Nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel

Tento článek obsahuje základní informace a kroky ke konfiguraci klíče spravovaného zákazníkem (CMK) pro Microsoft Sentinel. Všechna data uložená v Microsoft Sentinelu už Microsoft šifruje ve všech relevantních prostředcích úložiště. CMK poskytuje další vrstvu ochrany pomocí šifrovacího klíče vytvořeného a vlastněného vámi a uloženým ve službě Azure Key Vault.

Požadavky

1. Nakonfigurujte vyhrazený cluster Log Analytics s alespoň 100 GB/den úrovně závazku. Pokud je ke stejnému vyhrazenému clusteru propojeno více pracovních prostorů, sdílejí stejný klíč spravovaný zákazníkem. Přečtěte si o cenách vyhrazeného clusteru Log Analytics.
2. Nakonfigurujte CMK na vyhrazeném clusteru a propojte pracovní prostor s tímto clusterem. Přečtěte si o krocích zřizování CMK ve službě Azure Monitor.

Důležité informace

• Onboarding pracovního prostoru CMK do služby Sentinel se podporuje jenom prostřednictvím rozhraní REST API, nikoli přes Azure Portal. Šablony Azure Resource Manageru (šablony ARM) se v současné době nepodporují pro onboarding CMK.

• Funkce CMK služby Microsoft Sentinel je poskytována pouze pracovním prostorům ve vyhrazených clusterech Log Analytics, které ještě nebyly nasazené do Služby Microsoft Sentinel.

• Následující změny související s CMK nejsou podporovány , protože jsou neefektivní (data Služby Microsoft Sentinel se šifrují pouze klíčem spravovaným Microsoftem, a ne cmk):

  • Povolení CMK v pracovním prostoru, který je už onboardovaný do Microsoft Sentinelu.
  • Povolení CMK v clusteru, který obsahuje pracovní prostory nasazené službou Sentinel.
  • Propojení pracovního prostoru, který není nasazený službou Sentinel, s clusterem s podporou CMK

• Následující změny související s CMK se nepodporují , protože můžou vést k nedefinovaným a problematickému chování:

  • Zakázání cmk v pracovním prostoru, který je už nasazený do Služby Microsoft Sentinel
  • Nastavení pracovního prostoru s podporou služby Sentinel s podporou CMK jako pracovního prostoru bez CMK jeho odpojením od vyhrazeného clusteru s podporou CMK.
  • Zakázání CMK na vyhrazeném clusteru Log Analytics s podporou CMK

• Microsoft Sentinel podporuje identity přiřazené systémem v konfiguraci CMK. Proto by identita vyhrazeného clusteru Log Analytics měla být typu Přiřazený systémem. Doporučujeme použít identitu, která se automaticky přiřadí ke clusteru Log Analytics při jeho vytvoření.

• Změna klíče spravovaného zákazníkem na jiný klíč (s jiným identifikátorem URI) se v současné době nepodporuje. Klíč byste měli změnit otočením.

• Před provedením jakýchkoli změn CMK v produkčním pracovním prostoru nebo v clusteru Log Analytics se obraťte na produktovou skupinu Microsoft Sentinelu.

• Pracovní prostory s podporou CMK nepodporují úlohy vyhledávání.

Jak CMK funguje

Řešení Microsoft Sentinel používá pro shromažďování protokolů a funkce vyhrazený modul cluser log Analytics. V rámci konfigurace CMK služby Microsoft Sentinel musíte nakonfigurovat nastavení CMK v souvisejícím vyhrazeném clusteru Log Analytics. Data uložená službou Microsoft Sentinel v jiných prostředcích úložiště než Log Analytics se šifrují také pomocí klíče spravovaného zákazníkem nakonfigurovaného pro vyhrazený cluster Log Analytics.

Další informace naleznete v tématu:

• Klíče spravované zákazníkem služby Azure Monitor (CMK)
• Azure Key Vault.
• Vyhrazené clustery Log Analytics

Poznámka:

Pokud v Microsoft Sentinelu povolíte CMK, nebudou povolené žádné funkce Public Preview, které nepodporují CMK.

Povolení cmk

Pokud chcete zřídit CMK, postupujte takto:

1. Ujistěte se, že máte pracovní prostor služby Log Analytics a že je propojený s vyhrazeným clusterem, na kterém je povolený klíč CMK. (Viz Požadavky.)
2. Zaregistrujte se k poskytovateli prostředků Azure Cosmos DB.
3. Přidejte zásadu přístupu k instanci služby Azure Key Vault.
4. Onboarding pracovního prostoru do Služby Microsoft Sentinel prostřednictvím rozhraní API pro onboarding
5. Pokud chcete potvrdit onboarding, obraťte se na produktovou skupinu Microsoft Sentinel.

Krok 1: Konfigurace CMK v pracovním prostoru služby Log Analytics ve vyhrazeném clusteru

Jak je uvedeno v požadavcích, musí být tento pracovní prostor nejprve propojený s vyhrazeným clusterem Log Analytics, na kterém je povolený klíč CMK, a připojit ho ke službě Microsoft Sentinel. Microsoft Sentinel bude používat stejný klíč, který používá vyhrazený cluster. Postupujte podle pokynů v konfiguraci klíče spravovaného zákazníkem služby Azure Monitor a vytvořte pracovní prostor CMK, který se používá jako pracovní prostor Služby Microsoft Sentinel v následujících krocích.

Krok 2: Registrace poskytovatele prostředků Azure Cosmos DB

Microsoft Sentinel funguje se službou Azure Cosmos DB jako další prostředek úložiště. Před nasazením pracovního prostoru CMK do Služby Microsoft Sentinel se ujistěte, že se zaregistrujete ke zprostředkovateli prostředků služby Azure Cosmos DB.

Podle pokynů zaregistrujte poskytovatele prostředků Azure Cosmos DB pro vaše předplatné Azure.

Krok 3: Přidání zásad přístupu do instance služby Azure Key Vault

Přidejte zásadu přístupu, která službě Azure Cosmos DB umožňuje přístup k instanci služby Azure Key Vault, která je propojená s vaším vyhrazeným clusterem Log Analytics (stejný klíč bude používat Microsoft Sentinel).

Postupujte podle zde uvedených pokynů a přidejte zásady přístupu k instanci služby Azure Key Vault pomocí instančního objektu služby Azure Cosmos DB.

Krok 4: Připojení pracovního prostoru ke službě Microsoft Sentinel prostřednictvím rozhraní API pro onboarding

Onboarding pracovního prostoru s podporou CMK do Microsoft Sentinelu prostřednictvím rozhraní API pro onboarding pomocí customerManagedKey vlastnosti jako true. Další kontext v rozhraní API pro onboarding najdete v tomto dokumentu v úložišti Microsoft Sentinel Na GitHubu.

Například následující identifikátor URI a text požadavku jsou platným voláním pro připojení pracovního prostoru do služby Microsoft Sentinel při odeslání správných parametrů identifikátoru URI a autorizačního tokenu.

Identifikátor URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Text požadavku

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Krok 5: Pokud chcete potvrdit onboarding, obraťte se na produktovou skupinu Microsoft Sentinel

Nakonec potvrďte stav onboardingu pracovního prostoru s podporou CMK kontaktováním produktové skupiny Microsoft Sentinelu.

Odvolání nebo odstranění šifrovacího klíče klíče

Pokud uživatel odvolá šifrovací klíč klíče (CMK), buď jeho odstraněním, nebo odebráním přístupu k vyhrazenému clusteru a poskytovateli prostředků Azure Cosmos DB, Microsoft Sentinel změnu respektuje a chová se, jako by data už nebyla k dispozici, a to do jedné hodiny. V tomto okamžiku se zabrání jakékoli operaci, která používá trvalé prostředky úložiště, jako je příjem dat, trvalé změny konfigurace a vytvoření incidentu. Dříve uložená data se neodstraní, ale zůstanou nepřístupná. Nepřístupná data se řídí zásadami uchovávání dat a vyprázdní se v souladu s danou zásadou.

Jedinou možnou operací po odvolání nebo odstranění šifrovacího klíče je odstranění účtu.

Pokud se přístup po odvolání obnoví, Microsoft Sentinel obnoví přístup k datům do hodiny.

Přístup k datům je možné odvolat zakázáním klíče spravovaného zákazníkem v trezoru klíčů nebo odstraněním zásad přístupu ke klíči pro vyhrazený cluster Log Analytics i službu Azure Cosmos DB. Odvolání přístupu odebráním klíče z vyhrazeného clusteru Log Analytics nebo odebráním identity přidružené k vyhrazenému clusteru Log Analytics se nepodporuje.

Další informace o tom, jak funguje odvolání klíčů ve službě Azure Monitor, najdete v tématu Odvolání klíče CMK služby Azure Monitor.

Obměně klíčů spravovaných zákazníkem

Microsoft Sentinel a Log Analytics podporují obměnu klíčů. Když uživatel provádí obměnu klíčů ve službě Key Vault, Microsoft Sentinel podporuje nový klíč do hodiny.

Ve službě Azure Key Vault proveďte obměnu klíčů vytvořením nové verze klíče:

Zakažte předchozí verzi klíče po 24 hodinách nebo po protokolech auditu služby Azure Key Vault už nezobrazují žádnou aktivitu, která používá předchozí verzi.

Po obměně klíče musíte explicitně aktualizovat vyhrazený prostředek clusteru Log Analytics v Log Analytics novou verzí klíče služby Azure Key Vault. Další informace najdete v tématu Obměně CMK služby Azure Monitor.

Nahrazení klíče spravovaného zákazníkem

Microsoft Sentinel nepodporuje nahrazení klíče spravovaného zákazníkem. Místo toho byste měli použít funkci rotace klíčů.

Další kroky

V tomto dokumentu jste zjistili, jak nastavit klíč spravovaný zákazníkem v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciální hrozby.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Pomocí sešitů můžete monitorovat data.