Rejestrowanie zarządzanego modułu HSM

Po utworzeniu co najmniej jednego zarządzanego modułu HSM prawdopodobnie zechcesz monitorować sposób i czas uzyskiwania dostępu do modułów HSM oraz przez kogo. Możesz to zrobić, włączając rejestrowanie, które zapisuje informacje na podanym koncie usługi Azure Storage. Nowy kontener o nazwie insights-logs-auditevent jest tworzony automatycznie dla określonego konta magazynu. Tego samego konta magazynu można użyć do zbierania dzienników dla wielu zarządzanych modułów HSM. Możesz również wysłać dzienniki do obszaru roboczego usługi Log Analytics, który następnie może służyć do automatycznego wykrywania podejrzanych działań przez usługę Microsoft Sentinel.

Dostęp do informacji rejestrowania można uzyskać przez 10 minut (co najwyżej) po wykonaniu operacji zarządzanego modułu HSM. W większości przypadków jest to wcześniej. To Ty zarządzasz dziennikami na swoim koncie magazynu:

• Użyj standardowych metod kontroli dostępu platformy Azure w celu zabezpieczenia dzienników, wprowadzając ograniczenia co do tego, kto może uzyskiwać do nich dostęp.
• Usuń dzienniki, których nie chcesz już przechowywać na koncie magazynu.

Skorzystaj z tego samouczka, aby ułatwić rozpoczęcie pracy z rejestrowaniem zarządzanego modułu HSM. Przed włączeniem rejestrowania i interpretowania zebranych informacji dziennika należy mieć już utworzone konto magazynu lub obszar roboczy usługi Log Analytics.

Wymagania wstępne

Aby wykonać kroki opisane w tym artykule, musisz mieć następujące elementy:

• Subskrypcja Microsoft Azure. Jeśli go nie masz, możesz utworzyć konto bezpłatnej wersji próbnej.
• Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
• Zarządzany moduł HSM w ramach subskrypcji. Zobacz Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure, aby aprowizować i aktywować zarządzany moduł HSM.
• Konto usługi Azure Storage i/lub obszar roboczy usługi Log Analytics. Jeśli nie masz jednego lub obu tych elementów, możesz je utworzyć przy użyciu witryny Azure Portal:
  • Create a storage account (Tworzenie konta magazynu).
  • Tworzenie obszarów roboczych usługi Log Analytics.

Azure Cloud Shell

Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja	Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal.

Aby użyć usługi Azure Cloud Shell:

1. Uruchom usługę Cloud Shell.

2. Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.

3. Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.

4. Wybierz Enter, aby uruchomić kod lub polecenie.

Nawiązywanie połączenia z subskrypcją platformy Azure

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcji platformy Azure przy użyciu polecenia az login interfejsu wiersza polecenia platformy Azure:

az login

Aby uzyskać więcej informacji na temat opcji logowania za pośrednictwem interfejsu wiersza polecenia, zapoznaj się z tematem Logowanie za pomocą interfejsu wiersza polecenia platformy Azure

Azure PowerShell

Zaloguj się do subskrypcji platformy Azure przy użyciu polecenia Connect-AzAccount :

Connect-AzAccount

Aby uzyskać więcej informacji na temat opcji logowania za pośrednictwem programu PowerShell, zobacz Logowanie się za pomocą programu Azure PowerShell.

Portal

Zaloguj się do witryny Azure Portal pod adresem portal.azure.com.

Identyfikowanie zarządzanego modułu HSM, konta magazynu i obszaru roboczego usługi Log Analytics

Pierwszym krokiem konfigurowania rejestrowania kluczy jest znalezienie zarządzanego modułu HSM, który chcesz zarejestrować.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az keyvault show interfejsu wiersza polecenia platformy Azure, aby znaleźć zarządzany moduł HSM, który chcesz zarejestrować.

Możesz również użyć interfejsu wiersza polecenia platformy Azure az storage account show , aby znaleźć konto magazynu, którego chcesz użyć do rejestrowania, i/lub interfejs wiersza polecenia platformy Azure az monitor log-analytics workspace show polecenie, aby znaleźć obszar roboczy analizy dzienników, którego chcesz użyć do rejestrowania.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Azure PowerShell

Użyj polecenia cmdlet programu Azure PowerShell Get-AzKeyVault , aby znaleźć zarządzany moduł HSM, który chcesz zarejestrować.

Możesz również użyć polecenia cmdlet programu Azure PowerShell Get-AzStorageAccount , aby znaleźć konto magazynu, którego chcesz użyć do rejestrowania, i/lub polecenie cmdlet programu Azure PowerShell Get-AzOperationalInsightsWorkspace , aby znaleźć obszar roboczy usługi Log Analytics, którego chcesz użyć do rejestrowania.

$hsmresource = (Get-AzKeyVault -ResourceGroupName "ContosoResourceGroup" -VaultName "ContosoMHSM").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "ContosoResourceGroup" -Name "ContosoMHSMLogs").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "ContosoResourceGroup" -Name "ContosoLogs").ResourceId

Portal

Znajdź zarządzany moduł HSM na stronie docelowej witryny Azure Portal, klikając pozycję "Zobacz wszystko" w obszarze "Zasoby" i wybierając zarządzany moduł HSM według nazwy. Konto magazynu i obszar roboczy usługi Log Analytics można znaleźć w taki sam sposób.

Włącz rejestrowanie

Interfejs wiersza polecenia platformy Azure

Aby włączyć rejestrowanie dla zarządzanego modułu HSM, użyj polecenia az monitor diagnostic-settings create interfejsu wiersza polecenia platformy Azure wraz ze zmiennymi z poprzednich poleceń. Ustawimy również flagę -Enabled na "true" i ustawimy category wartość "AuditEvent" (jedyna kategoria dla rejestrowania zarządzanego modułu HSM).

Aby wysłać dzienniki do konta magazynu:

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Aby wysłać dzienniki do obszaru roboczego usługi Log Analytics:

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Azure PowerShell

Aby włączyć rejestrowanie dla zarządzanego modułu HSM, użyj polecenia cmdlet Set-AzDiagnosticSetting programu Azure PowerShell wraz ze zmiennymi z poprzednich poleceń. Ustawimy również flagę -Enabled$true na i ustawimy category wartość "AuditEvent" (jedyna kategoria rejestrowania zarządzanego modułu HSM).

Aby wysłać dzienniki do konta magazynu:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

Aby wysłać dzienniki do obszaru roboczego usługi Log Analytics:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Portal

1. Wybierz zasób HSM w witrynie Azure Portal, a następnie wybierz pozycję Ustawienia diagnostyczne w obszarze Monitorowanie.

1. Wybierz pozycję Dodaj ustawienia diagnostyczne.

1. Wprowadź nazwę ustawienia diagnostycznego.

1. Wybierz grupę kategorii dzienników i/lub metryk, które chcesz wysłać, oraz szczegóły lokalizacji docelowej dzienników. W tym przykładzie wybierzemy pozycję audit i allLogs, a także Wszystkie metryki i wyślemy je do obszaru roboczego usługi Log Analytics. Wprowadź szczegóły miejsca docelowego, a następnie wybierz pozycję Zapisz.

Co jest rejestrowane

Następujące typy operacji i zdarzeń są rejestrowane dla zarządzanego modułu HSM:

• Wszystkie uwierzytelnione żądania interfejsu API REST, w tym żądania, które zakończyły się niepowodzeniem w wyniku uprawnień dostępu, błędów systemowych, bloków zapory lub nieprawidłowych żądań.
• Operacje płaszczyzny zarządzanej w samym zasobie zarządzanego modułu HSM, w tym tworzenie, usuwanie i aktualizowanie atrybutów, takich jak tagi.
• Operacje związane z domeną zabezpieczeń, takie jak inicjowanie i pobieranie, inicjowanie odzyskiwania, przekazywanie
• Operacje pełnej kopii zapasowej, przywracania i selektywnego przywracania modułu HSM
• Operacje zarządzania rolami, takie jak tworzenie/wyświetlanie/usuwanie przypisań ról i tworzenie/wyświetlanie/usuwanie niestandardowych definicji ról
• Operacje na kluczach, w tym:
  • Tworzenie, modyfikowanie lub usuwanie kluczy.
  • Podpisywanie, weryfikowanie, szyfrowanie, odszyfrowywanie, zawijanie i odpisanie kluczy, wyświetlanie listy kluczy.
  • Kopia zapasowa klucza, przywracanie, przeczyszczanie
  • Wydanie klucza
• Nieprawidłowe ścieżki, które powodują odpowiedź 404.

Uzyskiwanie dostępu do dzienników

Konto magazynu

Dzienniki zarządzanego modułu HSM są przechowywane w kontenerze insights-logs-auditevent na podanym koncie magazynu. Aby wyświetlić dzienniki, musisz pobrać obiekty blob. Aby uzyskać informacje na temat usługi Azure Storage, zobacz Tworzenie, pobieranie i wyświetlanie listy obiektów blob za pomocą interfejsu wiersza polecenia platformy Azure.

Poszczególne obiekty blob są przechowywane jako tekst, sformatowane jako dane JSON. Przyjrzyjmy się przykładowej pozycji dziennika. W tym przykładzie pokazano wpis dziennika, gdy żądanie utworzenia pełnej kopii zapasowej jest wysyłane do zarządzanego modułu HSM.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Obszar roboczy usługi Log Analytics

Zarządzane dzienniki modułu HSM są przechowywane w udostępnionym obszarze roboczym usługi Log Analytics. Do wykonywania zapytań dotyczących dzienników można użyć witryny Azure Portal. Aby uzyskać więcej informacji, zobacz Samouczek usługi Log Analytics.

Korzystanie z dzienników usługi Azure Monitor

Aby przejrzeć dzienniki zarządzanego modułu HSM AuditEvent, możesz użyć rozwiązania Key Vault w dziennikach usługi Azure Monitor. W dziennikach usługi Azure Monitor zapytania dzienników są używane do analizowania danych i uzyskiwania potrzebnych informacji. Aby uzyskać więcej informacji, w tym sposób jej konfigurowania, zobacz Monitorowanie zarządzanego modułu HSM platformy Azure.

Aby dowiedzieć się, jak analizować dzienniki, zobacz Przykładowe zapytania dziennika Kusto.

Jeśli wysyłasz dzienniki do obszaru roboczego usługi Log Analytics, możesz użyć usługi Microsoft Sentinel do automatycznego wykrywania podejrzanych działań. Zobacz Artykuł Microsoft Sentinel for Azure Managed HSM (Usługa Microsoft Sentinel dla zarządzanego modułu HSM platformy Azure).

Następne kroki

• Dowiedz się więcej o najlepszych rozwiązaniach dotyczących aprowizowania zarządzanego modułu HSM i korzystania z niego
• Dowiedz się, jak tworzyć kopie zapasowe i przywracać zarządzany moduł HSM