Ведение журнала в службе "Управляемое устройство HSM"

Статья
02/26/2025

После создания одного или нескольких управляемых виртуальных машин HSM вы, скорее всего, захотите отслеживать способ и время доступа к устройствам HSM и тем, кто. Это можно сделать с помощью функции ведения журнала, которая сохраняет информацию в указанной учетной записи хранения Azure. Для указанной вами учетной записи автоматически создается контейнер с именем insights-logs-auditevent. Одну и ту же учетную запись можно использовать для сбора журналов нескольких управляемых устройств HSM. Вы также можете отправить журналы в рабочую область Log Analytics, которая затем может использоваться для автоматического обнаружения подозрительных действий в Microsoft Sentinel.

Регистрируемые в журналах сведения становятся доступны не позднее чем через 10 минут после выполнения операции с управляемым устройством HSM. В большинстве случаев это раньше. Способ управления журналами в своей учетной записи хранения вы выбираете сами.

Используйте стандартные методы контроля доступа, предоставляемые Azure, для защиты журналов путем ограничения доступа к ним.
Удаляйте журналы, которые больше не нужно хранить в учетной записи хранения.

Это руководство поможет вам приступить к работе с журналами службы "Управляемое устройство HSM". У вас должна быть учетная запись хранения или рабочая область Log Analytics, прежде чем включить ведение журнала и интерпретировать собранные данные журнала.

Необходимые компоненты

Чтобы выполнить действия, описанные в этой статье, вам потребуется следующее:

Подписка на Microsoft Azure. Если у вас ее нет, зарегистрируйтесь, чтобы воспользоваться бесплатной пробной версией.
Azure CLI 2.25.0 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, обратитесь к статье Установка Azure CLI.
Управляемое устройство HSM в подписке. Выполните действия из статьи Краткое руководство. Подготовка и активация управляемого устройства HSM с помощью Azure CLI.
Учетная запись хранения Azure и(или) рабочая область Log Analytics. Если у вас нет одного или обоих, их можно создать с помощью портал Azure:
- Создание учетной записи хранения.
- Создание рабочих областей Log Analytics.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант	Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.
Нажмите клавишу ВВОД, чтобы запустить код или команду.

Подключение к подписке Azure

Войдите в подписку Azure с помощью команды azure CLI az login :

az login

Дополнительные сведения о параметрах входа с помощью ИНТЕРФЕЙСА командной строки см. в разделе о входе с помощью Azure CLI.

Войдите в подписку Azure с помощью команды Connect-AzAccount :

Connect-AzAccount

Дополнительные сведения о параметрах входа с помощью PowerShell см. в статье о входе с помощью Azure PowerShell.

Определение управляемой рабочей области HSM, учетной записи хранения и рабочей области Log Analytics

Первым шагом в настройке ведения журнала ключей является поиск управляемого HSM, который требуется регистрировать.

Используйте команду Azure CLI az keyvault show , чтобы найти управляемый модуль HSM, который требуется регистрировать.

Вы также можете использовать azure CLI az storage account show command, чтобы найти учетную запись хранения, которую вы хотите использовать для ведения журнала, и (или) Azure CLI az monitor log-analytics workspace show command, чтобы найти рабочую область log analytics, которую вы хотите использовать для ведения журнала.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Используйте командлет Azure PowerShell Get-AzKeyVault , чтобы найти управляемый HSM, который требуется регистрировать.

Вы также можете использовать командлет Azure PowerShell для поиска учетной записи хранения, которую вы хотите использовать для ведения журнала, и (или) командлета Azure PowerShell Get-AzStorageAccountGet-AzOperationalInsightsWorkspace , чтобы найти рабочую область log analytics, которую вы хотите использовать для ведения журнала.

$hsmresource = (Get-AzKeyVault -ResourceGroupName "ContosoResourceGroup" -VaultName "ContosoMHSM").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "ContosoResourceGroup" -Name "ContosoMHSMLogs").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "ContosoResourceGroup" -Name "ContosoLogs").ResourceId

Включение ведения журналов

Чтобы включить ведение журнала для управляемого устройства HSM, используйте команду создания параметров диагностики Azure CLI, а также переменные из предыдущих команд. Мы также установите для флага -Enabled значение true и задайте category для параметра AuditEvent (единственную категорию для ведения журнала управляемого модуля HSM).

Чтобы отправить журналы в учетную запись хранения, выполните следующие действия.

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Чтобы отправить журналы в рабочую область Log Analytics, выполните следующие действия.

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Чтобы включить ведение журнала для управляемого устройства HSM, используйте командлет Azure PowerShell Set-AzDiagnosticSetting вместе с переменными из предыдущих команд. Мы также задали -Enabled флаг $true и задайте category для параметра AuditEvent (единственную категорию для ведения журнала управляемого модуля HSM).

Чтобы отправить журналы в учетную запись хранения, выполните следующие действия.

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

Чтобы отправить журналы в рабочую область Log Analytics, выполните следующие действия.

Set-AzDiagnosticSetting -Name "ContosoMHSM-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Что регистрируется

Для управляемого HSM регистрируются следующие типы операций и событий:

Все запросы REST API, прошедшие проверку подлинности, включая неудачные запросы в результате разрешений доступа, системных ошибок, блоков брандмауэра или плохих запросов.
управляемые операции на плоскости данных с самим управляемым ресурсом HSM, включая создание, удаление и обновление атрибутов, например тегов;
операции, связанные с доменом безопасности, включая инициализацию со скачиванием, инициализацию с восстановлением и загрузку;
Полные операции резервного копирования, восстановления и выборочного восстановления HSM
операции управления ролями, такие как создание, просмотр и удаление назначений ролей, создание, просмотр и удаление определений пользовательских ролей;
Операции с ключами, в том числе:
- создание, изменение или удаление ключей;
- подписывание, проверка, шифрование и расшифровка, упаковка и распаковка, получение списка ключей;
- резервное копирование, восстановление и безвозвратное удаление ключей.
- Выпуск ключа
Недопустимые пути, которые приводят к ответу 404.

Доступ к журналам

Storage account

Журналы службы "Управляемое устройство HSM" сохраняются в контейнере insights-logs-auditevent в указанной вами учетной записи хранения. Чтобы просмотреть эти журналы, скачайте большие двоичные объекты. Сведения о службе хранилища Azure см. в статье Создание, скачивание и составление списка больших двоичных объектов с помощью Azure CLI.

Отдельные BLOB-объекты хранятся как текст в формате JSON. Давайте рассмотрим пример записи журнала. В этом примере показано запись журнала, когда запрос на создание полной резервной копии отправляется управляемому HSM.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Рабочая область Log Analytics

Управляемые журналы HSM хранятся в предоставленной рабочей области Log Analytics. Для запроса журналов можно использовать портал Azure. Дополнительные сведения см. в руководстве по Log Analytics.

Использование журналов Azure Monitor

Решение Key Vault в журналах Azure Monitor позволяет просматривать журналы AuditEvent для службы "Управляемое устройство HSM". В журналах Azure Monitor запросы по журналам используются для анализа данных и получения необходимых сведений. Дополнительные сведения, включая настройку, см. в статье Monitor Azure Managed HSM.

Сведения об анализе журналов см. в разделе "Примеры запросов журналов Kusto".

Если вы отправляете журналы в рабочую область Log Analytics, вы можете использовать Microsoft Sentinel для автоматического обнаружения подозрительных действий. См. раздел Microsoft Sentinel для управляемого устройства HSM Azure.

Следующие шаги

Изучите рекомендации по подготовке и использованию управляемого устройства HSM.
Ознакомьтесь с процессами резервного копирования и восстановления для управляемого устройства HSM.

Поделиться через