Pengelogan HSM terkelola
Setelah membuat satu atau beberapa HSM Terkelola, Anda mungkin ingin memantau bagaimana dan kapan HSM Anda diakses, dan oleh siapa. Anda dapat melakukan ini dengan mengaktifkan pengelogan untuk Azure Key Vault, yang menyimpan informasi di akun Azure storage yang Anda sediakan. Kontainer baru yang bernama insights-logs-auditevent secara otomatis dibuat untuk akun penyimpanan yang Anda tentukan. Anda dapat menggunakan akun penyimpanan yang sama ini untuk mengumpulkan log untuk beberapa HSM Terkelola. Anda juga dapat memilih untuk mengirim log Anda ke ruang kerja analitik log, yang kemudian dapat digunakan untuk memungkinkan Microsoft Azure Sentinel mendeteksi aktivitas yang mencurigakan secara otomatis.
Anda dapat mengakses informasi pengelogan Anda 10 menit (paling lama) setelah operasi HSM Terkelola. Dalam kebanyakan kasus, itu lebih cepat. Terserah Anda untuk mengelola log di akun penyimpanan Anda:
- Gunakan metode kontrol akses Azure standar untuk mengamankan log dengan membatasi siapa yang bisa mengaksesnya.
- Hapus log yang tidak ingin Anda simpan lagi di akun penyimpanan.
Gunakan tutorial ini untuk membantu Anda memulai pembuatan log HSM terkelola. Anda harus memiliki akun penyimpanan atau ruang kerja analitik log yang sudah dibuat sebelum mengaktifkan pengelogan dan menginterpretasikan informasi log yang dikumpulkan.
Prasyarat
Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda harus memiliki item berikut:
- Berlangganan Microsoft Azure. Jika tidak memilikinya, Anda dapat mendaftar untuk uji coba gratis.
- Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan
az --versionuntuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, Pasang Azure CLI. - HSM terkelola dalam langganan Anda. Lihat Mulai Cepat: Sediakan dan aktifkan HSM terkelola menggunakan Azure CLI untuk menyediakan dan mengaktifkan HSM terkelola.
- Akun penyimpanan Azure dan/atau ruang kerja Analitik Log. Jika Anda tidak memiliki satu atau keduanya, Anda dapat membuatnya menggunakan portal Azure:
- Membuat akun penyimpanan.
- Membuat ruang kerja Analitik Log.
Azure Cloud Shell
Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.
Untuk memulai Azure Cloud Shell:
| Opsi | Contoh/Tautan |
|---|---|
| Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell. |
|
| Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. |
|
| Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. |
|
Untuk menggunakan Azure Cloud Shell:
Mulai Cloud Shell.
Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.
Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.
Pilih Masukkan untuk menjalankan kode atau perintah.
Menyambungkan ke langganan Azure Anda
Masuk ke langganan Azure Anda dengan menggunakan perintah az login Azure CLI:
az login
Untuk informasi selengkapnya tentang opsi masuk melalui CLI, lihat masuk dengan Azure CLI
Mengidentifikasi HSM terkelola, akun penyimpanan, dan ruang kerja analitik log
Langkah pertama dalam menyiapkan pengelogan kunci adalah menemukan HSM Terkelola yang ingin Anda catat.
Gunakan perintah az keyvault show Azure CLI untuk menemukan HSM Terkelola yang ingin Anda catat.
Anda juga dapat menggunakan perintah az storage account show Azure CLI untuk menemukan akun penyimpanan yang ingin Anda gunakan untuk pengelogan, dan/atau perintah tampilkan ruang kerja log-analytics monitor az CLI Azure untuk menemukan ruang kerja analitik log yang ingin Anda gunakan untuk pengelogan.
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)
Aktifkan pencatatan log
Untuk mengaktifkan pengelogan untuk HSM Terkelola, gunakan perintah az monitor diagnostic-settings create Azure CLI, bersama dengan variabel dari perintah sebelumnya. Kami juga akan mengatur -Enabled bendera ke "true" dan mengatur category ke "AuditEvent" (satu-satunya kategori untuk pengelogan HSM Terkelola).
Untuk mengirim log ke akun penyimpanan:
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Untuk mengirim log ke ruang kerja Analitik Log:
az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource
Apa yang dicatat
Jenis operasi dan peristiwa berikut dicatat untuk HSM Terkelola:
- Semua permintaan REST API yang diautentikasi, termasuk permintaan yang gagal sebagai akibat dari izin akses, kesalahan sistem, blok firewall, atau permintaan buruk.
- Operasi pesawat terkelola pada sumber daya HSM terkelola itu sendiri, termasuk pembuatan, penghapusan, dan memperbarui atribut seperti tag.
- Operasi terkait Domain Keamanan seperti menginisialisasi & menginisialisasi pemulihan, mengunggah
- Operasi pencadangan, pemulihan, dan pemulihan selektif HSM penuh
- Operasi manajemen peran seperti membuat/melihat/menghapus penetapan peran dan membuat/melihat/menghapus definisi peran kustom
- Operasi pada kunci, termasuk:
- Membuat, mengubah, atau menghapus kunci.
- Menandatangani, memverifikasi, mengenkripsi, mendekripsi, membungkus, dan membongkar kunci, mencantumkan kunci.
- Pencadangan kunci, pemulihan, hapus menyeluruh
- Rilis kunci
- Jalur tidak valid yang menghasilkan respons 404.
Mengakses log Anda
Akun Penyimpanan
Log HSM terkelola disimpan dalam kontainer insights-logs-auditevent di akun penyimpanan yang Anda sediakan. Untuk melihat log, Anda harus mengunduh blob. Untuk informasi tentang Azure Storage, lihat Membuat, mengunduh, dan mencantumkan blob dengan CLI Azure.
Blob individual disimpan sebagai teks, diformat sebagai blob JSON. Mari kita lihat contoh entri log. Contoh ini menunjukkan entri log saat permintaan untuk membuat cadangan penuh dikirim ke HSM terkelola.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Ruang kerja Analitik Log
Log HSM terkelola disimpan di ruang kerja Analitik Log yang Anda sediakan. Anda bisa menggunakan portal Azure untuk mengkueri log. Untuk informasi selengkapnya, lihatTutorial analitik log.
Menggunakan log Azure Monitor
Anda dapat menggunakan solusi Key Vault di log Azure Monitor untuk meninjau log AuditEvent HSM Terkelola. Di log Azure Monitor, Anda menggunakan kueri log untuk menganalisis data dan mendapatkan informasi yang Anda butuhkan. Untuk informasi selengkapnya, termasuk cara menyiapkannya, lihat Memantau Azure Managed HSM.
Untuk mempelajari cara menganalisis log, lihat Contoh kueri log Kusto.
Jika Anda mengirim log ke ruang kerja analitik log, Anda dapat menggunakan Microsoft Azure Sentinel untuk mendeteksi aktivitas yang mencurigakan secara otomatis. Lihat Microsoft Sentinel untuk Azure Managed HSM.
Langkah berikutnya
- Pelajari tentang praktik terbaik untuk menyediakan dan menggunakan HSM terkelola
- Pelajari tentang cara Mencadangkan dan Memulihkan HSM Terkelola