات عمل Log Analytics.

Azure Cloud Shell

Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.

لبدء Azure Cloud Shell:

خيار	مثال/ رابط
انقر فوق ⁧⁩جربه⁧⁩ في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد ⁧⁩جربه⁧⁩ لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell.
انتقل إلى ⁧⁩⁧ https://shell.azure.com⁩⁧⁩، أو حدد زر ⁩تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك.
حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure.

لاستخدام Azure Cloud Shell:

1. ابدأ تشغيل Cloud Shell.

2. حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.

3. ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.

4. حدد Enter لتشغيل التعليمات البرمجية أو الأمر.

تسجيل الدخول إلى اشتراك Azure

Azure CLI

سجل الدخول إلى اشتراك Azure باستخدام الأمر Azure CLI az login :

az login

لمزيد من المعلومات حول خيارات تسجيل الدخول عبر CLI، ألق نظرة على تسجيل الدخول باستخدام Azure CLI

Azure PowerShell

سجل الدخول إلى اشتراك Azure باستخدام الأمر Connect-AzAccount :

Connect-AzAccount

لمزيد من المعلومات حول خيارات تسجيل الدخول عبر PowerShell، راجع تسجيل الدخول باستخدام Azure PowerShell.

بوابة

سجل الدخول إلى مدخل Microsoft Azure في portal.azure.com.

تحديد HSM المدار وحساب التخزين ومساحة عمل تحليلات السجل

الخطوة الأولى في إعداد تسجيل المفتاح هي العثور على HSM المدار الذي تريد تسجيله.

Azure CLI

استخدم الأمر Azure CLI az keyvault show للعثور على HSM المدار الذي تريد تسجيله.

يمكنك أيضا استخدام الأمر Azure CLI az storage account show للعثور على حساب التخزين الذي تريد استخدامه للتسجيل، و/أو الأمر Azure CLI az monitor log-analytics workspace show للعثور على مساحة عمل تحليلات السجل التي تريد استخدامها للتسجيل.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Azure PowerShell

استخدم Azure PowerShell Get-AzKeyVault cmdlet للعثور على HSM المدار الذي تريد تسجيله.

يمكنك أيضا استخدام Azure PowerShell Get-AzStorageAccount cmdlet للعثور على حساب التخزين الذي تريد استخدامه للتسجيل و/أو Azure PowerShell Get-AzOperationalInsightsWorkspace cmdlet للعثور على مساحة عمل تحليلات السجل التي تريد استخدامها للتسجيل.

$hsmresource = (Get-AzKeyVault -ResourceGroupName "ContosoResourceGroup" -VaultName "ContosoMHSM").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "ContosoResourceGroup" -Name "ContosoMHSMLogs").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "ContosoResourceGroup" -Name "ContosoLogs").ResourceId

بوابة

ابحث عن HSM المدار من الصفحة المقصودة لمدخل Microsoft Azure بالنقر فوق "See all" ضمن "Resources" وتحديد HSM المدار بالاسم. يمكنك العثور على حساب التخزين ومساحة عمل تحليلات السجل بنفس الطريقة.

تمكين التسجيل

Azure CLI

لتمكين التسجيل ل HSM المدار، استخدم الأمر Azure CLI az monitor diagnostic-settings create ، جنبا إلى جنب مع المتغيرات من الأوامر السابقة. سنقوم أيضا بتعيين العلامة -Enabled إلى "true" وتعيين category إلى "AuditEvent" (الفئة الوحيدة لتسجيل HSM المدار).

لإرسال السجلات إلى حساب تخزين:

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

لإرسال السجلات إلى مساحة عمل Log Analytics:

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Azure PowerShell

لتمكين التسجيل ل HSM المدار، استخدم Azure PowerShell Set-AzDiagnosticSetting cmdlet، جنبا إلى جنب مع المتغيرات من الأوامر السابقة. سنقوم أيضا بتعيين العلامة -Enabled إلى $true وتعيين category إلى "AuditEvent" (الفئة الوحيدة لتسجيل HSM المدار).

لإرسال السجلات إلى حساب تخزين:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

لإرسال السجلات إلى مساحة عمل Log Analytics:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

بوابة

1. حدد مورد HSM في مدخل Microsoft Azure، ثم حدد Diagnostic settings ضمن Monitoring.

1. حدد Add diagnostic setting.

1. أدخل اسما لإعداد التشخيص.

1. حدد مجموعة فئات السجلات و/أو المقاييس التي تريد إرسالها وتفاصيل الوجهة للسجلات. في هذا المثال، سنحدد التدقيق و allLogs بالإضافة إلى AllMetrics ونرسل إلى مساحة عمل Log Analytics. أدخل تفاصيل الوجهة، وحدد حفظ.

ما تم تسجيله

يتم تسجيل الأنواع التالية من العمليات والأحداث ل HSM المدار:

• جميع طلبات واجهة برمجة تطبيقات REST المصادق عليها، بما في ذلك الطلبات الفاشلة نتيجة لأذونات الوصول أو أخطاء النظام أو كتل جدار الحماية أو الطلبات غير الصالحة.
• عمليات المستوى المدارة على مورد HSM المدار نفسه، بما في ذلك إنشاء السمات وحذفها وتحديثها مثل العلامات.
• عمليات متعلقة بمجال الأمان مثل تهيئة & التنزيل وتهيئة الاسترداد والتحميل
• عمليات النسخ الاحتياطي الكامل ل HSM والاستعادة والاستعادة الانتقائية
• عمليات إدارة الدور مثل إنشاء/عرض/حذف تعيينات الدور وإنشاء/عرض/حذف تعريفات الأدوار المخصصة
• العمليات على المفاتيح، بما في ذلك:
  • إنشاء المفاتيح أو تعديلها أو حذفها.
  • إصدار المفاتيح والتحقق منها وتشفيرها وفك تشفيرها وتغليفها وفكها، وإدراج المفاتيح.
  • مفتاح النسخ الاحتياطي والاستعادة والتنظيف
  • إصدار المفتاح
• المسارات غير الصالحة التي تؤدي إلى استجابة 404.

الوصول إلى سجلاتك

حساب التخزين

يتم تخزين سجلات Managed HSM في حاوية insights-logs-auditevent في حساب التخزين الذي قمت بتوفيره. لعرض السجلات، يجب عليك تنزيل النقط. للحصول على معلومات حولAzure Storage، يُرجى الرجوع إلى إنشاء النقط وتنزيلها وسردها باستخدام Azure CLI.

يتم تخزين النقط الفردية كنص وتنسيقها كـ JSON. لنلقِ نظرة على مثال إدخال السجل. يوضح هذا المثال إدخال السجل عند إرسال طلب لإنشاء نسخة احتياطية كاملة إلى HSM المدار.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

مساحة عمل Log Analytics

يتم تخزين سجلات HSM المدارة في مساحة عمل Log Analytics التي قدمتها. يمكنك استخدام مدخل Microsoft Azure للاستعلام عن السجلات. لمزيد من المعلومات، راجع البرنامج التعليمي لـ Log Analytics.

استخدام سجلات Azure Monitor

يُمكنك استخدام حل Key Vault فيAzure Monitor logs لمراجعة سجلاتManaged HSM AuditEvent. في Azure Monitor logs، يمكنك استخدام استعلامات السجل لتحليل البيانات والحصول على المعلومات التي تحتاجها. لمزيد من المعلومات، بما في ذلك كيفية إعداده، راجع مراقبة Azure Managed HSM.

لمعرفة كيفية تحليل السجلات، راجع نموذج استعلامات سجل Kusto.

إذا كنت ترسل سجلاتك إلى مساحة عمل تحليلات السجل، يمكنك استخدام Microsoft Sentinel للكشف عن النشاط المشبوه تلقائيا. راجع Microsoft Sentinel ل Azure Managed HSM.

الخطوات التالية

• تعرف على أفضل الممارسات لتوفير واستخدام managed HSM
• التعرف على كيفية النسخ الاحتياطي واستعادة managed HSM