Managed HSM-logboekregistratie

Artikel
02/26/2025

Nadat u een of meer beheerde HSM's hebt gemaakt, wilt u waarschijnlijk controleren hoe en wanneer uw HSM's worden geopend en door wie. U kunt dit doen door logboekregistratie in te schakelen, waardoor informatie wordt opgeslagen in een Azure-opslagaccount dat u opgeeft. Er wordt automatisch een nieuwe container genaamd insights-logs-auditevent gemaakt voor uw opgegeven opslagaccount. U kunt ditzelfde opslagaccount gebruiken om logboeken voor meerdere Managed HSM's te verzamelen. U kunt er ook voor kiezen om uw logboeken te verzenden naar een Log Analytics-werkruimte, die vervolgens kan worden gebruikt om Microsoft Sentinel in staat te stellen verdachte activiteiten automatisch te detecteren.

U kunt uw logboekgegevens (maximaal) tien minuten, nadat de Managed HSM-bewerking is uitgevoerd, bekijken. In de meeste gevallen is het eerder. Het is aan u om uw logboeken in uw opslagaccount te beheren:

Gebruik standaardmethoden van Azure voor toegangsbeheer om uw logboeken te beveiligen door het aantal gebruikers te beperken dat toegang heeft tot de logboeken.
Verwijder de logboeken die u niet meer in uw opslagaccount wilt bewaren.

Deze zelfstudie helpt u op weg met de Managed HSM-logboekregistratie. U moet al een opslagaccount of Log Analytics-werkruimte hebben gemaakt voordat u logboekregistratie inschakelt en de verzamelde logboekgegevens interpreteert.

Vereisten

U moet over de volgende items beschikken om de stappen in dit artikel uit te kunnen voeren:

Een abonnement op Microsoft Azure. Als u nog geen abonnement hebt, kunt u zich aanmelden voor een gratis proefabonnement.
De Azure CLI versie 2.25.0 of hoger. Voer az --version uit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.
Een beheerde HSM in uw abonnement. Zie quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI om een beheerde HSM in te richten en te activeren.
Een Azure-opslagaccount en/of een Log Analytics-werkruimte. Als u geen of beide hebt, kunt u deze maken met behulp van Azure Portal:
- Een opslagaccount maken.
- Log Analytics-werkruimten maken.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.

Verbinding maken met uw Azure-abonnement

Meld u aan bij uw Azure-abonnement met behulp van de Azure CLI az login command:

az login

Zie aanmelden met Azure CLI voor meer informatie over aanmeldingsopties via de CLI

Meld u aan bij uw Azure-abonnement met behulp van de opdracht Connect-AzAccount :

Connect-AzAccount

Zie aanmelden met Azure PowerShell voor meer informatie over aanmeldingsopties via PowerShell.

De beheerde HSM-, opslagaccount- en Log Analytics-werkruimte identificeren

De eerste stap bij het instellen van sleutellogboekregistratie is het vinden van de beheerde HSM die u wilt registreren.

Gebruik de opdracht Azure CLI az keyvault show om de beheerde HSM te vinden die u wilt registreren.

U kunt ook de opdracht Azure CLI az storage account show gebruiken om het opslagaccount te vinden dat u wilt gebruiken voor logboekregistratie en/of de azure CLI az monitor log-analytics workspace show command to find the Log Analytics workspace that you want to use for logging.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Gebruik de Azure PowerShell-cmdlet Get-AzKeyVault om de beheerde HSM te vinden die u wilt registreren.

U kunt ook de Azure PowerShell-cmdlet Get-AzStorageAccount gebruiken om het opslagaccount te vinden dat u wilt gebruiken voor logboekregistratie en/of de Azure PowerShell-cmdlet Get-AzOperationalInsightsWorkspace om de Log Analytics-werkruimte te vinden die u wilt gebruiken voor logboekregistratie.

$hsmresource = (Get-AzKeyVault -ResourceGroupName "ContosoResourceGroup" -VaultName "ContosoMHSM").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "ContosoResourceGroup" -Name "ContosoMHSMLogs").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "ContosoResourceGroup" -Name "ContosoLogs").ResourceId

Logboekregistratie inschakelen

Als u logboekregistratie voor beheerde HSM wilt inschakelen, gebruikt u de azure CLI az monitor diagnostic-settings create command, samen met de variabelen uit de vorige opdrachten. We stellen de -Enabled vlag ook in op 'true' en stellen de category markering in op 'AuditEvent' (de enige categorie voor beheerde HSM-logboekregistratie).

De logboeken verzenden naar een opslagaccount:

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

De logboeken verzenden naar een Log Analytics-werkruimte:

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Als u logboekregistratie voor beheerde HSM wilt inschakelen, gebruikt u de Cmdlet Azure PowerShell Set-AzDiagnosticSetting , samen met de variabelen uit de vorige opdrachten. We stellen de -Enabled vlag $true ook in op category AuditEvent (de enige categorie voor beheerde HSM-logboekregistratie).

De logboeken verzenden naar een opslagaccount:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

De logboeken verzenden naar een Log Analytics-werkruimte:

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Wat wordt vastgelegd

De volgende typen bewerkingen en gebeurtenissen worden vastgelegd voor beheerde HSM:

Alle geverifieerde REST API-aanvragen, inclusief mislukte aanvragen als gevolg van toegangsmachtigingen, systeemfouten, firewallblokken of ongeldige aanvragen.
Beheerde vlakbewerkingen op de beheerde HSM-resource zelf, waaronder het maken, verwijderen en bijwerken van kenmerken zoals tags.
Beveiligingsdomein-gerelateerde bewerkingen, zoals initialiseren en downloaden, herstel initialiseren en uploaden
Volledige back-up-, herstel- en selectieve herstelbewerkingen voor HSM
Rolbeheerbewerkingen zoals roltoewijzingen maken/weergeven/verwijderen en aangepaste roldefinities maken/weergeven/verwijderen
Bewerkingen op sleutels, waaronder:
- Het maken, wijzigen of verwijderen van de sleutels.
- Ondertekenen, controleren, versleutelen, ontsleutelen, inpakken en uitpakken van sleutels, sleutels weergeven.
- Sleutelback-up, herstellen, opschonen
- Sleutelrelease
Ongeldige paden die resulteren in een 404-antwoord.

Toegang tot uw logboeken

Opslagaccount

Managed HSM-logboeken worden opgeslagen in de container insights-logs-auditevent in het opslagaccount dat u hebt opgegeven. Als u de logboeken wilt bekijken, moet u blobs downloaden. Zie Maken, downloaden en weergeven van blobs met Azure CLI voor meer informatie over Azure Storage.

Afzonderlijke blobs worden opgeslagen als tekst die is opgemaakt als een JSON. Laten we eens naar een voorbeeld van een logboekvermelding kijken. In dit voorbeeld ziet u de logboekvermelding wanneer een aanvraag voor het maken van een volledige back-up wordt verzonden naar de beheerde HSM.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Log Analytics-werkruimte

Beheerde HSM-logboeken worden opgeslagen in de Log Analytics-werkruimte die u hebt opgegeven. U kunt Azure Portal gebruiken om een query uit te voeren op de logboeken. Zie de zelfstudie over Log Analytics voor meer informatie.

Azure Monitor-logboeken gebruiken

Met de Key Vault-oplossing in Azure Monitor-logboeken kunt u de AuditEvent-logboeken van Managed HSM controleren. In Azure Monitor-logboeken kunt u logboekquery’s gebruiken om gegevens te analyseren en de informatie op te halen die u nodig hebt. Zie Azure Managed HSM bewaken voor meer informatie, waaronder het instellen ervan.

Zie Voorbeeldquery's voor Kusto-logboeken voor meer informatie over het analyseren van logboeken.

Als u uw logboeken naar een Log Analytics-werkruimte verzendt, kunt u Microsoft Sentinel gebruiken om automatisch verdachte activiteiten te detecteren. Zie Microsoft Sentinel voor Azure Managed HSM.

Volgende stappen

Meer informatie over best practices voor het inrichten en gebruiken van een Managed HSM
Meer informatie over Hoe u een back-up kunt maken van een Managed HSM en een Managed HSM kunt herstellen

Delen via