Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general y pasos para configurar una clave administrada por el cliente (CMK) para Microsoft Sentinel. Microsoft ya cifra todos los datos almacenados en Microsoft Sentinel en todos los recursos de almacenamiento pertinentes. CMK proporciona una capa adicional de protección con una clave de cifrado creada y propiedad suya y almacenada en el Azure Key Vault.
Requisitos previos
- Configure un clúster dedicado de Log Analytics con al menos un nivel de compromiso de 100 GB/día. Cuando varias áreas de trabajo están vinculadas al mismo clúster dedicado, comparten la misma clave administrada por el cliente. Obtenga información sobre los precios de los clústeres dedicados de Log Analytics.
- Configure CMK en el clúster dedicado y vincule el área de trabajo a ese clúster. Obtenga información sobre los pasos de aprovisionamiento de CMK en Azure Monitor.
Datos protegidos por CMK
Una vez habilitada la CMK, se protegen los siguientes datos:
- Tablas de Log Analytics en áreas de trabajo vinculadas al clúster dedicado
- Algunos Microsoft Sentinel recursos almacenados en las áreas de trabajo vinculadas:
- Reglas de análisis
- Inteligencia sobre amenazas
- Reglas de resumen
- Listas de reproducción
Nota:
UEBA genera datos e información en el área de trabajo de Log Analytics, que se puede proteger mediante claves administradas por el cliente (CMK). Sin embargo, el procesamiento de UEBA también implica el almacenamiento de datos derivados fuera del área de trabajo de Log Analytics, que actualmente no se puede proteger con CMK.
Todos los demás datos usan una clave administrada por Microsoft (MMK) en su lugar y no están protegidos por CMK. Por ejemplo, esto incluye pero no se limita a:
- Datos operativos dentro de Microsoft Sentinel como alertas, incidentes y comportamientos, y los datos incluidos en ellos.
- Datos almacenados en productos o servicios fuera de Microsoft Sentinel, como Security Copilot y Entra, o recursos almacenados fuera del área de trabajo, como libros, cuadernos de estrategias.
Si tiene necesidades específicas que requieren una mayor cobertura de CMK, póngase en contacto con el equipo de su cuenta.
Consideraciones de incorporación
La incorporación de un área de trabajo de CMK a Microsoft Sentinel solo se admite a través de la API REST y la CLI de Azure, y no a través de la Azure Portal. las plantillas de Azure Resource Manager (plantillas de ARM) no se admiten actualmente para la incorporación de CMK.
En los casos siguientes, solo los datos ingeridos en las tablas de Log Analytics se cifran con CMK, mientras que todos los demás datos se cifran con claves administradas por Microsoft:
- Habilitar CMK en un área de trabajo que ya está incorporada a Microsoft Sentinel.
- Habilitación de CMK en un clúster que contiene áreas de trabajo habilitadas para Microsoft Sentinel.
- Vinculación de un área de trabajo no CMK habilitada para Microsoft Sentinel a un clúster habilitado para CMK.
No se admiten los siguientes cambios relacionados con CMK porque pueden dar lugar a un comportamiento indefinido y problemático:
- Deshabilitar CMK en un área de trabajo ya incorporada a Microsoft Sentinel.
- Establecer un área de trabajo habilitada para CMK y incorporada Sentinel como un área de trabajo que no sea cmk desvinculandola de su clúster dedicado habilitado para CMK.
- Deshabilitar CMK en un clúster dedicado de Log Analytics habilitado para CMK.
Microsoft Sentinel admite identidades asignadas por el sistema en la configuración de CMK. Por lo tanto, la identidad del clúster de Log Analytics dedicado debe ser una identidad asignada por el sistema . Se recomienda usar la identidad que se asigna automáticamente al clúster de Log Analytics cuando se crea.
Actualmente no se admite el cambio de la clave administrada por el cliente a otra clave (con otro URI). Cambie la tecla girando.
Antes de realizar cambios de CMK en un área de trabajo de producción o en un clúster de Log Analytics, póngase en contacto con el grupo de productos Microsoft Sentinel.
Funcionamiento de CMK
La solución Microsoft Sentinel usa un clúster de Log Analytics dedicado para la recopilación de registros y las características. Como parte de la configuración Microsoft Sentinel CMK, debe configurar las opciones de CMK en el clúster dedicado de Log Analytics relacionado.
Para más información, vea:
- Azure Supervisar claves administradas por el cliente (CMK).
- Azure Key Vault.
- Clústeres dedicados de Log Analytics.
Nota:
Si habilita CMK en Microsoft Sentinel, no se habilitarán las características de versión preliminar pública que no admitan CMK.
Habilitación de CMK
Para aprovisionar CMK, siga estos pasos:
- Configure CMK en un área de trabajo de Log Analytics en un clúster dedicado. Vea Requisitos previos.
- Regístrese en el proveedor de recursos de Azure Cosmos DB.
- Agregue una directiva de acceso a la instancia de Azure Key Vault.
- Incorpore el área de trabajo para Microsoft Sentinel a través de la API de incorporación.
- Póngase en contacto con el grupo de productos de Microsoft Sentinel para confirmar la incorporación.
Paso 1: Configuración de CMK en un área de trabajo de Log Analytics en un clúster dedicado
Como se mencionó en los requisitos previos, para incorporar un área de trabajo de Log Analytics con CMK para Microsoft Sentinel, este área de trabajo debe vincularse primero a un clúster de Log Analytics dedicado en el que CMK esté habilitado. Microsoft Sentinel usará la misma clave que usa el clúster dedicado. Siga las instrucciones de Azure Supervisión de la configuración de clave administrada por el cliente para crear un área de trabajo de CMK que se use como área de trabajo Microsoft Sentinel en los pasos siguientes.
Paso 2: Registro del proveedor de recursos de Azure Cosmos DB
Microsoft Sentinel funciona con Azure Cosmos DB como un recurso de almacenamiento adicional. Asegúrese de registrarse en el proveedor de recursos de Azure Cosmos DB antes de incorporar un área de trabajo de CMK a Microsoft Sentinel.
Siga las instrucciones para registrar el proveedor de recursos de Azure Cosmos DB para la suscripción de Azure.
Paso 3: Agregar una directiva de acceso a la instancia de Azure Key Vault
Agregue una directiva de acceso que permita a Azure Cosmos DB acceder a la instancia de Azure Key Vault vinculada al clúster de Log Analytics dedicado (la misma clave la usará Microsoft Sentinel).
Siga las instrucciones que se indican aquí para agregar una directiva de acceso a la instancia de Azure Key Vault con una entidad de seguridad de Azure Cosmos DB.
Paso 4: Incorporación del área de trabajo para Microsoft Sentinel a través de la API de incorporación
Incorpore el área de trabajo habilitada para CMK para Microsoft Sentinel a través de la API de incorporación mediante la customerManagedKey propiedad como true. Para obtener más contexto en la API de incorporación, consulte este documento en el repositorio de GitHub Microsoft Sentinel.
Por ejemplo, el siguiente URI y el cuerpo de la solicitud es una llamada válida para incorporar un área de trabajo para Microsoft Sentinel cuando se envían los parámetros de URI y el token de autorización adecuados.
URI
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview
Cuerpo de solicitud
{
"properties": {
"customerManagedKey": true
}
}
Paso 5: Póngase en contacto con el grupo de productos Microsoft Sentinel para confirmar la incorporación
Por último, confirme el estado de incorporación del área de trabajo habilitada para CMK poniéndose en contacto con el grupo de productos de Microsoft Sentinel.
Revocación o eliminación de claves de cifrado de claves
Si un usuario revoca la clave de cifrado de claves (la CMK), ya sea eliminándola o quitando el acceso para el clúster dedicado y Azure proveedor de recursos de Cosmos DB, Microsoft Sentinel respeta el cambio y se comporta como si los datos ya no estuvieran disponibles, en un plazo de una hora. En este momento, se impide cualquier operación que use recursos de almacenamiento persistentes, como la ingesta de datos, los cambios de configuración persistentes y la creación de incidentes. Los datos almacenados anteriormente no se eliminan, pero permanecen inaccesibles. Los datos inaccesibles se rigen por la directiva de retención de datos y se purgan de acuerdo con esa directiva.
La única operación posible después de revocar o eliminar la clave de cifrado es la eliminación de la cuenta.
Si el acceso se restaura después de la revocación, Microsoft Sentinel restaura el acceso a los datos en un plazo de una hora.
El acceso a los datos se puede revocar deshabilitando la clave administrada por el cliente en el almacén de claves o eliminando la directiva de acceso a la clave, tanto para el clúster de Log Analytics dedicado como para Azure Cosmos DB. No se admite la revocación del acceso mediante la eliminación de la clave del clúster de Log Analytics dedicado o la eliminación de la identidad asociada al clúster de Log Analytics dedicado.
Para obtener más información sobre cómo funciona la revocación de claves en Azure Monitor, consulte Azure Supervisión de la revocación de CMK.
Rotación de claves administradas por el cliente
Microsoft Sentinel y Log Analytics admiten la rotación de claves. Cuando un usuario realiza la rotación de claves en Key Vault, Microsoft Sentinel admite la nueva clave en un plazo de una hora.
En Azure Key Vault, realice la rotación de claves mediante la creación de una nueva versión de la clave:
Deshabilite la versión anterior de la clave después de 24 horas o después de que los registros de auditoría de Azure Key Vault ya no muestren ninguna actividad que use la versión anterior.
Después de rotar una clave, debe actualizar explícitamente el recurso de clúster de Log Analytics dedicado en Log Analytics con la nueva versión de clave Azure Key Vault. Para obtener más información, consulte Azure Supervisión de la rotación de CMK.
Reemplazo de una clave administrada por el cliente
Microsoft Sentinel no admite el reemplazo de una clave administrada por el cliente. En su lugar, debe usar la funcionalidad de rotación de claves .
Pasos siguientes
En este documento, ha aprendido a configurar una clave administrada por el cliente en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.