Konfigurera Azure Sentinel – kundhanterad nyckel

Den här artikeln innehåller bakgrunds information och steg för att konfigurera en kundhanterad nyckel (CMK) för Azure Sentinel. CMK gör att alla data som sparas eller skickas till Azure Sentinel krypteras i alla relevanta lagrings resurser med en Azure Key Vault nyckel som skapats eller ägs av dig.

Anteckning

  • Azure Sentinel CMK-funktionen tillhandahålls endast till nya kunder.

  • Åtkomst till den här funktionen styrs av Azure Feature Registration. Du kan begära åtkomst genom att kontakta azuresentinelCMK@microsoft.com . Väntande begär Anden kommer att godkännas enligt den tillgängliga kapaciteten.

  • CMK-funktionen är bara tillgänglig för kunder som skickar 1 TB per dag eller mer. Du får information om ytterligare priser när du använder Microsoft för att etablera CMK i din Azure-prenumeration. Läs mer om Log Analytics prissättning.

Så här fungerar CMK

Azure Sentinel-lösningen använder flera lagrings resurser för logg insamling och-funktioner, inklusive Log Analytics och andra. Som en del av konfigurationen av Azure Sentinel-CMK måste du också konfigurera CMK-inställningarna på de relaterade lagrings resurserna. Data som sparas i andra lagrings resurser än Log Analytics kommer också att krypteras.

Läs mer om CMK.

Anteckning

Om du aktiverar CMK på Azure Sentinel, aktive ras inte alla offentliga förhands gransknings funktioner som inte stöder CMK.

Aktivera CMK

Följ dessa steg om du vill etablera CMK:

  1. Skapa en Azure Key Vault och en lagrings nyckel.

  2. Aktivera CMK på din Log Analytics-arbetsyta.

  3. Registrera dig för Cosmos DB.

  4. Lägg till en åtkomst princip till Azure Key Vault-instansen.

  5. Aktivera CMK i Azure Sentinel.

  6. Aktivera Azure Sentinel.

STEG 1: skapa en Azure Key Vault och lagra nyckel

  1. Skapa Azure Key Vault resursoch generera eller importera sedan en nyckel som ska användas för data kryptering.

    Anteckning

    Azure Key Vault måste konfigureras som återställnings Bart för att skydda nyckeln och åtkomsten.

  2. Aktivera återställnings alternativ:

    • Se till att mjuk borttagning är aktiverat.

    • Aktivera rensnings skyddet för att skydda mot framtvingad borttagning av hemligheten/valvet även efter mjuk borttagning.

STEG 2: Aktivera CMK på arbets ytan Log Analytics

Följ instruktionerna i Azure Monitor kundhanterad nyckel konfiguration för att skapa en CMK-arbetsyta som ska användas som Azure Sentinel-arbetsyta i följande steg.

STEG 3: registrera dig för Cosmos DB

Azure Sentinel fungerar med Cosmos DB som en ytterligare lagrings resurs. Se till att registrera till Cosmos DB.

Registrera Azure Cosmos DB Resource Provider för din Azure-prenumeration genom att följa Cosmos DB-instruktionen.

STEG 4: Lägg till en åtkomst princip till Azure Key Vault-instansen

Se till att lägga till åtkomst från Cosmos DB till Azure Key Vault-instansen. Följ Cosmos DB instruktionen för att lägga till en åtkomst princip till Azure Key Vault-instansen med Azure Cosmos DB huvud konto.

STEG 5: Aktivera CMK i Azure Sentinel

Azure Sentinel CMK-funktionen tillhandahålls till nya kunder endast efter att ha fått åtkomst direkt från Azures produkt grupp. Använd dina kontakter på Microsoft för att få godkännande från Azure Sentinel-teamet för att aktivera CMK i din lösning.

När du har godkänt godkännande uppmanas du att ange följande information för att aktivera funktionen CMK.

  • Arbetsyte-ID som du vill aktivera CMK för

  • Key Vault-URL: kopiera nyckelns "nyckel-ID" uppåt till det sista snedstrecket:

    nyckel identifierare

    Azure Sentinel-teamet aktiverar funktionen Azure Sentinel CMK för din angivna arbets yta.

  • Verifiering från produkt teamet för Azure Sentinel som du har godkänt för att använda den här funktionen. Du måste ha det här innan du fortsätter.

STEG 6: Aktivera Azure Sentinel

Gå till Azure Portal och aktivera Azure Sentinel på arbets ytan där du konfigurerar CMK. Mer information finns i Azure Sentinel onboarding.

Återkalla eller ta bort nyckel krypterings nyckel

I händelse av att en användare återkallar nyckel krypterings nyckeln, antingen genom att ta bort eller ta bort åtkomst för Azure Sentinel, inom en timme, kommer Azure Sentinel att bearbeta ändringen och beter sig som om data inte längre är tillgängliga. I det här läget kommer alla utförda åtgärder som använder permanenta lagrings resurser, till exempel data inmatning, beständiga konfigurations ändringar och incident skapande att förhindras. Tidigare lagrade data tas inte bort, men kommer inte att vara tillgängliga. Otillgängliga data regleras av data bevarande principen och tas bort i enlighet med principen.

Den enda åtgärd som är möjlig efter att krypterings nyckeln har återkallats eller tagits bort är ta bort konto.

Om åtkomsten återställs efter återkallning kommer Azure Sentinel att återställa åtkomsten till data inom en timme.

Om du vill veta mer om hur det fungerar i Azure Monitor, se Azure Monitor CMK-återkallning.

Rotation av nyckel krypterings nyckel

Azure Sentinel och Log Analytics stöd för nyckel rotation. När en användare utför nyckel rotation i Key Vault stöder Azure Sentinel den nya nyckeln inom en timme.

I Key Vault kan du utföra nyckel rotation genom att skapa en ny version av nyckeln:

nyckel rotation

Du kan inaktivera den tidigare versionen av nyckeln efter 24 timmar, eller efter Azure Key Vault gransknings loggarna visar inte längre aktiviteter som använder den tidigare versionen.

Om du använder samma nyckel i Azure Sentinel och i Log Analytics är det nödvändigt att utföra nyckel rotationen. du måste uttryckligen uppdatera kluster resursen i Log Analytics med den nya Azure Key Vault nyckel versionen. Mer information finns i Azure Monitor CMK rotation.

Nästa steg

I det här dokumentet har du lärt dig hur du konfigurerar en kundhanterad nyckel i Azure Sentinel. Mer information om Azure Sentinel finns i följande artiklar: