Microsoft Sentinel müşteri tarafından yönetilen anahtarı ayarlama

• Şunlara uygulanır:

  Microsoft Sentinel

Bu makalede, Microsoft Sentinel için müşteri tarafından yönetilen anahtar (CMK) yapılandırmaya yönelik arka plan bilgileri ve adımlar sağlanır. Microsoft Sentinel'de depolanan tüm veriler, ilgili tüm depolama kaynaklarında Microsoft tarafından zaten şifrelenir. CMK, sizin oluşturduğunuz ve sahip olduğunuz ve Azure Key Vault'unuzda depolanan bir şifreleme anahtarı ile ek bir koruma katmanı sağlar.

Önkoşullar

1. Log Analytics ayrılmış kümesini en az 100 GB/gün taahhüt katmanıyla yapılandırın. Birden çok çalışma alanı aynı ayrılmış kümeye bağlandığında, aynı müşteri tarafından yönetilen anahtarı paylaşır. Log Analytics Ayrılmış Küme Fiyatlandırması hakkında bilgi edinin.
2. Ayrılmış kümede CMK'yi yapılandırın ve çalışma alanınızı bu kümeye bağlayın. Azure İzleyici'de CMK sağlama adımları hakkında bilgi edinin.

Dikkat edilmesi gereken noktalar

• CmK çalışma alanını Sentinel'e eklemek yalnızca REST API aracılığıyla desteklenir ve Azure portalı üzerinden desteklenmez. Azure Resource Manager şablonları (ARM şablonları) şu anda CMK ekleme için desteklenmiyor.

• Microsoft Sentinel CMK özelliği yalnızca Microsoft Sentinel'e henüz eklenmemiş Log Analytics ayrılmış kümelerindeki çalışma alanlarına sağlanır.

• Aşağıdaki CMK ile ilgili değişiklikler , etkisiz olduklarından desteklenmez (Microsoft Sentinel verileri devam eder, CMK tarafından değil, yalnızca Microsoft tarafından yönetilen anahtarla şifrelenir):

  • Microsoft Sentinel'e zaten eklenen bir çalışma alanında CMK'yi etkinleştirme.
  • Sentinel ile eklenen çalışma alanlarını içeren bir kümede CMK'yi etkinleştirme.
  • Sentinel'in eklendiği CMK olmayan bir çalışma alanını CMK özellikli bir kümeye bağlama.

• Aşağıdaki CMK ile ilgili değişiklikler tanımsız ve sorunlu davranışlara yol açabileceğinden desteklenmez :

  • Microsoft Sentinel'e zaten eklenen bir çalışma alanında CMK'yi devre dışı bırakma.
  • CmK özellikli ayrılmış kümesiyle bağlantısını kaldırarak Sentinel'in eklendiği, CMK özellikli bir çalışma alanını CMK dışı bir çalışma alanı olarak ayarlama.
  • CMK özellikli log analytics ayrılmış kümesinde CMK'yi devre dışı bırakma.

• Microsoft Sentinel, CMK yapılandırmasında Sistem Tarafından Atanan Kimlikler'i destekler. Bu nedenle, ayrılmış Log Analytics kümesinin kimliği Sistem Tarafından Atanan türünde olmalıdır. Log Analytics kümesi oluşturulduğunda otomatik olarak atanan kimliği kullanmanızı öneririz.

• Müşteri tarafından yönetilen anahtarın şu anda başka bir anahtarla (başka bir URI ile) değiştirilmesi desteklenmez. Anahtarı döndürerek değiştirmeniz gerekir.

• Üretim çalışma alanında veya Log Analytics kümesinde CMK değişiklikleri yapmadan önce Microsoft Sentinel Ürün Grubu'na başvurun.

• CMK özellikli çalışma alanları arama işlerini desteklemez.

CMK nasıl çalışır?

Microsoft Sentinel çözümü, günlük toplama ve özellikler için ayrılmış bir Log Analytics kullanıcısını kullanır. Microsoft Sentinel CMK yapılandırmasının bir parçası olarak, ilgili Log Analytics ayrılmış kümesinde CMK ayarlarını yapılandırmanız gerekir. Microsoft Sentinel tarafından Log Analytics dışındaki depolama kaynaklarına kaydedilen veriler, ayrılmış Log Analytics kümesi için yapılandırılan müşteri tarafından yönetilen anahtar kullanılarak da şifrelenir.

Daha fazla bilgi için bkz.

• Azure İzleyici müşteri tarafından yönetilen anahtarlar (CMK).
• Azure Key Vault.
• Log Analytics ayrılmış kümeleri.

Not

Microsoft Sentinel'de CMK'yi etkinleştirirseniz, CMK'yi desteklemeyen genel önizleme özellikleri etkinleştirilmez.

CMK'yi etkinleştirme

CMK sağlamak için şu adımları izleyin:

1. Log Analytics çalışma alanınız olduğundan ve cmk'nin etkinleştirildiği ayrılmış bir kümeye bağlı olduğundan emin olun. (Bkz. Önkoşullar.)
2. Azure Cosmos DB Kaynak Sağlayıcısı'na kaydolun.
3. Azure Key Vault örneğinize bir erişim ilkesi ekleyin.
4. Ekleme API'sini kullanarak çalışma alanını Microsoft Sentinel'e ekleyin.
5. Ekleme işlemini onaylamak için Microsoft Sentinel Ürün grubuna başvurun.

1. Adım: Ayrılmış bir kümedeki Log Analytics çalışma alanında CMK'yi yapılandırma

Önkoşullarda belirtildiği gibi, CMK içeren bir Log Analytics çalışma alanını Microsoft Sentinel'e eklemek için, bu çalışma alanının önce CMK'nin etkinleştirildiği ayrılmış bir Log Analytics kümesine bağlanması gerekir. Microsoft Sentinel, ayrılmış küme tarafından kullanılan anahtarı kullanır. Aşağıdaki adımlarda Microsoft Sentinel çalışma alanı olarak kullanılan bir CMK çalışma alanı oluşturmak için Azure İzleyici müşteri tarafından yönetilen anahtar yapılandırmasındaki yönergeleri izleyin.

2. Adım: Azure Cosmos DB Kaynak Sağlayıcısını kaydetme

Microsoft Sentinel, ek depolama kaynağı olarak Azure Cosmos DB ile çalışır. Bir CMK çalışma alanını Microsoft Sentinel'e eklemeden önce Azure Cosmos DB Kaynak Sağlayıcısı'na kaydolun.

Azure aboneliğiniz için Azure Cosmos DB Kaynak Sağlayıcısı'nı kaydetme yönergelerini izleyin.

3. Adım: Azure Key Vault örneğinize erişim ilkesi ekleme

Azure Cosmos DB'nin ayrılmış Log Analytics kümenize bağlı Azure Key Vault örneğine erişmesine izin veren bir erişim ilkesi ekleyin (aynı anahtar Microsoft Sentinel tarafından kullanılacaktır).

Azure Cosmos DB sorumlusuyla Azure Key Vault örneğinize erişim ilkesi eklemek için buradaki yönergeleri izleyin.

4. Adım: Ekleme API'sini kullanarak çalışma alanını Microsoft Sentinel'e ekleme

CMK özellikli çalışma alanını, özelliğini kullanarak ekleme API'sini kullanarak Microsoft Sentinel'e customerManagedKey ekleyintrue. Ekleme API'sine ilişkin daha fazla bağlam için Microsoft Sentinel GitHub deposundaki bu belgeye bakın.

Örneğin, aşağıdaki URI ve istek gövdesi, uygun URI parametreleri ve yetkilendirme belirteci gönderildiğinde Microsoft Sentinel'e bir çalışma alanı eklemek için geçerli bir çağrıdır.

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

İstek gövdesi

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

5. Adım: Ekleme işlemini onaylamak için Microsoft Sentinel Ürün grubuna başvurun

Son olarak, Microsoft Sentinel Ürün Grubu'na başvurarak CMK özellikli çalışma alanınızın ekleme durumunu onaylayın.

Anahtar Şifreleme Anahtarını iptal etme veya silme

Kullanıcı, anahtar şifreleme anahtarını (CMK) silerek veya ayrılmış küme ve Azure Cosmos DB Kaynak Sağlayıcısı için erişimi kaldırarak iptal ederse, Microsoft Sentinel değişikliği gerçekleştirir ve veriler bir saat içinde artık kullanılabilir değil gibi davranır. Bu noktada, veri alımı, kalıcı yapılandırma değişiklikleri ve olay oluşturma gibi kalıcı depolama kaynaklarını kullanan tüm işlemler engellenir. Önceden depolanan veriler silinmez ancak erişilemez durumda kalır. Erişilemeyen veriler, veri saklama ilkesi tarafından yönetilir ve bu ilkeye uygun olarak temizlenir.

Şifreleme anahtarı iptal edildikten veya silindikten sonra mümkün olan tek işlem hesap silme işlemidir.

İptal işleminden sonra erişim geri yüklenirse, Microsoft Sentinel verilere erişimi bir saat içinde geri yükler.

Hem ayrılmış Log Analytics kümesi hem de Azure Cosmos DB için anahtar kasasında müşteri tarafından yönetilen anahtar devre dışı bırakılarak veya anahtara erişim ilkesi silinerek verilere erişim iptal edilebilir. Anahtarı ayrılmış Log Analytics kümesinden kaldırarak veya ayrılmış Log Analytics kümesiyle ilişkili kimliği kaldırarak erişimi iptal etme desteklenmez.

Azure İzleyici'de anahtar iptal işleminin nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz . Azure İzleyici CMK iptali.

Müşteri tarafından yönetilen anahtar döndürme

Microsoft Sentinel ve Log Analytics anahtar döndürmeyi destekler. Kullanıcı Key Vault'ta anahtar döndürme işlemi gerçekleştirdiğinde, Microsoft Sentinel yeni anahtarı bir saat içinde destekler.

Azure Key Vault'ta anahtarın yeni bir sürümünü oluşturarak anahtar döndürme gerçekleştirin:

Anahtarın önceki sürümünü 24 saat sonra veya Azure Key Vault denetim günlükleri artık önceki sürümü kullanan hiçbir etkinliği göstermedikten sonra devre dışı bırakın.

Anahtarı döndürdikten sonra, Log Analytics'teki ayrılmış Log Analytics küme kaynağını yeni Azure Key Vault anahtar sürümüyle açıkça güncelleştirmeniz gerekir. Daha fazla bilgi için bkz . Azure İzleyici CMK döndürme.

Müşteri tarafından yönetilen anahtarı değiştirme

Microsoft Sentinel, müşteri tarafından yönetilen bir anahtarın değiştirilmesini desteklemez. Bunun yerine anahtar döndürme özelliğini kullanmanız gerekir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'de müşteri tarafından yönetilen anahtar ayarlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.