Rejestrowanie zarządzanego modułu HSM
Po utworzeniu co najmniej jednego zarządzanego modułu HSM prawdopodobnie zechcesz monitorować sposób i czas uzyskiwania dostępu do modułów HSM oraz przez kogo. Możesz to zrobić, włączając rejestrowanie, które zapisuje informacje na podanym koncie usługi Azure Storage. Nowy kontener o nazwie insights-logs-auditevent jest tworzony automatycznie dla określonego konta magazynu. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu zarządzanych modułów HSM. Możesz również wysłać dzienniki do obszaru roboczego usługi Log Analytics, który następnie może służyć do automatycznego wykrywania podejrzanych działań przez usługę Microsoft Sentinel.
Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po wykonaniu operacji zarządzanego modułu HSM. W większości przypadków jest to wcześniej. To Ty zarządzasz dziennikami na swoim koncie magazynu:
- Użyj standardowych metod kontroli dostępu platformy Azure w celu zabezpieczenia dzienników, wprowadzając ograniczenia co do tego, kto może uzyskiwać do nich dostęp.
- Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.
Skorzystaj z tego samouczka, aby ułatwić rozpoczęcie pracy z rejestrowaniem zarządzanego modułu HSM. Przed włączeniem rejestrowania i interpretowania zebranych informacji dziennika należy mieć już utworzone konto magazynu lub obszar roboczy usługi Log Analytics.
Wymagania wstępne
Aby wykonać kroki opisane w tym artykule, musisz mieć następujące elementy:
- Subskrypcja Microsoft Azure. Jeśli go nie masz, możesz utworzyć konto bezpłatnej wersji próbnej.
- Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie
az --version
, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. - Zarządzany moduł HSM w ramach subskrypcji. Zobacz Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure, aby aprowizować i aktywować zarządzany moduł HSM.
- Konto usługi Azure Storage i/lub obszar roboczy usługi Log Analytics. Jeśli nie masz jednego lub obu tych elementów, możesz je utworzyć przy użyciu witryny Azure Portal:
- Create a storage account (Tworzenie konta magazynu).
- Tworzenie obszarów roboczych usługi Log Analytics.
Azure Cloud Shell
Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
Opcja | Przykład/link |
---|---|
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. |
![]() |
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. |
![]() |
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |
![]() |
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.
Wybierz Enter, aby uruchomić kod lub polecenie.
Nawiązywanie połączenia z subskrypcją platformy Azure
Zaloguj się do subskrypcji platformy Azure przy użyciu polecenia az login interfejsu wiersza polecenia platformy Azure:
az login
Aby uzyskać więcej informacji na temat opcji logowania za pośrednictwem interfejsu wiersza polecenia, zapoznaj się z tematem Logowanie za pomocą interfejsu wiersza polecenia platformy Azure
Identyfikowanie zarządzanego modułu HSM, konta magazynu i obszaru roboczego usługi Log Analytics
Pierwszym krokiem konfigurowania rejestrowania kluczy jest znalezienie zarządzanego modułu HSM, który chcesz zarejestrować.
Użyj polecenia az keyvault show interfejsu wiersza polecenia platformy Azure, aby znaleźć zarządzany moduł HSM, który chcesz zarejestrować.
Możesz również użyć interfejsu wiersza polecenia platformy Azure az storage account show , aby znaleźć konto magazynu, którego chcesz użyć do rejestrowania, i/lub interfejs wiersza polecenia platformy Azure az monitor log-analytics workspace show polecenie, aby znaleźć obszar roboczy analizy dzienników, którego chcesz użyć do rejestrowania.
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)
Włącz rejestrowanie
Aby włączyć rejestrowanie dla zarządzanego modułu HSM, użyj polecenia az monitor diagnostic-settings create interfejsu wiersza polecenia platformy Azure wraz ze zmiennymi z poprzednich poleceń. Ustawimy również flagę -Enabled
na "true" i ustawimy category
wartość "AuditEvent" (jedyna kategoria dla rejestrowania zarządzanego modułu HSM).
Aby wysłać dzienniki do konta magazynu:
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Aby wysłać dzienniki do obszaru roboczego usługi Log Analytics:
az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource
Co jest rejestrowane
Następujące typy operacji i zdarzeń są rejestrowane dla zarządzanego modułu HSM:
- Wszystkie uwierzytelnione żądania interfejsu API REST, w tym żądania, które zakończyły się niepowodzeniem w wyniku uprawnień dostępu, błędów systemowych, bloków zapory lub nieprawidłowych żądań.
- Operacje płaszczyzny zarządzanej w samym zasobie zarządzanego modułu HSM, w tym tworzenie, usuwanie i aktualizowanie atrybutów, takich jak tagi.
- Operacje związane z domeną zabezpieczeń, takie jak inicjowanie i pobieranie, inicjowanie odzyskiwania, przekazywanie
- Operacje pełnej kopii zapasowej, przywracania i selektywnego przywracania modułu HSM
- Operacje zarządzania rolami, takie jak tworzenie/wyświetlanie/usuwanie przypisań ról i tworzenie/wyświetlanie/usuwanie niestandardowych definicji ról
- Operacje na kluczach, w tym:
- Tworzenie, modyfikowanie lub usuwanie kluczy.
- Podpisywanie, weryfikowanie, szyfrowanie, odszyfrowywanie, zawijanie i odpisanie kluczy, wyświetlanie listy kluczy.
- Kopia zapasowa klucza, przywracanie, przeczyszczanie
- Wydanie klucza
- Nieprawidłowe ścieżki, które powodują odpowiedź 404.
Uzyskiwanie dostępu do dzienników
Konto magazynu
Dzienniki zarządzanego modułu HSM są przechowywane w kontenerze insights-logs-auditevent na podanym koncie magazynu. Aby wyświetlić dzienniki, musisz pobrać obiekty blob. Aby uzyskać informacje na temat usługi Azure Storage, zobacz Tworzenie, pobieranie i wyświetlanie listy obiektów blob za pomocą interfejsu wiersza polecenia platformy Azure.
Poszczególne obiekty blob są przechowywane jako tekst, sformatowane jako dane JSON. Przyjrzyjmy się przykładowej pozycji dziennika. W tym przykładzie pokazano wpis dziennika, gdy żądanie utworzenia pełnej kopii zapasowej jest wysyłane do zarządzanego modułu HSM.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Obszar roboczy usługi Log Analytics
Zarządzane dzienniki modułu HSM są przechowywane w udostępnionym obszarze roboczym usługi Log Analytics. Do wykonywania zapytań dotyczących dzienników można użyć witryny Azure Portal. Aby uzyskać więcej informacji, zobacz Samouczek usługi Log Analytics.
Korzystanie z dzienników usługi Azure Monitor
Aby przejrzeć dzienniki zarządzanego modułu HSM AuditEvent, możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji. Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Monitorowanie zarządzanego modułu HSM platformy Azure.
Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto.
Jeśli wysyłasz dzienniki do obszaru roboczego usługi Log Analytics, możesz użyć usługi Microsoft Sentinel do automatycznego wykrywania podejrzanych działań. Zobacz Artykuł Microsoft Sentinel for Azure Managed HSM (Usługa Microsoft Sentinel dla zarządzanego modułu HSM platformy Azure).
Następne kroki
- Dowiedz się więcej o najlepszych rozwiązaniach dotyczących aprowizowania zarządzanego modułu HSM i korzystania z niego
- Dowiedz się, jak tworzyć kopie zapasowe i przywracać zarządzany moduł HSM