إعداد مفتاح Microsoft Sentinel المُدار بواسطة العميل

• ينطبق على:

  Microsoft Sentinel

توفر هذه المقالة معلومات قائمة على الخبرات السابقة، وتوضح الخطوات اللازمة لتكوين مفتاح مُدار بواسطة العميل (CMK) لـ Microsoft Sentinel. جميع البيانات المخزنة في Microsoft Sentinel مشفرة بالفعل بواسطة Microsoft في جميع موارد التخزين ذات الصلة. يوفر CMK طبقة إضافية من الحماية باستخدام مفتاح تشفير تم إنشاؤه وامتلاكه من قبلك وتخزينه في Azure Key Vault.

المتطلبات الأساسية

1. تكوين مجموعة مخصصة ل Log Analytics مع مستوى التزام 100 غيغابايت/يوم على الأقل. عند ربط مساحات عمل متعددة بنفس المجموعة المخصصة، فإنها تشترك في نفس المفتاح المدار من قبل العميل. تعرف على أسعار نظام المجموعة المخصص لـ Log Analytics.
2. قم بتكوين CMK على نظام المجموعة المخصص وربط مساحة العمل الخاصة بك بتلك المجموعة. تعرف على خطوات توفير CMK في Azure Monitor.

الاعتبارات

• يتوفر الدعم لإلحاق مساحة عمل CMK بـ Sentinel فقط عبر واجهة برمجة تطبيقات REST، وليس عبر مدخل Azure. قوالب Azure Resource Manager (قوالب ARM) حالياً غير مدعمة لإلحاق CMK.

• تتوفر قدرة Microsoft Sentinel CMK فقط لمساحات العمل في أنظمة مجموعات Log Analytics المخصصة التي لم يتم إلحاقها بعد بـ Microsoft Sentinel.

• التغييرات التالية المتعلقة ب CMK غير مدعومة لأنها غير فعالة (تستمر بيانات Microsoft Sentinel مشفرة فقط بواسطة المفتاح المدار من قبل Microsoft، وليس بواسطة CMK):

  • تمكين CMK على مساحة عمل تم إلحاقها بالفعل بـ Microsoft Sentinel.
  • تمكين CMK على نظام مجموعة يحتوي على مساحات عمل تم إلحاقها بـ Sentinel.
  • ربط مساحة عمل غير مرتبطة بـ CMK وتم إلحاقها بـ Sentinel بنظام مجموعة ممكن بواسطة CMK.

• التغييرات التالية المرتبطة بـ CMK غير مدعمة لأنها قد تؤدي إلى سلوك غير محدد ومسبب للمشاكل:

  • تعطيل CMK على مساحة عمل تم إلحاقها بالفعل بـ Microsoft Sentinel.
  • تعيين مساحة عمل تم إعدادها بواسطة Sentinel وممكنة بواسطة CMK كمساحة عمل غير CMK عن طريق إلغاء ربطها من نظام المجموعة المخصص الذي يدعم CMK.
  • تعطيل CMK على نظام مجموعة مخصص لـ Log Analytics ممكّن بواسطة CMK.

• يدعم Microsoft Sentinel الهويات المُعيّنة من قبل النظام في تكوين CMK. لذلك، يجب أن يكون نظام المجموعة المخصص لـ Log Analytics من نوع معينّ من قبل النظام. نوصي باستخدام الهوية التي يتم تعيينها تلقائياً إلى نظام مجموعة Log Analytics عند إنشائها.

• تغيير المفتاح المُدار بواسطة العميل إلى مفتاح آخر (باستخدام URI آخر) غير مدعم حالياً. يجب تغيير المفتاح عن طريق التغيير التلقائي.

• قبل إجراء أي تغييرات مرتبطة بـ CMK على مساحة عمل إنتاج أوعلى نظام مجموعة Log Analytics، اتصل بـ Microsoft Sentinel Product Group.

• لا تدعم مساحات العمل الممكنة ل CMK مهام البحث.

كيف يعمل CMK

يستخدم حل Microsoft Sentinel مستخدم Log Analytics مخصصا لمجموعة السجلات والميزات. كجزء من تكوين Microsoft Sentinel CMK، يجب تكوين إعدادات CMK على نظام مجموعة Log Analytics المخصصة ذات الصلة. يتم أيضا تشفير البيانات المحفوظة بواسطة Microsoft Sentinel في موارد التخزين بخلاف Log Analytics باستخدام المفتاح المدار من قبل العميل الذي تم تكوينه لمجموعة Log Analytics المخصصة.

لمزيد من المعلومات، راجع:

• مفاتيح Azure Monitor المُدارة بواسطة العميل.
• Azure Key Vault.
• أنظمة المجموعات المخصصة لـ Log Analytics.

إشعار

إذا قمت بتمكين CMK على Microsoft Sentinel، فلن يتم تمكين أي ميزات معاينة عامة لا تدعم CMK.

تمكين CMK

لتوفير CMK، اتبع الخطوات التالية:

1. تأكد من أن لديك مساحة عمل Log Analytics، وأنه مرتبط بمجموعة مخصصة يتم تمكين CMK عليها. (راجع المتطلبات الأساسية.)
2. التسجيل في موفر موارد Azure Cosmos DB.
3. إضافة نُهج وصول إلى مثيل Azure Key Vault.
4. إلحاق مساحة العمل بـ Microsoft Sentinel عبر واجهة برمجة تطبيقات الإلحاق.
5. اتصل بمجموعة منتجات Microsoft Sentinel لتأكيد الإعداد.

الخطوة 1: تكوين CMK على مساحة عمل Log Analytics على مجموعة مخصصة

كما هو مذكور في المتطلبات الأساسية، لإلحاق مساحة عمل Log Analytics باستخدام CMK إلى Microsoft Sentinel، يجب أولا ربط مساحة العمل هذه بمجموعة Log Analytics مخصصة يتم تمكين CMK عليها. سيستخدم Microsoft Sentinel نفس المفتاح المستخدم من قبل نظام المجموعة المخصص. اتبع الإرشادات الموجودة في تكوين المفتاح المدار بواسطة العميل في Azure Monitor لإنشاء مساحة عمل CMK التي يتم استخدامها كمساحة عمل Microsoft Sentinel في الخطوات التالية.

الخطوة 2: تسجيل موفر موارد Azure Cosmos DB

يعمل Microsoft Sentinel مع Azure Cosmos DB كمورد تخزين إضافي. تأكد من التسجيل في موفر موارد Azure Cosmos DB قبل إلحاق مساحة عمل CMK ب Microsoft Sentinel.

اتبع الإرشادات لتسجيل موفر موارد Azure Cosmos DB لاشتراك Azure الخاص بك.

الخطوة 3: إضافة نهج وصول إلى مثيل Azure Key Vault

أضف نهج وصول يسمح ل Azure Cosmos DB بالوصول إلى مثيل Azure Key Vault المرتبط بمجموعة Log Analytics المخصصة (سيتم استخدام نفس المفتاح من قبل Microsoft Sentinel).

اتبع الإرشادات هنا لإضافة نهج وصول إلى مثيل Azure Key Vault باستخدام أساس Azure Cosmos DB.

الخطوة 4: إلحاق مساحة العمل ب Microsoft Sentinel عبر واجهة برمجة تطبيقات الإلحاق

إلحاق مساحة العمل التي تم تمكين CMK بها إلى Microsoft Sentinel عبر واجهة برمجة تطبيقات الإلحاق باستخدام الخاصية customerManagedKey ك true. لمزيد من السياق حول واجهة برمجة تطبيقات الإعداد، راجع هذا المستند في مستودع Microsoft Sentinel GitHub.

على سبيل المثال، URI التالي والنص الأساسي للطلب هو استدعاء صالح لإلحاق مساحة عمل ب Microsoft Sentinel عند إرسال معلمات URI المناسبة ورمز التخويل المميز.

Uri

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

نص الطلب

{ 
"properties": { 
    "customerManagedKey": true 
    }  
} 

الخطوة 5: اتصل بمجموعة منتجات Microsoft Sentinel لتأكيد الإعداد

وأخيرا، تأكد من حالة الإعداد لمساحة العمل التي تدعم CMK عن طريق الاتصال بمجموعة منتجات Microsoft Sentinel.

تشفير المفتاح أو إبطال المفتاح أو حذفه

إذا قام مستخدم بإبطال مفتاح تشفير المفتاح (CMK)، إما عن طريق حذفه أو إزالة الوصول إلى نظام المجموعة المخصص وموفر موارد Azure Cosmos DB، فإن Microsoft Sentinel يكرم التغيير ويتصرف كما لو لم تعد البيانات متوفرة، في غضون ساعة واحدة. عند هذه النقطة، يتم منع أي عملية تستخدم موارد التخزين المستمرة مثل استيعاب البيانات وتغييرات التكوين المستمرة وإنشاء الحدث. لا يتم حذف البيانات المخزنة مسبقا ولكن لا يزال يتعذر الوصول إليها. تخضع البيانات التي يتعذر الوصول إليها لنهج استبقاء البيانات ويتم إزالتها وفقا لتلك السياسة.

العملية الوحيدة الممكنة بعد إبطال مفتاح التشفير أو حذفه هي حذف الحساب.

إذا تمت استعادة الوصول بعد الإبطال، يقوم Microsoft Sentinel باستعادة الوصول إلى البيانات في غضون ساعة.

يمكن إبطال الوصول إلى البيانات عن طريق تعطيل المفتاح المدار من قبل العميل في مخزن المفاتيح، أو حذف نهج الوصول إلى المفتاح، لكل من مجموعة Log Analytics المخصصة وAzure Cosmos DB. إبطال الوصول عن طريق إزالة المفتاح من مجموعة Log Analytics المخصصة، أو عن طريق إزالة الهوية المقترنة بمجموعة Log Analytics المخصصة غير مدعومة.

لفهم المزيد حول كيفية عمل إبطال المفاتيح في Azure Monitor، راجع إبطال AZURE Monitor CMK.

التغيير التلقائي للمفاتيح المُدارة من قبل العميل

يدعم كل من Microsoft Sentinel وLog Analytics التغيير التلقائي للمفاتيح. عندما يقوم مستخدم بإجراء التغيير التلقائي للمفاتيح في Key Vault، يدعم Microsoft Sentinel المفتاح الجديد في غضون ساعة.

في Azure Key Vault، قم بإجراء تدوير المفتاح عن طريق إنشاء إصدار جديد من المفتاح:

تعطيل الإصدار السابق من المفتاح بعد 24 ساعة، أو بعد سجلات تدقيق Azure Key Vault لم تعد تظهر أي نشاط يستخدم الإصدار السابق.

بعد التغيير التلقائي للمفاتيح، يجب عليك تحديث مورد نظام مجموعة Log Analytics المخصص بشكل صريح في Log Analytics باستخدام إصدار مفتاح Azure Key Vault الجديد. لمزيد من المعلومات، راجعالتغيير التلقائي للمفاتيح في Azure Monitor CMK.

استبدال مفتاح مُدار بواسطة العميل

لا يدعم Microsoft Sentinel استبدال مفتاح يديره العميل. يجب استخدام إمكانية التغيير التلقائي للمفاتيح بدلاً من ذلك.

الخطوات التالية

في هذا المستند، تعلمت كيفية إعداد مفتاح مُدار بواسطة العميل في Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على طريقةالحصول على رؤية لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
• استخدم المصنفات لمراقبة بياناتك.