Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся общие сведения и действия по настройке ключа, управляемого клиентом (CMK), для Microsoft Sentinel. Все данные, хранящиеся в Microsoft Sentinel, уже зашифрованы корпорацией Майкрософт во всех соответствующих ресурсах хранилища. CMK обеспечивает дополнительный уровень защиты с ключом шифрования, созданным и принадлежащим вам и сохраненным в Azure Key Vault.
Предварительные условия
- Настройте выделенный кластер Log Analytics с уровнем обязательств не менее 100 ГБ в день. Если несколько рабочих областей связаны с одним выделенным кластером, они используют один и тот же ключ, управляемый клиентом. Узнайте о ценах на выделенный кластер Log Analytics.
- Настройте CMK в выделенном кластере и свяжите рабочую область с этим кластером. Сведения о шагах подготовки CMK в Azure Monitor.
Данные, защищенные с помощью CMK
После включения CMK будут защищены следующие данные:
- Таблицы Log Analytics в рабочих областях, связанных с выделенным кластером
- Некоторые Microsoft Sentinel ресурсы, хранящиеся в связанных рабочих областях:
- Правила аналитики
- Аналитика угроз
- Правила сводки
- Списки просмотров
Примечание.
UEBA выводит данные и аналитические сведения в рабочую область Log Analytics, которую можно защитить с помощью управляемых клиентом ключей (CMK). Однако обработка UEBA также включает хранение производных данных за пределами рабочей области Log Analytics, которые в настоящее время не могут быть защищены с помощью CMK.
Все остальные данные используют управляемый Корпорацией Майкрософт ключ (MMK) и не защищены CMK. Например, это включает, но не ограничивается следующим:
- Операционные данные в Microsoft Sentinel, например оповещения, инциденты и поведение, а также данные, включенные в них.
- Данные, хранящиеся в продуктах и службах за пределами Microsoft Sentinel, например Security Copilot и Entra, или ресурсы, хранящиеся за пределами рабочей области, например книги, сборники схем.
Если у вас есть особые потребности, требующие повышенного охвата CMK, обратитесь в группу учетных записей.
Рекомендации по подключению
Подключение рабочей области CMK к Microsoft Sentinel поддерживается только через REST API и интерфейс командной строки Azure, а не через портал Azure. Шаблоны Azure Resource Manager (шаблоны ARM) в настоящее время не поддерживаются для подключения CMK.
В следующих случаях с помощью CMK шифруются только данные из таблиц Log Analytics, тогда как все остальные данные шифруются с помощью ключей, управляемых Корпорацией Майкрософт:
- Включение CMK в рабочей области, которая уже подключена к Microsoft Sentinel.
- Включение CMK в кластере, содержающем рабочие области с поддержкой Microsoft Sentinel.
- Связывание рабочей области с поддержкой Microsoft Sentinel, не поддерживающей CMK, с кластером с поддержкой CMK.
Следующие изменения, связанные с CMK , не поддерживаются , так как они могут привести к неопределенному и проблемном поведению:
- Отключение CMK в рабочей области, уже подключенной к Microsoft Sentinel.
- Настройте рабочую область с поддержкой CMK с поддержкой Sentinel в качестве рабочей области, отличной от CMK, отсоединив ее от выделенного кластера с поддержкой CMK.
- Отключение CMK в выделенном кластере Log Analytics с поддержкой CMK.
Microsoft Sentinel поддерживает назначенные системой удостоверения в конфигурации CMK. Таким образом, выделенное удостоверение кластера Log Analytics должно быть удостоверением, назначенным системой . Рекомендуется использовать удостоверение, которое автоматически назначается кластеру Log Analytics при его создании.
Изменение ключа, управляемого клиентом, на другой ключ (с другим URI) в настоящее время не поддерживается. Измените ключ, сменив его.
Прежде чем вносить какие-либо изменения CMK в рабочую область или кластер Log Analytics, обратитесь в группу продуктов Microsoft Sentinel.
Принцип работы CMK
Решение Microsoft Sentinel использует выделенный кластер Log Analytics для сбора журналов и функций. В рамках Microsoft Sentinel конфигурации CMK необходимо настроить параметры CMK в соответствующем выделенном кластере Log Analytics.
Дополнительные сведения см. в разделе:
- Azure мониторинг ключей, управляемых клиентом (CMK).
- Azure Key Vault.
- Выделенные кластеры Log Analytics.
Примечание.
Если включить CMK на Microsoft Sentinel, все функции общедоступной предварительной версии, которые не поддерживают CMK, не будут включены.
Включение CMK
Чтобы подготовить CMK, выполните следующие действия.
- Настройка CMK в рабочей области Log Analytics в выделенном кластере. См. раздел Необходимые компоненты.
- Зарегистрируйтесь в поставщике ресурсов Azure Cosmos DB.
- Добавьте политику доступа к экземпляру Azure Key Vault.
- Подключение рабочей области к Microsoft Sentinel через API подключения.
- Чтобы подтвердить подключение, обратитесь в группу продуктов Microsoft Sentinel.
Шаг 1. Настройка CMK в рабочей области Log Analytics в выделенном кластере
Как упоминалось в предварительных требованиях, чтобы подключить рабочую область Log Analytics с CMK для Microsoft Sentinel, эту рабочую область необходимо сначала связать с выделенным кластером Log Analytics, в котором включен CMK. Microsoft Sentinel будет использовать тот же ключ, который используется выделенным кластером. Следуйте инструкциям в Azure Мониторинг конфигурации ключей, управляемой клиентом, чтобы создать рабочую область CMK, которая используется в качестве рабочей области Microsoft Sentinel на следующих шагах.
Шаг 2. Регистрация поставщика ресурсов Azure Cosmos DB
Microsoft Sentinel работает с Azure Cosmos DB в качестве дополнительного ресурса хранилища. Обязательно зарегистрируйтесь в поставщике ресурсов Azure Cosmos DB, прежде чем подключить рабочую область CMK к Microsoft Sentinel.
Следуйте инструкциям по регистрации поставщика ресурсов Azure Cosmos DB для подписки Azure.
Шаг 3. Добавление политики доступа к экземпляру Azure Key Vault
Добавьте политику доступа, которая позволяет Azure Cosmos DB получить доступ к экземпляру Azure Key Vault, связанному с выделенным кластером Log Analytics (тот же ключ будет использоваться Microsoft Sentinel).
Следуйте приведенным здесь инструкциям, чтобы добавить политику доступа к экземпляру Azure Key Vault с помощью субъекта Azure Cosmos DB.
Шаг 4. Подключение рабочей области к Microsoft Sentinel с помощью API подключения
Подключение рабочей области с поддержкой CMK для Microsoft Sentinel через API подключения с помощью customerManagedKey свойства true. Дополнительные сведения о контексте API подключения см. в этом документе в репозитории Microsoft Sentinel GitHub.
Например, приведенные ниже URI и текст запроса являются допустимым вызовом для подключения рабочей области для Microsoft Sentinel при отправке соответствующих параметров URI и маркера авторизации.
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Текст запроса
{
"properties": {
"customerManagedKey": true
}
}
Шаг 5. Обратитесь в группу продуктов Microsoft Sentinel, чтобы подтвердить подключение
Наконец, подтвердите состояние подключения рабочей области с поддержкой CMK, обратившись в группу продуктов Microsoft Sentinel.
Отзыв или удаление ключа шифрования ключей
Если пользователь отменяет ключ шифрования ключа (CMK), либо удалив его, либо удалив доступ к выделенному кластеру и Azure поставщик ресурсов Cosmos DB, Microsoft Sentinel учитывает изменения и ведет себя так, как если бы данные больше не были доступны в течение одного часа. На этом этапе любая операция, использующая постоянные ресурсы хранилища, например прием данных, постоянные изменения конфигурации и создание инцидентов, предотвращается. Ранее сохраненные данные не удаляются, но остаются недоступными. Недоступные данные регулируются политикой хранения данных и очищаются в соответствии с этой политикой.
Единственной операцией, возможной после отзыва или удаления ключа шифрования, является удаление учетной записи.
Если доступ восстанавливается после отзыва, Microsoft Sentinel восстанавливает доступ к данным в течение часа.
Доступ к данным можно отменить, отключив управляемый клиентом ключ в хранилище ключей или удалив политику доступа к ключу для выделенного кластера Log Analytics и Azure Cosmos DB. Отзыв доступа путем удаления ключа из выделенного кластера Log Analytics или путем удаления удостоверения, связанного с выделенным кластером Log Analytics, не поддерживается.
Дополнительные сведения о том, как работает отзыв ключей в Azure Monitor, см. в разделе Azure Мониторинг отзыва CMK.
Смена ключей, управляемых клиентом
Microsoft Sentinel и Log Analytics поддерживают смену ключей. Когда пользователь выполняет смену ключа в Key Vault, Microsoft Sentinel поддерживает новый ключ в течение часа.
В Azure Key Vault выполните смену ключа, создав новую версию ключа:
Отключите предыдущую версию ключа через 24 часа или после Azure Key Vault журналы аудита больше не будут отображать действия, использующие предыдущую версию.
После смены ключа необходимо явно обновить выделенный ресурс кластера Log Analytics в Log Analytics, указав новую версию ключа Azure Key Vault. Дополнительные сведения см. в разделе Azure Мониторинг смены CMK.
Замена ключа, управляемого клиентом
Microsoft Sentinel не поддерживает замену ключа, управляемого клиентом. Вместо этого следует использовать возможность смены ключей .
Дальнейшие действия
В этом документе вы узнали, как настроить ключ, управляемый клиентом, в Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Узнайте , как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.