設定 Microsoft Sentinel 客戶管理的金鑰
本文提供為 Microsoft Sentinel 設定客戶自控密鑰 (CMK) 的背景資訊和步驟。 儲存在 Microsoft Sentinel 中的所有數據都已由 Microsoft 在所有相關記憶體資源中加密。 CMK 提供額外的保護層,其中包含由您建立和擁有的加密密鑰,並儲存在 Azure 金鑰保存庫。
必要條件
- 設定具有至少 100 GB/天承諾用量層的 Log Analytics 專用叢集。 當多個工作區連結至相同的專用叢集時,它們會共用相同的客戶管理密鑰。 瞭解 Log Analytics 專用叢集定價。
- 在專用叢集上設定 CMK,並將工作區連結至該叢集。 瞭解 Azure 監視器中的 CMK 布建步驟。
考量
僅透過 REST API 支援將 CMK 工作區上線至 Sentinel,而不是透過 Azure 入口網站。 CMK 上線目前不支援 Azure Resource Manager 範本 (ARM 範本)。
Microsoft Sentinel CMK 功能僅提供給 Log Analytics 專用叢集中尚未上線至 Microsoft Sentinel 的工作區。
不支援下列 CMK 相關變更,因為它們無效(Microsoft Sentinel 數據會繼續僅由 Microsoft 管理的金鑰加密,而不是由 CMK 加密):
- 在已上線至 Microsoft Sentinel 的工作區上啟用 CMK。
- 在包含 Sentinel 上線工作區的叢集上啟用 CMK。
- 將 Sentinel 上線的非 CMK 工作區連結到已啟用 CMK 的叢集。
不支援下列 CMK 相關變更,因為它們可能會導致未定義且有問題的行為:
- 在已上線至 Microsoft Sentinel 的工作區上停用 CMK。
- 藉由將其與已啟用 CMK 的專用叢集取消連結,將 Sentinel 上線的 CMK 工作區設定為非 CMK 工作區。
- 在已啟用 CMK 的 Log Analytics 專用叢集上停用 CMK。
Microsoft Sentinel 支援 CMK 組態中的系統指派身分識別。 因此,專用的Log Analytics叢集身分識別應為 系統指派 類型。 建議您在建立Log Analytics 叢集時,使用自動指派給Log Analytics 叢集的身分識別。
目前 不支援將客戶管理的金鑰變更為另一個金鑰(使用另一個 URI)。 您應該輪 替金鑰來變更金鑰。
在您對生產工作區或Log Analytics 叢集進行任何CMK變更之前,請連絡 Microsoft Sentinel 產品群組。
已啟用 CMK 的工作區不支援 搜尋作業。
CMK 的運作方式
Microsoft Sentinel 解決方案會使用專用的 Log Analytics cluser 來收集記錄和功能。 在 Microsoft Sentinel CMK 設定中,您必須在相關的 Log Analytics 專用叢集上設定 CMK 設定。 Microsoft Sentinel 在 Log Analytics 以外的記憶體資源中儲存的數據,也會使用針對專用 Log Analytics 叢集設定的客戶自控密鑰進行加密。
如需詳細資訊,請參閱
注意
如果您在 Microsoft Sentinel 上啟用 CMK,則不會啟用任何不支援 CMK 的公開預覽功能。
啟用 CMK
若要布建 CMK,請遵循下列步驟:
- 請確定您有Log Analytics工作區,且其已連結到已啟用CMK的專用叢集。 (請參閱 必要條件。)
- 註冊至 Azure Cosmos DB 資源提供者。
- 將存取原則新增至 Azure 金鑰保存庫 實例。
- 透過 上線 API 將工作區上線至 Microsoft Sentinel。
- 請連絡 Microsoft Sentinel 產品群組以確認上線。
步驟 1:在專用叢集上的 Log Analytics 工作區上設定 CMK
如必要條件中所述,若要將Log Analytics工作區與CMK上線至 Microsoft Sentinel,必須先將此工作區連結至已啟用 CMK 的專用 Log Analytics 叢集。 Microsoft Sentinel 將使用專用叢集所使用的相同密鑰。 請遵循 Azure 監視器客戶管理的金鑰設定中的指示,以建立 CMK 工作區,以在下列步驟中當做 Microsoft Sentinel 工作區使用。
步驟 2:註冊 Azure Cosmos DB 資源提供者
Microsoft Sentinel 可與 Azure Cosmos DB 搭配運作,作為額外的記憶體資源。 請務必先向 Azure Cosmos DB 資源提供者註冊,再將 CMK 工作區上線至 Microsoft Sentinel。
請遵循指示, 為您的 Azure 訂用帳戶註冊 Azure Cosmos DB 資源提供者 。
步驟 3:將存取原則新增至 Azure 金鑰保存庫 實例
新增存取原則,允許 Azure Cosmos DB 存取連結至您專用 Log Analytics 叢集的 Azure 金鑰保存庫 實例(Microsoft Sentinel 將使用相同的密鑰)。
請遵循這裡的指示,使用 Azure Cosmos DB 主體,將存取原則新增至 Azure 金鑰保存庫 實例。
步驟 4:透過上線 API 將工作區上線至 Microsoft Sentinel
使用 屬性作為 true,透過上線 API 將已啟用 CMK 的工作區上線至 Microsoft Sentinel。customerManagedKey 如需上線 API 的詳細資訊,請參閱 Microsoft Sentinel GitHub 存放庫中的檔 。
例如,下列 URI 和要求本文是在傳送適當的 URI 參數和授權令牌時,將工作區上線至 Microsoft Sentinel 的有效呼叫。
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
要求本文
{
"properties": {
"customerManagedKey": true
}
}
步驟 5:請連絡 Microsoft Sentinel 產品群組以確認上線
最後,請連絡 Microsoft Sentinel 產品群組,確認已啟用 CMK 的工作區上線狀態。
金鑰加密金鑰撤銷或刪除
如果使用者藉由刪除金鑰加密金鑰或移除專用叢集和 Azure Cosmos DB 資源提供者的存取權來撤銷金鑰加密金鑰(CMK),Microsoft Sentinel 會接受變更,並如同在一小時內不再提供數據一樣的行為。 此時,會防止使用持續性記憶體資源的任何作業,例如數據擷取、持續性組態變更和事件建立。 先前儲存的數據不會被刪除,但仍無法存取。 無法存取的數據會受到數據保留原則的控管,並根據該原則清除。
在撤銷或刪除加密密鑰之後,唯一可行的作業就是刪除帳戶。
如果在撤銷后還原存取權,Microsoft Sentinel 會在一小時內還原對數據的存取權。
針對專用的Log Analytics 叢集和 Azure Cosmos DB,停用密鑰保存庫中的客戶自控密鑰或刪除密鑰的存取原則,即可撤銷數據的存取權。 不支援從專用Log Analytics叢集移除密鑰,或移除與專用Log Analytics叢集相關聯的身分識別,以撤銷存取權。
若要深入瞭解密鑰撤銷如何在 Azure 監視器中運作,請參閱 Azure 監視器 CMK 撤銷。
客戶管理的金鑰輪替
Microsoft Sentinel 和 Log Analytics 支援密鑰輪替。 當使用者在 金鑰保存庫 中執行金鑰輪替時,Microsoft Sentinel 會在一小時內支援新的密鑰。
在 Azure 金鑰保存庫 中,建立新版本的金鑰來執行密鑰輪替:
在 24 小時之後或 Azure 金鑰保存庫 稽核記錄之後停用舊版密鑰,不再顯示任何使用舊版的活動。
輪替密鑰之後,您必須使用新的 Azure 金鑰保存庫 密鑰版本,明確地更新 Log Analytics 叢集資源。 如需詳細資訊,請參閱 Azure 監視器 CMK 輪替。
取代客戶管理的金鑰
Microsoft Sentinel 不支援取代客戶管理的密鑰。 您應該改用 金鑰輪替功能 。
下一步
在本檔中,您已瞭解如何在 Microsoft Sentinel 中設定客戶管理的金鑰。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 深入了解如何取得資料的可見度以及潛在威脅。
- 開始使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿 來監視您的數據。