Configurar a chave gerenciada pelo cliente do Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel

Este artigo fornece informações básicas e etapas para configurar uma chave gerenciada pelo cliente (CMK) para o Microsoft Sentinel. Todos os dados armazenados no Microsoft Sentinel já estão criptografados pela Microsoft em todos os recursos de armazenamento relevantes. A CMK fornece uma camada extra de proteção com uma chave de criptografia criada e de sua propriedade e armazenada em seu Cofre de Chaves do Azure.

Pré-requisitos

1. Configure um cluster dedicado do Log Analytics com pelo menos uma camada de compromisso de 100 GB/dia. Quando vários espaços de trabalho são vinculados ao mesmo cluster dedicado, eles compartilham a mesma chave gerenciada pelo cliente. Saiba mais sobre os preços de cluster dedicado do Log Analytics.
2. Configure a CMK no cluster dedicado e vincule seu espaço de trabalho a esse cluster. Saiba mais sobre as etapas de provisionamento de CMK no Azure Monitor.

Considerações

• A integração de um espaço de trabalho CMK ao Sentinel é suportada apenas através da API REST, e não através do portal do Azure. Atualmente, os modelos do Azure Resource Manager (modelos ARM) não têm suporte para a integração de CMK.

• O recurso Microsoft Sentinel CMK é fornecido apenas para espaços de trabalho em clusters dedicados do Log Analytics que ainda não foram integrados ao Microsoft Sentinel.

• As seguintes alterações relacionadas à CMK não são suportadas porque são ineficazes (os dados do Microsoft Sentinel continuam são criptografados apenas pela chave gerenciada pela Microsoft e não pela CMK):

  • Habilitando a CMK em um espaço de trabalho que já está integrado ao Microsoft Sentinel.
  • Habilitando a CMK em um cluster que contém espaços de trabalho integrados ao Sentinel.
  • Vinculando um espaço de trabalho não CMK integrado ao Sentinel a um cluster habilitado para CMK.

• As seguintes alterações relacionadas à CMK não são suportadas porque podem levar a um comportamento indefinido e problemático:

  • Desativando a CMK em um espaço de trabalho já integrado ao Microsoft Sentinel.
  • Definir um espaço de trabalho integrado ao Sentinel habilitado para CMK como um espaço de trabalho não CMK desvinculando-o de seu cluster dedicado habilitado para CMK.
  • Desativando a CMK em um cluster dedicado do Log Analytics habilitado para CMK.

• O Microsoft Sentinel suporta Identidades Atribuídas ao Sistema na configuração CMK. Portanto, a identidade do cluster dedicado do Log Analytics deve ser do tipo System Assigned (Atribuído pelo sistema). Recomendamos que você use a identidade atribuída automaticamente ao cluster do Log Analytics quando ele é criado.

• Atualmente, não há suporte para alterar a chave gerenciada pelo cliente para outra chave (com outro URI). Deve alterar a chave rodando-a.

• Antes de fazer qualquer alteração de CMK em um espaço de trabalho de produção ou em um cluster do Log Analytics, entre em contato com o Microsoft Sentinel Product Group.

• Os espaços de trabalho habilitados para CMK não suportam trabalhos de pesquisa.

Como funciona a CMK

A solução Microsoft Sentinel usa um cluser dedicado do Log Analytics para coleta e recursos de log. Como parte da configuração do Microsoft Sentinel CMK, você deve definir as configurações de CMK no cluster dedicado do Log Analytics relacionado. Os dados salvos pelo Microsoft Sentinel em recursos de armazenamento diferentes do Log Analytics também são criptografados usando a chave gerenciada pelo cliente configurada para o cluster dedicado do Log Analytics.

Para obter mais informações, consulte:

• Azure Monitor chaves gerenciadas pelo cliente (CMK).
• Azure Key Vault.
• Clusters dedicados do Log Analytics.

Nota

Se você habilitar a CMK no Microsoft Sentinel, todos os recursos de visualização pública que não suportam CMK não serão habilitados.

Ativar CMK

Para provisionar a CMK, siga estas etapas:

1. Verifique se você tem um espaço de trabalho do Log Analytics e se ele está vinculado a um cluster dedicado no qual a CMK está habilitada. (Ver Pré-requisitos.)
2. Registre-se no Provedor de Recursos do Azure Cosmos DB.
3. Adicione uma política de acesso à sua instância do Azure Key Vault.
4. Integre o espaço de trabalho ao Microsoft Sentinel por meio da API de integração.
5. Entre em contato com o grupo de produtos Microsoft Sentinel para confirmar a integração.

Etapa 1: Configurar a CMK em um espaço de trabalho do Log Analytics em um cluster dedicado

Conforme mencionado nos pré-requisitos, para integrar um espaço de trabalho do Log Analytics com CMK ao Microsoft Sentinel, esse espaço de trabalho deve primeiro ser vinculado a um cluster dedicado do Log Analytics no qual a CMK está habilitada. O Microsoft Sentinel usará a mesma chave usada pelo cluster dedicado. Siga as instruções na configuração de chave gerenciada pelo cliente do Azure Monitor para criar um espaço de trabalho CMK usado como o espaço de trabalho do Microsoft Sentinel nas etapas a seguir.

Etapa 2: Registrar o provedor de recursos do Azure Cosmos DB

O Microsoft Sentinel funciona com o Azure Cosmos DB como um recurso de armazenamento adicional. Certifique-se de se registrar no Provedor de Recursos do Azure Cosmos DB antes de integrar um espaço de trabalho CMK ao Microsoft Sentinel.

Siga as instruções para Registrar o Provedor de Recursos do Azure Cosmos DB para sua assinatura do Azure.

Etapa 3: Adicionar uma política de acesso à sua instância do Azure Key Vault

Adicione uma política de acesso que permita que o Azure Cosmos DB acesse a instância do Azure Key Vault vinculada ao cluster dedicado do Log Analytics (a mesma chave será usada pelo Microsoft Sentinel).

Siga as instruções aqui para adicionar uma política de acesso à sua instância do Azure Key Vault com uma entidade de segurança do Azure Cosmos DB.

Etapa 4: Integrar o espaço de trabalho ao Microsoft Sentinel por meio da API de integração

Integre o espaço de trabalho habilitado para CMK ao Microsoft Sentinel por meio da API de integração usando a customerManagedKey propriedade como true. Para obter mais contexto sobre a API de integração, consulte este documento no repositório Microsoft Sentinel GitHub.

Por exemplo, o URI e o corpo da solicitação a seguir são uma chamada válida para integrar um espaço de trabalho ao Microsoft Sentinel quando os parâmetros de URI e o token de autorização adequados são enviados.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

Corpo do pedido

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

Etapa 5: Entre em contato com o grupo de produtos Microsoft Sentinel para confirmar a integração

Por fim, confirme o status de integração do seu espaço de trabalho habilitado para CMK entrando em contato com o Grupo de Produtos Microsoft Sentinel.

Revogação ou exclusão da chave de criptografia de chave

Se um usuário revogar a chave de criptografia de chave (a CMK), excluindo-a ou removendo o acesso para o cluster dedicado e o Provedor de Recursos do Azure Cosmos DB, o Microsoft Sentinel honrará a alteração e se comportará como se os dados não estivessem mais disponíveis, dentro de uma hora. Neste ponto, qualquer operação que use recursos de armazenamento persistentes, como ingestão de dados, alterações de configuração persistentes e criação de incidentes, é impedida. Os dados armazenados anteriormente não são excluídos, mas permanecem inacessíveis. Os dados inacessíveis são regidos pela política de retenção de dados e são limpos de acordo com essa política.

A única operação possível depois que a chave de criptografia é revogada ou excluída é a exclusão da conta.

Se o acesso for restaurado após a revogação, o Microsoft Sentinel restaurará o acesso aos dados dentro de uma hora.

O acesso aos dados pode ser revogado desativando a chave gerenciada pelo cliente no cofre de chaves ou excluindo a política de acesso à chave, tanto para o cluster dedicado do Log Analytics quanto para o Azure Cosmos DB. Não há suporte para revogar o acesso removendo a chave do cluster dedicado do Log Analytics ou removendo a identidade associada ao cluster dedicado do Log Analytics.

Para entender mais sobre como a revogação de chaves funciona no Azure Monitor, consulte Revogação do Azure Monitor CMK.

Rotação de chaves gerenciada pelo cliente

O Microsoft Sentinel e o Log Analytics suportam a rotação de chaves. Quando um usuário executa a rotação de chaves no Cofre de Chaves, o Microsoft Sentinel oferece suporte à nova chave em uma hora.

No Cofre da Chave do Azure, execute a rotação da chave criando uma nova versão da chave:

Desative a versão anterior da chave após 24 horas ou depois que os logs de auditoria do Cofre de Chaves do Azure não mostrarem mais nenhuma atividade que use a versão anterior.

Depois de girar uma chave, você deve atualizar explicitamente o recurso de cluster dedicado do Log Analytics no Log Analytics com a nova versão de chave do Azure Key Vault. Para obter mais informações, consulte Rotação do Azure Monitor CMK.

Substituindo uma chave gerenciada pelo cliente

O Microsoft Sentinel não suporta a substituição de uma chave gerenciada pelo cliente. Em vez disso, você deve usar o recurso de rotação de chaves.

Próximos passos

Neste documento, você aprendeu como configurar uma chave gerenciada pelo cliente no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.