Microsoft Sentinel 고객 관리형 키 설정

• 적용 대상:

  M, i, c, r, o, s, o, f, t, , S, e, n, t, i, n, e, l

이 문서에서는 Microsoft Sentinel에 대한 CMK(고객 관리형 키)를 구성하는 단계 및 배경 정보를 제공합니다. Microsoft Sentinel에 저장된 모든 데이터는 모든 관련 스토리지 리소스에서 Microsoft에 의해 이미 암호화되어 있습니다. CMK는 사용자가 만들고, 소유하고, Azure Key Vault에 저장한 암호화 키를 통해 추가적인 보호 계층을 제공합니다.

필수 조건

1. 100GB/일 약정 계층 이상의 Log Analytics 전용 클러스터를 구성합니다. 여러 작업 영역을 동일한 전용 클러스터에 연결할 경우 모두 동일한 고객 관리형 키를 공유합니다. Log Analytics 전용 클러스터 가격 책정에 대해 알아보세요.
2. 전용 클러스터에서 CMK를 구성하고 작업 영역을 해당 클러스터에 연결합니다. Azure Monitor의 CMK 프로비저닝 단계에 대해 알아봅니다.

고려 사항

• Sentinel에 CMK 작업 영역 온보딩은 Azure Portal이 아닌 REST API를 통해서만 지원됩니다. Azure Resource Manager 템플릿(ARM 템플릿)은 현재 CMK 온보딩에 지원되지 않습니다.

• Microsoft Sentinel CMK 기능은 Microsoft Sentinel에 아직 온보딩되지 않은 Log Analytics 전용 클러스터의 작업 영역에만 제공됩니다.

• 다음 CMK 관련 변경 내용은 무효하므로 지원되지 않습니다(Microsoft Sentinel 데이터는 CMK가 아니라 Microsoft 관리형 키로만 암호화됨).

  • Microsoft Sentinel에 이미 온보딩된 작업 영역에서 CMK를 사용하도록 설정합니다.
  • Sentinel 온보딩 작업 영역이 포함된 클러스터에서 CMK를 사용으로 설정합니다.
  • Sentinel에 온보딩된 CMK가 아닌 작업 영역을 CMK 사용 클러스터에 연결합니다.

• 다음 CMK 관련 변경 사항은 정의되지 않고 문제가 있는 동작을 유발할 수 있으므로 ‘지원되지 않습니다’.

  • Microsoft Sentinel에 이미 온보딩된 작업 영역에서 CMK를 사용하지 않도록 설정합니다.
  • Sentinel이 온보딩된 CMK 사용 작업 영역을 CMK 사용 전용 클러스터에서 연결 해제하여 CMK가 아닌 작업 영역으로 설정합니다.
  • CMK 사용 Log Analytics 전용 클러스터에서 CMK를 사용하지 않게 설정합니다.

• Microsoft Sentinel은 CMK 구성에서 시스템이 할당한 ID를 지원합니다. 따라서 전용 Log Analytics 클러스터의 ID는 시스템 할당 유형이어야 합니다. 생성 시 Log Analytics 클러스터에 자동으로 할당되는 ID를 사용하는 것이 좋습니다.

• 고객 관리형 키를 다른 키(다른 URI 포함)로 변경하는 것은 현재 ‘지원되지 않습니다’. 키를 순환하여 변경해야 합니다.

• 프로덕션 작업 영역 또는 Log Analytics 클러스터에 CMK 변경 내용을 적용하기 전에 Microsoft Sentinel 제품 그룹에 문의하세요.

• CMK 사용 작업 영역은 검색 작업을 지원하지 않습니다.

CMK 작동 방법

Microsoft Sentinel 솔루션은 로그 수집 및 기능에 전용 Log Analytics cluser를 사용합니다. Microsoft Sentinel CMK 구성의 일부로 관련 Log Analytics 전용 클러스터에서 CMK 설정을 구성해야 합니다. Microsoft Sentinel이 Log Analytics 이외의 스토리지 리소스에 저장한 데이터도 전용 Log Analytics 클러스터에 대해 구성된 고객 관리형 키를 사용하여 암호화됩니다.

자세한 내용은 다음을 참조하세요.

• Azure Monitor CMK(고객 관리형 키)
• Azure Key Vault
• Log Analytics 전용 클러스터.

참고 항목

Microsoft Sentinel에서 CMK를 사용하도록 설정하는 경우 CMK를 지원하지 않는 공개 미리 보기 기능은 사용하지 않습니다.

CMK 사용

CMK를 프로비전하려면 다음 단계를 수행합니다.

1. Log Analytics 작업 영역이 있고 CMK가 사용하도록 설정된 전용 클러스터에 연결되어 있는지 확인합니다. (참조) 필수 구성 요소입니다.)
2. Azure Cosmos DB 리소스 공급자에 등록합니다.
3. Azure Key Vault 인스턴스에 액세스 정책을 추가합니다.
4. 온보딩 API를 통해 Microsoft Sentinel에 작업 영역을 온보딩합니다.
5. 온보딩을 확인하려면 Microsoft Sentinel 제품 그룹에 문의하세요.

1단계: 전용 클러스터의 Log Analytics 작업 영역에서 CMK 구성

필수 구성 요소에서 멘션 CMK를 사용하여 Log Analytics 작업 영역을 Microsoft Sentinel에 온보딩하려면 먼저 이 작업 영역을 CMK가 사용하도록 설정된 전용 Log Analytics 클러스터에 연결해야 합니다. Microsoft Sentinel은 전용 클러스터에서 사용하는 것과 동일한 키를 사용합니다. 다음 단계에서 Microsoft Sentinel 작업 영역으로 사용할 CMK 작업 영역을 만들기 위해 Azure Monitor 고객 관리형 키 구성의 지침을 따릅니다.

2단계: Azure Cosmos DB 리소스 공급자 등록

Microsoft Sentinel은 Azure Cosmos DB와 함께 추가 스토리지 리소스로 작동합니다. CMK 작업 영역을 Microsoft Sentinel에 온보딩하기 전에 Azure Cosmos DB 리소스 공급자에 등록해야 합니다.

지침에 따라 Azure 구독에 대한 Azure Cosmos DB 리소스 공급자를 등록합니다.

3단계: Azure Key Vault 인스턴스에 액세스 정책 추가

Azure Cosmos DB가 전용 Log Analytics 클러스터에 연결된 Azure Key Vault 인스턴스에 액세스할 수 있도록 하는 액세스 정책을 추가합니다(Microsoft Sentinel에서 동일한 키를 사용합니다).

여기의 지침에 따라 Azure Cosmos DB 주체를 사용하여 Azure Key Vault 인스턴스에 액세스 정책을 추가합니다.

4단계: 온보딩 API를 통해 Microsoft Sentinel에 작업 영역 온보딩

customerManagedKey 속성을 true으로 사용하여 온보딩 API를 통해 CMK 사용 작업 영역을 Microsoft Sentinel에 온보딩합니다. 온보딩 API에 대한 자세한 컨텍스트는 Microsoft Sentinel GitHub 리포지토리에서 이 문서를 참조하세요.

예를 들어 다음 URI 및 요청 본문은 적절한 URI 매개 변수 및 권한 부여 토큰이 전송될 때 작업 영역을 Microsoft Sentinel에 온보딩하는 유효한 호출입니다.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

요청 본문

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

5단계: Microsoft Sentinel 제품 그룹에 문의하여 온보딩 확인

마지막으로 Microsoft Sentinel 제품 그룹에 문의하여 CMK 사용 작업 영역의 온보딩 상태 확인합니다.

키 암호화 키 해지 또는 삭제

사용자가 키 암호화 키(CMK)를 삭제하거나 전용 클러스터와 Azure Cosmos DB 리소스 공급자의 액세스 권한을 제거하여 해당 키를 철회하는 경우, Microsoft Sentinel은 1시간 이내에 변경 내용을 적용하며 데이터를 더 이상 사용할 수 없는 것처럼 동작합니다. 이 시점에서는 데이터 수집, 영구 구성 변경, 인시던트 생성과 같은 영구 스토리지 리소스를 사용하는 작업은 금지됩니다. 이전에 저장된 데이터는 삭제되지 않지만 액세스할 수 없습니다. 액세스할 수 없는 데이터는 데이터 보존 정책에 의해 제어되며 해당 정책에 따라 제거됩니다.

암호화 키가 해지되거나 삭제된 후에는 계정 삭제 작업만 수행할 수 있습니다.

해지 후 액세스가 복원되는 경우 Microsoft Sentinel은 1시간 이내에 데이터에 대한 액세스를 복원합니다.

전용 Log Analytics 클러스터 및 Azure Cosmos DB 모두 키 자격 증명 모음에서 고객 관리형 키를 사용하지 않게 설정하거나 키에 대한 액세스 정책을 삭제하여 데이터에 대한 액세스 권한을 철회할 수 있습니다. 전용 Log Analytics 클러스터에서 키를 제거하거나 전용 Log Analytics 클러스터와 연결된 ID를 제거하여 액세스 권한을 철회하는 것은 지원되지 않습니다.

Azure Monitor에서 키 해지가 작동하는 방식에 대한 자세한 내용은 Azure Monitor CMK 해지를 참조하세요.

고객 관리형 키 순환

Microsoft Sentinel 및 Log Analytics는 키 순환을 지원합니다. 사용자가 Key Vault에서 키 순환을 수행하면 Microsoft Sentinel에서 1시간 내에 새 키를 지원합니다.

Azure Key Vault에서 키의 새 버전을 만들어 키 순환을 수행합니다.

24시간 후 또는 Azure Key Vault 감사 로그에 이전 버전을 사용하는 작업이 더 이상 나타나지 않으면 이전 버전의 키를 사용하지 않도록 설정합니다.

키를 순환시킨 후 Log Analytics의 전용 Log Analytics 클러스터 리소스를 새 Azure Key Vault 키 버전으로 명시적으로 업데이트해야 합니다. 자세한 내용은 Azure Monitor CMK 회전을 참조하세요.

고객 관리형 키 대체

Microsoft Sentinel은 고객 관리형 키 대체를 지원하지 않습니다. 대신 키 순환 기능을 사용해야 합니다.

다음 단계

이 문서에서는 Microsoft Sentinel에서 고객 관리형 키를 설정하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 데이터에 대한 가시성을 얻고 재적 위협을 확인하는 방법을 알아봅니다.
• Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.
• 통합 문서를 사용하여 데이터를 모니터링합니다.