Condividi tramite

Configurazione di Microsoft Sentinel per il modulo di protezione hardware gestito di Azure

  • Articolo

È possibile usare Microsoft Sentinel per rilevare automaticamente attività sospette nelle risorse di Azure. Microsoft Sentinel include molti connettori predefiniti per servizi Microsoft, che si integrano in tempo reale. È possibile trovare lo specifico "Pacchetto della soluzione" per la protezione degli insiemi di credenziali delle chiavi di Azure nell'hub del contenuto di Microsoft Sentinel. È possibile usarlo anche per il modulo di protezione hardware gestito. Esistono tuttavia alcuni passaggi chiave da eseguire per assicurarsi di usarlo correttamente per il modulo di protezione hardware gestito.

  1. Seguire le istruzioni disponibili in Avvio rapido: Eseguire l'onboarding in Microsoft Sentinel | Microsoft Learn per abilitare Microsoft Sentinel.

  2. Passare all'area di lavoro di Microsoft Sentinel e quindi selezionare Hub contenuto in Gestione contenuto.

    Screenshot dell'hub del contenuto nella gestione dei contenuti nell'area di lavoro di Microsoft Sentinel.

    1. Cercare Azure Key Vault nell'hub del contenuto e selezionarlo.

      Screenshot della ricerca di Azure Key Vault nell'hub del contenuto.

    2. Selezionare Installa sulla barra laterale visualizzata.

      Screenshot dell'opzione di installazione nella barra laterale per Azure Key Vault.

    3. Selezionare Analisi in Configurazione.

      Screenshot dell'analisi in fase di configurazione in Microsoft Sentinel.

    4. Selezionare Modelli di regola e quindi cercare Azure Key Vault o usare il filtro per filtrare le origini dati in Azure Key Vault.

      Screenshot dei modelli di regola filtrati in base all'origine dati di Azure Key Vault.

    5. Usare il modello di regola che corrisponde al caso d'uso migliore. In questo esempio si selezionaNo operazioni sensibili dell'insieme di credenziali delle chiavi. Nella barra laterale visualizzata selezionare Crea regola.

      Screenshot dell'opzione crea regola per le operazioni sensibili di Key Vault.

    6. Nella scheda Imposta logica regola modificare la query della regola. Modificare "VAULTS" in "MANAGEDHSMS". In questo esempio è stato modificato anche in SensitiveOperationList modo da includere solo operazioni correlate alla chiave.

      Screenshot della scheda set rule logic con la query della regola per il modulo di protezione hardware gestito.

    7. In questo esempio viene pianificata l'esecuzione della query una volta ogni ora.

      Screenshot della query di pianificazione da eseguire ogni ora.

    8. Esaminare e salvare la regola. Verrà ora visualizzata la regola creata nella pagina Analisi .

      Screenshot della regola creata nella pagina di analisi.

    9. È possibile testare la regola creando ed eliminando una chiave. L'operazione KeyDelete è una delle operazioni sensibili ricercate dalla regola analitica denominata "Operazioni del modulo di protezione hardware gestito di Azure sensibili".

Passaggi successivi