Поделиться через

Настройка Microsoft Sentinel для управляемого устройства HSM Azure

Вы можете использовать Microsoft Sentinel для автоматического обнаружения подозрительных действий в ресурсах Azure. Microsoft Sentinel поставляется с множеством встроенных соединителей для службы Майкрософт, которые интегрируются в режиме реального времени. Вы можете найти конкретный пакет решения для защиты Azure Key Vault в Центре содержимого Microsoft Sentinel. Это также можно использовать для управляемого устройства HSM. Однако есть несколько ключевых шагов, которые необходимо предпринять, чтобы убедиться, что вы используете его для управляемого устройства HSM правильно.

  1. Следуйте инструкциям, приведенным в кратком руководстве. Подключение к Microsoft Sentinel | Microsoft Learn , чтобы включить Microsoft Sentinel.

  2. Перейдите в рабочую область Microsoft Sentinel и выберите центр контента в разделе "Управление содержимым".

    Снимок экрана: концентратор контента под управлением содержимым в рабочей области Microsoft Sentinel.

    1. Найдите Azure Key Vault в Центре содержимого и выберите его.

      Снимок экрана: поиск Azure Key Vault в Центре содержимого.

    2. Выберите " Установить" на боковой панели, которая появится.

      Снимок экрана: параметр установки на боковой панели для Azure Key Vault.

    3. Выберите "Аналитика" в разделе "Конфигурация".

      Снимок экрана: аналитика в конфигурации в Microsoft Sentinel.

    4. Выберите шаблоны правил, а затем найдите Azure Key Vault или используйте фильтр для фильтрации источников данных в Azure Key Vault.

      Снимок экрана: шаблоны правил, отфильтрованные источником данных Azure Key Vault.

    5. Используйте шаблон правила, соответствующий вашему варианту использования. В этом примере мы выбираем операции Конфиденциального хранилища ключей. На боковой панели выберите "Создать правило".

      Снимок экрана: параметр создания правила для конфиденциальных операций Key Vault.

    6. На вкладке "Задать логику правила" измените запрос правила. Измените значение VAULTS на MANAGEDHSMS. В этом примере мы также изменили SensitiveOperationList только операции, связанные с ключами.

      Снимок экрана: вкладка логики набора правил с запросом правила для управляемого устройства HSM.

    7. В этом примере мы запланируем выполнение запроса один раз в час.

      Снимок экрана: запрос расписания для выполнения каждый час.

    8. Проверьте и сохраните правило. Теперь вы увидите правило, созданное на странице "Аналитика ".

      Снимок экрана: созданное правило на странице аналитики.

    9. Вы можете протестировать правило, создав и удалив ключ. Эта KeyDelete операция является одной из конфиденциальных операций, выполняемых с помощью правила аналитики с именем "Конфиденциальные операции управляемого HSM Azure".

Next Steps