Registro em log do HSM Gerenciado
Depois que você criar um ou mais HSMs gerenciados, o ideal será monitorar como e quando eles serão acessados e por quem. Isso pode ser feito habilitando o registro em log, que salva as informações em uma conta de armazenamento do Azure fornecida por você. Um novo contêiner chamado insights-logs-auditevent é criado automaticamente para a conta de armazenamento especificada. Você pode usar essa mesma conta de armazenamento para coletar logs de vários HSMs Gerenciados. Você também pode optar por enviar seus logs para um workspace do Log Analytics, que pode ser usado para permitir que o Microsoft Sentinel detecte atividades suspeitas automaticamente.
Você pode acessar suas informações de registro em log 10 minutos (no máximo) após a operação do HSM Gerenciado. Em muitos casos, o quanto antes. Cabe a você gerenciar os logs em sua conta de armazenamento:
- use os métodos de controle de acesso padrão do Azure para proteger os logs, restringindo quem pode acessá-los.
- Exclua os logs que você não deseja manter em sua conta de armazenamento.
Este tutorial vai ajudar você a começar a usar o registro em log do HSM Gerenciado. Você deve ter uma conta de armazenamento ou um workspace do Log Analytics já criado antes de habilitar o registro em log e interpretar as informações de log coletadas.
Pré-requisitos
Para concluir as etapas deste artigo, você precisará ter os seguintes itens:
- Uma assinatura do Microsoft Azure. Se você não tiver uma, pode se inscrever e fazer uma avaliação gratuita.
- A CLI do Azure versão 2.25.0 ou posterior. Execute
az --versionpara encontrar a versão. Se você precisar instalar ou atualizar, confira Instalar a CLI do Azure. - Um HSM Gerenciado na sua assinatura. Confira Início Rápido: Provisione e ative um HSM Gerenciado usando a CLI do Azure para provisionar e ativar um HSM Gerenciado.
- Uma conta de armazenamento do Azure e/ou um workspace do Log Analytics. Se você não tiver um ou ambos, poderá criá-los usando o portal do Azure:
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção | Exemplo/Link |
|---|---|
| Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. |
|
| Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
|
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou o comando.
Conecte-se à sua assinatura do Azure
Na CLI do Azure, para entrar na assinatura do Azure, use o comando az login:
az login
Para saber mais sobre as opções de logon por meio da CLI, veja Entrar com a CLI do Azure
Identificar o HSM gerenciado, a conta de armazenamento e o workspace do Log Analytics
A primeira etapa para configurar o registro em log das chaves é localizar o HSM gerenciado que você deseja registrar em log.
Use o comando az keyvault show da CLI do Azure para localizar o HSM gerenciado que você deseja registrar em log.
Você também pode usar o comando az storage account show da CLI do Azure para localizar a conta de armazenamento que deseja usar para registrar em log e/ou o comando az monitor log-analytics workspace show da CLI do Azure para localizar o workspace do Log Analytics que deseja usar para registrar em log.
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)
Habilitar o registro em log
Para habilitar o registro em log do HSM gerenciado, use o comando az monitor diagnostic-settings create da CLI do Azure, juntamente com as variáveis dos comandos anteriores. Também definiremos o -Enabledsinalizador para "true" e definiremos category para "AuditEvent" (a única categoria para o registro em log do HSM gerenciado).
Para enviar os logs para uma conta de armazenamento:
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Para enviar os logs para um workspace do Log Analytics:
az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource
O que é registrado em log
Os seguintes tipos de operações e eventos são registrados no HSM gerenciado:
- Todas as solicitações à API REST autenticadas, incluindo solicitações que falharam devido a permissões de acesso, erros do sistema bloqueios de firewall ou solicitações inválidas.
- Operações de plano gerenciado no próprio HSM Gerenciado, incluindo criação, exclusão e atualização de atributos, como marcas.
- Operações relacionadas ao Domínio de Segurança, como inicializar e baixar, inicializar recuperação, carregar
- Operações completas de backup, restauração e restauração seletiva do HSM
- Operações de gerenciamento de função, como criar/exibir/excluir atribuições de função e criar/exibir/excluir definições de função personalizadas
- Operações em chaves, incluindo:
- Criar, modificar ou excluir as chaves.
- Assinar, verificar, criptografar, descriptografar, encapsular, desencapsular e listar as chaves.
- Backup, restauração e limpeza de chave
- Lançamento de chave
- Caminhos inválidos que resultam em uma resposta 404.
Acessar seus logs
Conta de armazenamento
Os logs do HSM Gerenciado são armazenados no contêiner insights-logs-auditevent da conta de armazenamento que você forneceu. Para exibir os logs, você precisa baixar blobs. Para obter informações sobre o Armazenamento do Azure, confira Criar, baixar e listar blobs com a CLI do Azure.
Os blobs individuais são armazenados como texto e formatados como um JSON. Vamos examinar um exemplo de entrada de log. O exemplo mostra a entrada de log quando uma solicitação para criar um backup completo é enviada ao HSM gerenciado.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Workspace do Log Analytics
Os logs do HSM gerenciado são armazenados no workspace do Log Analytics que você forneceu. É possível usar o portal do Azure para consultar os logs. Para obter mais informações, confira Tutorial do Log Analytics.
Usar os logs do Azure Monitor
Você pode usar a solução do Key Vault nos logs do Azure Monitor para examinar os logs do AuditEvent do HSM Gerenciado. Nos logs do Azure Monitor, você usa consultas de log para analisar dados e obter as informações necessárias. Para obter mais informações, incluindo como configurar configurá-lo, confira Monitorar HSM gerenciado do Azure.
Para saber como analisar os logs, confira Exemplo de consultas de log Kusto.
Se você estiver enviando seus logs para um workspace do Log Analytics, poderá usar o Microsoft Sentinel para detectar atividades suspeitas automaticamente. Consulte Microsoft Sentinel para HSM gerenciado do Azure.
Próximas etapas
- Aprender sobre as melhores práticas para provisionar e usar um HSM Gerenciado
- Aprender sobre como fazer backup e restaurar um HSM Gerenciado