A Microsoft Sentinel ügyfél által felügyelt kulcsának beállítása

• A következőre érvényes::

  Microsoft Sentinel

Ez a cikk háttérinformációkat és lépéseket tartalmaz a Microsoft Sentinel ügyfél által felügyelt kulcsának (CMK) konfigurálásához. A Microsoft Sentinelben tárolt összes adatot a Microsoft már titkosítja az összes releváns tárolási erőforrásban. A CMK további védelmi réteget biztosít az Ön által létrehozott és az Ön tulajdonában lévő és az Azure Key Vaultban tárolt titkosítási kulccsal.

Előfeltételek

1. Konfiguráljon egy dedikált Log Analytics-fürtöt legalább 100 GB/nap kötelezettségvállalási szinttel. Ha több munkaterület kapcsolódik ugyanahhoz a dedikált fürthöz, ugyanazzal az ügyfél által felügyelt kulccsal rendelkeznek. További információ a Dedikált Log Analytics-fürt díjszabásáról.
2. Konfigurálja a CMK-t a dedikált fürtön, és kapcsolja hozzá a munkaterületet a fürthöz. Ismerje meg a CMK üzembe helyezési lépéseit az Azure Monitorban.

Megfontolások

• A CMK-munkaterület Sentinelbe való előkészítése csak REST API-n keresztül támogatott, az Azure Portalon nem. Az Azure Resource Manager-sablonok (ARM-sablonok) jelenleg nem támogatottak a CMK-előkészítéshez.

• A Microsoft Sentinel CMK csak olyan dedikált Log Analytics-fürtök munkaterületei számára érhető el, amelyek még nem lettek előkészítve a Microsoft Sentinelbe.

• Az alábbi CMK-val kapcsolatos módosítások nem támogatottak , mert nem hatékonyak (a Microsoft Sentinel-adatok továbbra is csak a Microsoft által felügyelt kulccsal vannak titkosítva, és nem a CMK által):

  • A CMK engedélyezése a Microsoft Sentinelbe már előkészített munkaterületen.
  • CmK engedélyezése Sentinel által előkészített munkaterületeket tartalmazó fürtön.
  • Sentinel-alapú, nem CMK-munkaterület csatolása CMK-kompatibilis fürthöz.

• A cmk-hez kapcsolódó következő módosítások nem támogatottak , mert nem definiált és problémás viselkedéshez vezethetnek:

  • A CMK letiltása a Microsoft Sentinelbe már előkészített munkaterületen.
  • Sentinel-alapú, CMK-kompatibilis munkaterület beállítása nem CMK-munkaterületként a CMK-kompatibilis dedikált fürtről való leválasztásával.
  • A CMK letiltása dedikált CMK-kompatibilis Log Analytics-fürtön.

• A Microsoft Sentinel támogatja a rendszer által hozzárendelt identitásokat a CMK-konfigurációban. Ezért a dedikált Log Analytics-fürt identitásának rendszer által hozzárendelt típusúnak kell lennie. Javasoljuk, hogy a Létrehozáskor a Log Analytics-fürthöz automatikusan hozzárendelt identitást használja.

• Az ügyfél által felügyelt kulcs egy másik kulcsra (egy másik URI-val) történő módosítása jelenleg nem támogatott. A kulcs elforgatásával módosítania kell a kulcsot.

• Mielőtt bármilyen CMK-módosítást hajtana végre egy éles munkaterületen vagy egy Log Analytics-fürtön, lépjen kapcsolatba a Microsoft Sentinel termékcsoporttal.

• A CMK-kompatibilis munkaterületek nem támogatják a keresési feladatokat.

A CMK működése

A Microsoft Sentinel-megoldás egy dedikált Log Analytics-kódolót használ a naplógyűjtéshez és a funkciókhoz. A Microsoft Sentinel CMK-konfiguráció részeként konfigurálnia kell a CMK-beállításokat a kapcsolódó Dedikált Log Analytics-fürtön. A Microsoft Sentinel által a Log Analyticsen kívüli tárolási erőforrásokban mentett adatok szintén titkosítva vannak a dedikált Log Analytics-fürthöz konfigurált ügyfél által felügyelt kulccsal.

További információk:

• Azure Monitor ügyfél által felügyelt kulcsok (CMK).
• Azure Key Vault.
• Dedikált Log Analytics-fürtök.

Feljegyzés

Ha engedélyezi a CMK-t a Microsoft Sentinelen, a CMK-t nem támogató nyilvános előzetes verziójú funkciók nem lesznek engedélyezve.

CMK engedélyezése

A CMK kiépítéséhez kövesse az alábbi lépéseket:

1. Győződjön meg arról, hogy rendelkezik Log Analytics-munkaterületekkel, és hogy az egy dedikált fürthöz van csatolva, amelyen a CMK engedélyezve van. (Lásd: Előfeltételek.)
2. Regisztráljon az Azure Cosmos DB erőforrás-szolgáltatójához.
3. Adjon hozzá hozzáférési szabályzatot az Azure Key Vault-példányhoz.
4. A munkaterület előkészítése a Microsoft Sentinelbe az előkészítési API-n keresztül.
5. Az előkészítés megerősítéséhez lépjen kapcsolatba a Microsoft Sentinel termékcsoporttal.

1. lépés: CMK konfigurálása dedikált fürtön lévő Log Analytics-munkaterületen

Ahogy az előfeltételekben említettük, ahhoz, hogy a Log Analytics-munkaterületet a CMK-val a Microsoft Sentinelhez lehessen előkészíteni, ezt a munkaterületet először egy dedikált Log Analytics-fürthöz kell kapcsolni, amelyen a CMK engedélyezve van. A Microsoft Sentinel ugyanazt a kulcsot fogja használni, amelyet a dedikált fürt használ. Kövesse az Azure Monitor ügyfél által felügyelt kulcskonfigurációjának utasításait, és hozzon létre egy Microsoft Sentinel-munkaterületként használt CMK-munkaterületet az alábbi lépésekben.

2. lépés: Az Azure Cosmos DB-erőforrás-szolgáltató regisztrálása

A Microsoft Sentinel további tárolási erőforrásként működik együtt az Azure Cosmos DB-vel. Mielőtt CMK-munkaterületet készít a Microsoft Sentinelbe, mindenképpen regisztráljon az Azure Cosmos DB erőforrás-szolgáltatójához.

Kövesse az utasításokat az Azure Cosmos DB-erőforrás-szolgáltató Azure-előfizetéshez való regisztrálásához.

3. lépés: Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz

Adjon hozzá egy hozzáférési szabályzatot, amely lehetővé teszi az Azure Cosmos DB számára, hogy hozzáférjen a dedikált Log Analytics-fürthöz csatolt Azure Key Vault-példányhoz (ugyanazt a kulcsot fogja használni a Microsoft Sentinel).

Az itt található utasításokat követve hozzáférési szabályzatot adhat hozzá az Azure Key Vault-példányhoz egy Azure Cosmos DB-taggal.

4. lépés: A munkaterület előkészítése a Microsoft Sentinelbe az előkészítési API-n keresztül

A CMK-kompatibilis munkaterület előkészítése a Microsoft Sentinelbe az előkészítési API-n keresztül, a customerManagedKey tulajdonságot a következőként truehasználva: . Az előkészítési API-val kapcsolatos további információkért tekintse meg ezt a dokumentumot a Microsoft Sentinel GitHub adattárában.

Az alábbi URI és kérelemtörzs például egy érvényes hívás egy munkaterület Microsoft Sentinelbe való előkészítésére a megfelelő URI-paraméterek és engedélyezési jogkivonat elküldésekor.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Kérelem törzse

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

5. lépés: Lépjen kapcsolatba a Microsoft Sentinel termékcsoporttal az előkészítés megerősítéséhez

Végül erősítse meg a CMK-kompatibilis munkaterület előkészítési állapotát a Microsoft Sentinel termékcsoporthoz fordulva.

Kulcstitkosítási kulcs visszavonása vagy törlése

Ha egy felhasználó visszavonja a kulcstitkosítási kulcsot (a CMK-t), törlésével vagy a dedikált fürt és az Azure Cosmos DB erőforrás-szolgáltató hozzáférésének eltávolításával, a Microsoft Sentinel egy órán belül tiszteletben tartja a módosítást, és úgy viselkedik, mintha az adatok már nem érhetők el. Ezen a ponton minden olyan művelet, amely állandó tárolási erőforrásokat használ, például az adatbetöltést, az állandó konfigurációs módosításokat és az incidensek létrehozását, megakadályozza. A korábban tárolt adatok nem törlődnek, de elérhetetlenek maradnak. A nem elérhető adatokra az adatmegőrzési szabályzat vonatkozik, és a szabályzatnak megfelelően törlődnek.

A titkosítási kulcs visszavonása vagy törlése után az egyetlen lehetséges művelet a fiók törlése.

Ha a hozzáférés a visszavonás után visszaáll, a Microsoft Sentinel egy órán belül visszaállítja az adatokhoz való hozzáférést.

Az adatokhoz való hozzáférés visszavonható úgy, hogy letiltja az ügyfél által kezelt kulcsot a kulcstartóban, vagy törli a hozzáférési szabályzatot a kulcshoz mind a dedikált Log Analytics-fürt, mind az Azure Cosmos DB esetében. A hozzáférés visszavonása a dedikált Log Analytics-fürt kulcsának eltávolításával vagy a dedikált Log Analytics-fürthöz társított identitás eltávolításával nem támogatott.

Az Azure Monitor kulcs-visszavonási funkciójáról az Azure Monitor CMK-visszavonásával kapcsolatos további információkért lásd : Azure Monitor CMK-visszavonás.

Ügyfél által felügyelt kulcsváltás

A Microsoft Sentinel és a Log Analytics támogatja a kulcsváltást. Amikor egy felhasználó kulcsforgatást végez a Key Vaultban, a Microsoft Sentinel egy órán belül támogatja az új kulcsot.

Az Azure Key Vaultban végezze el a kulcsváltást a kulcs új verziójának létrehozásával:

Tiltsa le a kulcs előző verzióját 24 óra elteltével, vagy miután az Azure Key Vault naplózási naplói már nem jelennek meg az előző verziót használó tevékenységek.

A kulcs elforgatása után explicit módon frissítenie kell a Dedikált Log Analytics-fürterőforrást a Log Analyticsben az új Azure Key Vault-kulcsverzióval. További információ: Azure Monitor CMK rotáció.

Ügyfél által felügyelt kulcs cseréje

A Microsoft Sentinel nem támogatja az ügyfél által felügyelt kulcs cseréjét. Ehelyett a kulcsforgatási képességet kell használnia.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan állíthat be ügyfél által felügyelt kulcsot a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Munkafüzetek használatával monitorozza az adatokat.