Dela via

Hanterad HSM-loggning

  • Artikel

När du har skapat en eller flera hanterade HSM:er vill du förmodligen övervaka hur och när dina HSM:er används och av vem. Du kan göra detta genom att aktivera loggning, vilket sparar information i ett Azure-lagringskonto som du anger. En ny container med namnet insights-logs-auditevent skapas automatiskt för ditt angivna lagringskonto. Du kan använda samma lagringskonto för att samla in loggar för flera hanterade HSM:er. Du kan också välja att skicka loggarna till en log analytics-arbetsyta, som sedan kan användas för att göra det möjligt för Microsoft Sentinel att identifiera misstänkt aktivitet automatiskt.

Du kan komma åt loggningsinformationen 10 minuter (högst) efter den hanterade HSM-åtgärden. I de flesta fall är det tidigare. Det är upp till dig att hantera loggarna i ditt lagringskonto:

  • Använd standardåtkomstmetoder i Azure för att skydda loggarna genom att begränsa vem som kan komma åt dem.
  • Ta bort loggar som du inte vill behålla i ditt lagringskonto.

Använd den här självstudien för att komma igång med Hanterad HSM-loggning. Du bör ha ett lagringskonto eller en log analytics-arbetsyta som redan har skapats innan du aktiverar loggning och tolkar den insamlade logginformationen.

Förutsättningar

För att slutföra stegen i den här artikeln måste du ha följande:

Azure Cloud Shell

Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.

Så här startar du Azure Cloud Shell:

Alternativ Exempel/länk
Välj Prova i det övre högra hörnet i en kod eller ett kommandoblock. Om du väljer Prova kopieras inte koden eller kommandot automatiskt till Cloud Shell. Skärmbild som visar ett exempel på Try It for Azure Cloud Shell.
Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren. Knapp för att starta Azure Cloud Shell.
Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen. Skärmbild som visar Cloud Shell-knappen i Azure Portal

Så här använder du Azure Cloud Shell:

  1. Starta Cloud Shell.

  2. Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.

  3. Klistra in koden eller kommandot i Cloud Shell-sessionen genom att välja Ctrl+Skift+V i Windows och Linux, eller genom att välja Cmd+Shift+V på macOS.

  4. Välj Retur för att köra koden eller kommandot.

Ansluta till din Azure-prenumeration

Logga in på din Azure-prenumeration med hjälp av kommandot Azure CLI az login :

az login

Mer information om inloggningsalternativ via CLI finns i logga in med Azure CLI

Identifiera den hanterade HSM-, lagringskonto- och Log Analytics-arbetsytan

Det första steget när du konfigurerar nyckelloggning är att hitta den hanterade HSM som du vill logga.

Använd kommandot Azure CLI az keyvault show för att hitta den hanterade HSM som du vill logga.

Du kan också använda kommandot Azure CLI az storage account show för att hitta det lagringskonto som du vill använda för loggning och/eller kommandot Azure CLI az monitor log-analytics workspace show för att hitta den log analytics-arbetsyta som du vill använda för loggning.

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group ContosoResourceGroup --workspace-name ContosoLogs --query id -o tsv)

Aktivera loggning

Om du vill aktivera loggning för Managed HSM använder du kommandot Azure CLI az monitor diagnostic-settings create tillsammans med variablerna från föregående kommandon. Vi ställer också in -Enabled flaggan på "true" och anger category till "AuditEvent" (den enda kategorin för Hanterad HSM-loggning).

Så här skickar du loggarna till ett lagringskonto:

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Så här skickar du loggarna till en Log Analytics-arbetsyta:

az monitor diagnostic-settings create --name "ContosoMHSM-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Loggat

Följande typer av åtgärder och händelser loggas för Managed HSM:

  • Alla autentiserade REST API-begäranden, inklusive misslyckade begäranden till följd av åtkomstbehörigheter, systemfel, brandväggsblock eller felaktiga begäranden.
  • Hanterade planåtgärder på själva den hanterade HSM-resursen, inklusive skapande, borttagning och uppdatering av attribut som taggar.
  • Säkerhetsdomänrelaterade åtgärder som att initiera och ladda ned, initiera återställning, ladda upp
  • Fullständiga HSM-säkerhetskopierings-, återställnings- och selektiva återställningsåtgärder
  • Rollhanteringsåtgärder som att skapa/visa/ta bort rolltilldelningar och skapa/visa/ta bort anpassade rolldefinitioner
  • Åtgärder på nycklar, inklusive:
    • Skapa, ändra eller ta bort nycklarna.
    • Signera, verifiera, kryptera, dekryptera, omsluta och packa upp nycklar, visa en lista över nycklar.
    • Nyckelsäkerhetskopiering, återställning, rensning
    • Nyckelversion
  • Ogiltiga sökvägar som resulterar i ett 404-svar.

Komma åt loggarna

Lagringskonto

Hanterade HSM-loggar lagras i containern insights-logs-auditevent i lagringskontot som du angav. Om du vill visa loggarna måste du ladda ned blobar. Information om Azure Storage finns i Skapa, ladda ned och lista blobar med Azure CLI.

Enskilda blobar lagras som text, formaterade som en JSON. Nu ska vi titta på en exempelloggpost. Det här exemplet visar loggposten när en begäran om att skapa en fullständig säkerhetskopia skickas till den hanterade HSM:en.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Log Analytics-arbetsyta

Hanterade HSM-loggar lagras på den Log Analytics-arbetsyta som du angav. Du kan använda Azure Portal för att köra frågor mot loggarna. Mer information finns i Log Analytics-självstudien.

Använda Azure Monitor-loggar

Du kan använda Key Vault-lösningen i Azure Monitor-loggar för att granska hanterade HSM AuditEvent-loggar. I Azure Monitor-loggarna använder du loggfrågor till att analysera data och hämta den information du behöver. Mer information, inklusive hur du konfigurerar det, finns i Övervaka Azure Managed HSM.

Mer information om hur du analyserar loggar finns i Exempel på Kusto-loggfrågor.

Om du skickar loggarna till en log analytics-arbetsyta kan du använda Microsoft Sentinel för att automatiskt identifiera misstänkt aktivitet. Se Microsoft Sentinel för Azure Managed HSM.

Nästa steg