Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie ein oder mehrere verwaltete HSMs erstellt haben, möchten Sie wahrscheinlich überwachen, wie und wann auf Ihre HSMs zugegriffen wird und von wem. Sie können diesen Zugriff überwachen, indem Sie die Protokollierung aktivieren, wodurch Informationen in einem von Ihnen bereitgestellten Azure Speicherkonto gespeichert werden. Für Ihr angegebenes Speicherkonto wird automatisch ein neuer Container namens insights-logs-auditevent erstellt. Das gleiche Speicherkonto kann verwendet werden, um Protokolle für mehrere verwaltete HSMs zu sammeln. Sie können ihre Protokolle auch an einen Log Analytics Arbeitsbereich senden, mit dem Sie Microsoft Sentinel aktivieren können, um verdächtige Aktivitäten automatisch zu erkennen.
Sie können innerhalb von zehn Minuten nach dem Vorgang des verwalteten HSM auf Ihre Protokollinformationen zugreifen. In den meisten Fällen geschieht es schneller. Sie verwalten Ihre Protokolle in Ihrem Speicherkonto:
- Verwenden Sie standardmäßige Azure Methoden für die Zugriffssteuerung, um Ihre Protokolle zu schützen, indem Sie einschränken, wer darauf zugreifen kann.
- Löschen Sie Protokolle, die im Speicherkonto nicht mehr aufbewahrt werden sollen.
Dieses Tutorial unterstützt Sie bei den ersten Schritten mit der verwalteten HSM-Protokollierung. Sie sollten bereits über ein Speicherkonto oder Log Analytics Arbeitsbereich verfügen, bevor Sie die Protokollierung aktivieren und die gesammelten Protokollinformationen interpretieren.
Voraussetzungen
Ein Azure-Abonnement ist erforderlich. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Außerdem benötigen Sie:
- Die Azure CLI Version 2.25.0 oder höher. Führen Sie
az --versionaus, um die Version zu ermitteln. Wenn Sie die Azure CLI installieren oder aktualisieren müssen, lesen Sie Installieren der Azure CLI. - Ein Managed HSM in Ihrem Abonnement. Siehe Quickstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe von Azure CLI zum Bereitstellen und Aktivieren eines verwalteten HSM.
- Ein Azure Speicherkonto und/oder ein Log Analytics Arbeitsbereich. Wenn Sie keines oder beides haben, können Sie sie über das Azure Portal erstellen:
Azure Cloud Shell
Azure hosten Azure Cloud Shell eine interaktive Shellumgebung, die Sie über Ihren Browser verwenden können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure Diensten zu arbeiten. Sie können die Cloud Shell vorinstallierten Befehle verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
So starten Sie Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Wenn Sie Try It auswählen, wird der Code oder befehl nicht automatisch in Cloud Shell kopiert. |
|
| Wechseln Sie zu https://shell.azure.com, oder wählen Sie die Schaltfläche Launch Cloud Shell aus, um Cloud Shell in Ihrem Browser zu öffnen. |
|
| Wählen Sie die Schaltfläche Cloud Shell auf der Menüleiste oben rechts im Portal Azure Portal aus. |
|
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl in die Cloud Shell Sitzung ein, indem Sie Ctrl+Shift+V auf Windows und Linux auswählen, oder indem Sie Cmd+Shift+V unter macOS auswählen.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Herstellen einer Verbindung mit Ihrem Azure-Abonnement
Melden Sie sich mit dem Befehl Azure CLI
az login
Weitere Informationen zu Authentifizierungsoptionen über die CLI finden Sie unter Sign in with Azure CLI.
Identifizieren des verwalteten HSM, des Speicherkontos und des Log Analytics-Arbeitsbereichs
Der erste Schritt bei der Einrichtung der Schlüsselprotokollierung besteht darin, das verwaltete HSM zu finden, das Sie protokollieren möchten.
Verwenden Sie den Befehl Azure CLI az keyvault show, um das verwaltete HSM zu finden, das Sie protokollieren möchten.
Sie können auch den Befehl Azure CLI az storage account show verwenden, um das Speicherkonto zu finden, das Sie für die Protokollierung verwenden möchten. Um den Log Analytics-Arbeitsbereich zu finden, den Sie für die Protokollierung verwenden möchten, verwenden Sie den Befehl Azure CLI az monitor log-analytics workspace show.
hsmresource=$(az keyvault show --hsm-name <hsm-name> --query id -o tsv)
storageresource=$(az storage account show --name <storage-account-name> --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group <resource-group> --workspace-name <workspace-name> --query id -o tsv)
Aktivieren der Protokollierung
Um die Protokollierung für verwaltetes HSM zu aktivieren, verwenden Sie den Befehl Azure CLI az monitor diagnostic-settings create zusammen mit den Variablen aus den vorherigen Befehlen. Setzen Sie das Flag -Enabled auf true und legen Sie category auf AuditEvent fest (die einzige Kategorie für die Managed HSM-Protokollierung).
So senden Sie die Protokolle an ein Speicherkonto
az monitor diagnostic-settings create --name <hsm-name>-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
So senden Sie die Protokolle an einen Log Analytics Arbeitsbereich:
az monitor diagnostic-settings create --name "<hsm-name>-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource
Was ist protokolliert
Verwaltetes HSM protokolliert die folgenden Arten von Vorgängen und Ereignissen:
- Alle authentifizierten REST-API-Anforderungen, einschließlich fehlgeschlagener Anforderungen aufgrund von Zugriffsberechtigungen, Systemfehlern, Firewallblöcken oder fehlerhaften Anforderungen.
- Vorgänge auf der verwalteten Ebene für die eigentliche verwaltete HSM-Ressource – einschließlich Erstellung, Löschung und Aktualisierung von Attributen (beispielsweise Tags)
- Vorgänge im Zusammenhang mit der Sicherheitsdomäne, z. B. Initialisieren und Herunterladen, Initialisieren der Wiederherstellung und Hochladen.
- Vollständige HSM-Sicherungs-, Wiederherstellungs- und selektive Wiederherstellungsvorgänge.
- Rollenverwaltungsvorgänge wie Erstellen, Anzeigen und Löschen von Rollenzuweisungen sowie Erstellen, Anzeigen und Löschen benutzerdefinierter Rollendefinitionen.
- Vorgänge für Schlüssel. Beispielsweise:
- Erstellen, Ändern oder Löschen von Schlüsseln.
- Signieren, Überprüfen, Verschlüsseln, Entschlüsseln, Umhüllen und Auspacken von Schlüsseln sowie das Auflisten von Schlüsseln.
- Schlüsselsicherung (Backup), Wiederherstellung und Bereinigung.
- Schlüsselfreigabe.
- Ungültige Pfade, die zu einer 404-Antwort führen.
Zugreifen auf Ihre Protokolle
Speicherkonto
Der Insights-logs-auditevent-Container im Speicherkonto, das Sie bereitstellen, speichert verwaltete HSM-Protokolle. Um die Protokolle anzuzeigen, müssen Sie Blobs herunterladen. Informationen zu Azure Storage finden Sie unter Create, download, and list blobs with Azure CLI.
Einzelne Blobs werden als Text gespeichert, formatiert als JSON. Hier ist ein Beispiel für einen Protokolleintrag. Dieses Beispiel zeigt den Protokolleintrag, der erstellt wird, wenn eine Anforderung zum Erstellen einer vollständigen Sicherung an das verwaltete HSM gesendet wird.
[
{
"TenantId": "<tenant-id>",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/<subscription-id>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/<hsm-name>",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"<application-id>\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"<object-id>\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"<user-email>\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://<hsm-name>.managedhsm.azure.net/backup",
"resourceGroup": "<resource-group>",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "<hsm-name>",
"resourceType": "managedHSMs"
}
]
Log Analytics Arbeitsbereich
Der Log Analytics Arbeitsbereich, den Sie bereitstellen, speichert verwaltete HSM-Protokolle. Sie können das Azure Portal verwenden, um die Protokolle abzufragen. Weitere Informationen finden Sie im Lernprogramm Log Analytics.
Verwenden Sie Azure Monitor Protokolle
Verwenden Sie die Key Vault Lösung in Azure Monitor Protokollen, um verwaltete HSM AuditEvent-Protokolle zu überprüfen. Verwenden Sie in Azure Monitor Protokollen Protokollabfragen, um Daten zu analysieren und die benötigten Informationen abzurufen. Weitere Informationen, einschließlich der Einrichtung, finden Sie unter Monitor Azure Managed HSM.
Informationen zum Analysieren von Protokollen finden Sie unter Beispiel-Kusto-Protokollabfragen.
Wenn Sie Ihre Protokolle an einen Log Analytics Arbeitsbereich senden, können Sie Microsoft Sentinel verwenden, um verdächtige Aktivitäten automatisch zu erkennen. Weitere Informationen finden Sie unter Microsoft Sentinel für Azure managed HSM.
Nächste Schritte
- Erfahren Sie mehr über Secure your Azure Managed HSM deployment, um ein verwaltetes HSM bereitzustellen und zu verwenden.
- Erfahren Sie, wie Sie ein verwaltetes HSM sichern und wiederherstellen .