你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

设置Microsoft Sentinel客户管理的密钥

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

本文提供为Microsoft Sentinel配置客户管理的密钥 (CMK) 的背景信息和步骤。 Microsoft Sentinel中存储的所有数据已通过所有相关存储资源中的Microsoft进行加密。 CMK 使用由你创建和拥有并存储在Azure 密钥保管库中的加密密钥提供额外的保护层。

先决条件

  1. 配置至少为 100 GB/天的承诺层的 Log Analytics 专用群集。 当多个工作区链接到同一专用群集时,它们共享同一个客户管理的密钥。 了解 Log Analytics 专用群集定价
  2. 在专用群集上配置 CMK 并将工作区链接到该群集。 了解 Azure Monitor 中的 CMK 预配步骤

受 CMK 保护的数据

启用 CMK 后,以下数据将受到保护:

  • 链接到专用群集的工作区中的 Log Analytics 表
  • 链接工作区中存储的某些Microsoft Sentinel资源:
    • 分析规则
    • 威胁智能
    • 摘要规则
    • 监视列表

注意

UEBA 将数据和见解输出到 Log Analytics 工作区,可以使用客户管理的密钥 (CMK) 进行保护。 但是,UEBA 处理还涉及在 Log Analytics 工作区外部存储派生数据,目前无法使用 CMK 保护这些数据。

所有其他数据都使用Microsoft管理的密钥 (MMK) ,不受 CMK 保护。 例如,这包括但不限于:

  • Microsoft Sentinel中的操作数据,例如警报、事件和行为以及其中包含的数据。
  • 存储在Microsoft Sentinel之外的产品/服务中的数据(例如Security Copilot和Entra),或存储在工作区外部的资源(如工作簿、playbook)。

如果你有需要增加 CMK 覆盖范围的特定需求,请联系你的帐户团队。

载入注意事项

  • 仅支持通过 REST API 和 Azure CLI 将 CMK 工作区载入到Microsoft Sentinel,而不支持通过Azure 门户。 CMK 载入目前不支持Azure 资源管理器模板 (ARM 模板) 。

  • 在以下情况下,只有 Log Analytics 表中引入的数据使用 CMK 加密,而所有其他数据都使用Microsoft管理的密钥进行加密:

    • 在已载入到Microsoft Sentinel的工作区上启用 CMK。
    • 在包含已启用Microsoft Sentinel工作区的群集上启用 CMK。
    • 将启用Microsoft Sentinel的非 CMK 工作区链接到已启用 CMK 的群集。

  • 不支持以下与 CMK 相关的更改 因为它们可能会导致未定义和有问题的行为:

    • 禁用已载入到Microsoft Sentinel的工作区上的 CMK。
    • 通过将启用Sentinel的、已启用 CMK 的工作区与已启用 CMK 的专用群集取消链接,将其设置为非 CMK 工作区。
    • 在已启用 CMK 的 Log Analytics 专用群集上禁用 CMK。

  • Microsoft Sentinel支持 CMK 配置中的系统分配标识。 因此,专用 Log Analytics 群集的标识应该是 系统分配 的标识。 建议使用创建 Log Analytics 群集时自动分配给该群集的标识。

  • 目前 不支持将客户管理的密钥更改为使用另一个 URI) 的另一个密钥 (。 通过 轮换密钥来更改密钥

  • 在对生产工作区或 Log Analytics 群集进行任何 CMK 更改之前,请联系 Microsoft Sentinel 产品组

CMK 的工作原理

Microsoft Sentinel解决方案使用专用 Log Analytics 群集进行日志收集和功能。 作为Microsoft Sentinel CMK 配置的一部分,必须在相关的 Log Analytics 专用群集上配置 CMK 设置。

有关更多信息,请参阅:

注意

如果在 Microsoft Sentinel 上启用 CMK,则不会启用任何不支持 CMK 的公共预览版功能。

启用 CMK

若要预配 CMK,请执行以下步骤:

  1. 在专用群集上的 Log Analytics 工作区上配置 CMK。 请参阅先决条件
  2. 注册到 Azure Cosmos DB 资源提供程序。
  3. 向 Azure 密钥保管库 实例添加访问策略。
  4. 通过载入 API 载入工作区以Microsoft Sentinel。
  5. 请联系 Microsoft Sentinel 产品组以确认加入。

步骤 1:在专用群集上的 Log Analytics 工作区上配置 CMK

先决条件中所述,若要将具有 CMK 的 Log Analytics 工作区加入到Microsoft Sentinel,必须先将此工作区链接到启用了 CMK 的专用 Log Analytics 群集。 Microsoft Sentinel将使用专用群集使用的相同密钥。 按照 Azure监视客户管理的密钥配置中的说明,在以下步骤中创建用作Microsoft Sentinel工作区的 CMK 工作区。

步骤 2:注册 Azure Cosmos DB 资源提供程序

Microsoft Sentinel将 Azure Cosmos DB 用作附加存储资源。 在将 CMK 工作区加入到 Microsoft Sentinel 之前,请务必注册到 Azure Cosmos DB 资源提供程序。

按照说明为Azure订阅注册 Azure Cosmos DB 资源提供程序

步骤 3:向 Azure 密钥保管库 实例添加访问策略

添加一个访问策略,允许 Azure Cosmos DB 访问链接到专用 Log Analytics 群集的 Azure 密钥保管库 实例, (Microsoft Sentinel) 将使用同一密钥。

按照此处的说明,使用 Azure Cosmos DB 主体向 Azure 密钥保管库 实例添加访问策略

“添加访问策略”页上“选择主体”选项的屏幕截图。

步骤 4:通过载入 API 载入工作区以Microsoft Sentinel

加入customerManagedKey已启用 CMK 的工作区,以便使用 属性作为 true通过载入 API Microsoft Sentinel。 有关载入 API 的更多上下文,请参阅 gitHub 存储库中的Microsoft Sentinel文档

例如,以下 URI 和请求正文是加入工作区的有效调用,以便在发送适当的 URI 参数和授权令牌时Microsoft Sentinel。

URI

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/onboardingStates/{sentinelOnboardingStateName}?api-version=2021-03-01-preview

请求正文

{ 
"properties": { 
    "customerManagedKey": true 
    }  
}

步骤 5:联系Microsoft Sentinel产品组以确认加入

最后,通过联系 Microsoft Sentinel 产品组,确认已启用 CMK 的工作区的载入状态。

密钥加密密钥吊销或删除

如果用户 (CMK) 吊销密钥加密密钥,请删除该密钥,或者删除对专用群集和 Azure Cosmos DB 资源提供程序的访问权限,Microsoft Sentinel在一小时内接受更改,并像数据不再可用一样。 此时,将阻止使用持久存储资源(例如数据引入、持久配置更改和事件创建)的任何操作。 以前存储的数据不会删除,但仍无法访问。 不可访问的数据受数据保留策略控制,并根据该策略进行清除。

在撤销或删除加密密钥后,唯一可能的操作是删除帐户。

如果在吊销后恢复访问,Microsoft Sentinel在一小时内还原对数据的访问权限。

对于专用 Log Analytics 群集和 Azure Cosmos DB,可以通过禁用密钥保管库中的客户管理的密钥或删除对密钥的访问策略来撤销对数据的访问权限。 不支持通过从专用 Log Analytics 群集中删除密钥或删除与专用 Log Analytics 群集关联的标识来撤销访问权限。

若要详细了解 Azure Monitor 中密钥吊销的工作原理,请参阅Azure监视 CMK 吊销

客户管理的密钥轮换

Microsoft Sentinel 和 Log Analytics 支持密钥轮换。 当用户在 密钥保管库 中执行密钥轮换时,Microsoft Sentinel在一小时内支持新密钥。

在 Azure 密钥保管库中,通过创建密钥的新版本来执行密钥轮换:

密钥轮换

在 24 小时后或Azure 密钥保管库审核日志不再显示任何使用以前版本的活动后禁用旧版密钥。

轮换密钥后,必须使用新的 Azure 密钥保管库 密钥版本显式更新 Log Analytics 中的专用 Log Analytics 群集资源。 有关详细信息,请参阅Azure监视 CMK 轮换

替换客户管理的密钥

Microsoft Sentinel不支持替换客户管理的密钥。 应改用 密钥轮换功能

后续步骤

本文档介绍了如何在 Microsoft Sentinel 中设置客户管理的密钥。 若要详细了解Microsoft Sentinel,请参阅以下文章:

  • Last updated on