Registo HSM gerido

Depois de criar um ou mais HSMs gerenciados, você provavelmente desejará monitorar como e quando seus HSMs são acessados e por quem. Você pode fazer isso habilitando o log, que salva informações em uma conta de armazenamento do Azure que você fornece. Um novo contêiner chamado insights-logs-auditevent é criado automaticamente para sua conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs para vários HSMs gerenciados. Você também pode optar por enviar seus logs para um espaço de trabalho de análise de log, que pode ser usado para habilitar o Microsoft Sentinel a detetar atividades suspeitas automaticamente.

Você pode acessar suas informações de log 10 minutos (no máximo) após a operação do HSM gerenciado. Na maioria dos casos, é mais cedo. Cabe-lhe gerir os seus registos na sua conta de armazenamento:

• Utilize métodos padrão de controlo de acesso do Azure para proteger os seus registos, restringindo o seu acesso.
• Elimine os registos que já não pretende manter na sua conta de armazenamento.

Use este tutorial para ajudá-lo a começar a usar o registro em log do HSM gerenciado. Você deve ter uma conta de armazenamento ou um espaço de trabalho de análise de log já criado antes de habilitar o registro em log e interpretar as informações de log coletadas.

Pré-requisitos

Para concluir as etapas neste artigo, você deve ter os seguintes itens:

• Uma subscrição do Microsoft Azure. Se não tiver uma, pode inscrever-se numa avaliação gratuita.
• A CLI do Azure versão 2.25.0 ou posterior. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure.
• Um HSM gerenciado em sua assinatura. Consulte Guia de início rápido: provisionar e ativar um HSM gerenciado usando a CLI do Azure para provisionar e ativar um HSM gerenciado.
• Uma conta de armazenamento do Azure e/ou um espaço de trabalho do Log Analytics. Se você não tiver um ou ambos, poderá criá-los usando o portal do Azure:
  • Criar uma conta de armazenamento.
  • Crie espaços de trabalho do Log Analytics.

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

4. Selecione Enter para executar o código ou comando.

Ligar à sua subscrição do Azure

CLI do Azure

Entre na sua assinatura do Azure usando o comando azur CLI az login :

az login

Para obter mais informações sobre as opções de início de sessão através da CLI, consulte iniciar sessão com a CLI do Azure

Azure PowerShell

Entre na sua assinatura do Azure usando o comando Connect-AzAccount :

Connect-AzAccount

Para obter mais informações sobre opções de logon por meio do PowerShell, consulte Entrar com o Azure PowerShell.

Portal

Entre no portal do Azure em portal.azure.com.

Identificar o HSM gerenciado, a conta de armazenamento e o espaço de trabalho de análise de log

A primeira etapa na configuração do log de chaves é encontrar o HSM gerenciado que você deseja registrar.

CLI do Azure

Use o comando Azure CLI az keyvault show para localizar o HSM gerenciado que você deseja registrar.

Você também pode usar o comando Azure CLI az storage account show para localizar a conta de armazenamento que deseja usar para registro em log e/ou o comando Azure CLI az monitor log-analytics workspace show para localizar o espaço de trabalho de análise de log que você deseja usar para log.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Azure PowerShell

Use o cmdlet do Azure PowerShell Get-AzKeyVault para localizar o HSM gerenciado que você deseja registrar.

Você também pode usar o cmdlet do Azure PowerShell Get-AzStorageAccount para localizar a conta de armazenamento que deseja usar para registro em log e/ou o cmdlet do Azure PowerShell Get-AzOperationalInsightsWorkspace para localizar o espaço de trabalho de análise de log que deseja usar para log.

$hsmresource = (Get-AzKeyVault -ResourceGroupName "ContosoResourceGroup" -VaultName "ContosoMHSM").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "ContosoResourceGroup" -Name "ContosoMHSMLogs").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "ContosoResourceGroup" -Name "ContosoLogs").ResourceId

Portal

Encontre seu HSM gerenciado na página inicial do portal do Azure clicando em "Ver tudo" em "Recursos" e selecionando seu HSM gerenciado pelo nome. Você pode encontrar sua conta de armazenamento e o espaço de trabalho de análise de log da mesma maneira.

Ativar registo

CLI do Azure

Para habilitar o log para o HSM gerenciado, use o comando azur CLI az monitor diagnostic-settings create , juntamente com as variáveis dos comandos anteriores. Também definiremos o -Enabled sinalizador como "true" e definiremos o category como "AuditEvent" (a única categoria para registro em log do HSM gerenciado).

Para enviar os logs para uma conta de armazenamento:

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Para enviar os logs para um espaço de trabalho do Log Analytics:

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Azure PowerShell

Para habilitar o log para HSM gerenciado, use o cmdlet Set-AzDiagnosticSetting do Azure PowerShell, juntamente com as variáveis dos comandos anteriores. Também definiremos o -Enabled sinalizador como $true " category AuditEvent" (a única categoria para registro em log do HSM gerenciado).

Para enviar os logs para uma conta de armazenamento:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

Para enviar os logs para um espaço de trabalho do Log Analytics:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Portal

1. Selecione seu recurso HSM no portal do Azure e, em seguida, selecione Configurações de diagnóstico em Monitoramento.

1. Selecione Adicionar definição de diagnóstico.

1. Insira um Nome para a configuração de diagnóstico.

1. Selecione o grupo de categorias de logs e/ou métricas que deseja enviar e os detalhes de destino dos logs. Neste exemplo, selecionaremos auditoria e allLogs, bem como AllMetrics e enviaremos para um espaço de trabalho do Log Analytics. Insira os detalhes do destino e selecione Salvar.

O que está registado

Os seguintes tipos de operações e eventos são registrados para o HSM gerenciado:

• Todas as solicitações de API REST autenticadas, incluindo solicitações com falha como resultado de permissões de acesso, erros do sistema, bloqueios de firewall ou solicitações incorretas.
• Operações de plano gerenciado no próprio recurso HSM gerenciado, incluindo criação, exclusão e atualização de atributos, como tags.
• Operações relacionadas ao domínio de segurança, como inicializar & download, inicializar recuperação, carregar
• Operações completas de backup, restauração e restauração seletiva do HSM
• Operações de gerenciamento de funções, como criar/exibir/excluir atribuições de função e criar/exibir/excluir definições de função personalizadas
• Operações em chaves, incluindo:
  • Criar, modificar ou excluir as chaves.
  • Assinar, verificar, encriptar, desencriptar, encapsular e desembrulhar chaves, listar chaves.
  • Backup de chaves, restauração, limpeza
  • Comunicado principal
• Caminhos inválidos que resultam em uma resposta 404.

Aceder aos registos

Conta de armazenamento

Os logs gerenciados do HSM são armazenados no contêiner insights-logs-auditevent na conta de armazenamento fornecida. Para visualizar os logs, você precisa baixar blobs. Para obter informações sobre o Armazenamento do Azure, consulte Criar, baixar e listar blobs com a CLI do Azure.

Blobs individuais são armazenados como texto, formatados como um JSON. Vejamos um exemplo de entrada de log. Este exemplo mostra a entrada de log quando uma solicitação para criar um backup completo é enviada para o HSM gerenciado.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Área de trabalho do Log Analytics

Os logs gerenciados do HSM são armazenados no espaço de trabalho do Log Analytics fornecido. Você pode usar o portal do Azure para consultar os logs. Para obter mais informações, consulte o tutorial do Log Analytics.

Utilizar os registos do Azure Monitor

Você pode usar a solução Key Vault nos logs do Azure Monitor para revisar os logs do Managed HSM AuditEvent. Nos registos do Azure Monitor, deve utilizar consultas de registo para analisar os dados e obter as informações de que necessita. Para obter mais informações, incluindo como configurá-lo, consulte Monitorar o HSM gerenciado do Azure.

Para saber como analisar logs, consulte Consultas de log Kusto de exemplo.

Se você estiver enviando seus logs para um espaço de trabalho de análise de log, poderá usar o Microsoft Sentinel para detetar automaticamente atividades suspeitas. Consulte Microsoft Sentinel para Azure Managed HSM.

Próximos passos

• Saiba mais sobre as práticas recomendadas para provisionar e usar um HSM gerenciado
• Saiba mais sobre como fazer backup e restaurar um HSM gerenciado