Configuración de Microsoft Sentinel para HSM administrado de Azure Key Vault

Puede usar Microsoft Sentinel para detectar automáticamente actividades sospechosas en los recursos de Azure. Microsoft Sentinel incluye muchos conectores predefinidos para los servicios de Microsoft, que se integran en tiempo real. Puede encontrar el "Paquete de solución" específico para proteger Azure Key Vaults en el Centro de contenido de Microsoft Sentinel. También puede usar esto con Managed HSM. Sin embargo, hay que seguir algunos pasos clave para asegurarse de que lo está usando correctamente con Managed HSM.

  1. Siga las instrucciones que se encuentran en Inicio rápido: Incorporación a Microsoft Sentinel | Microsoft Learn para habilitar Microsoft Sentinel.

  2. Vaya al área de trabajo de Microsoft Sentinel y seleccione Centro de contenido en Administración de contenido.

    Recorte de pantalla del centro de contenido en administración de contenido en el área de trabajo de Microsoft Sentinel.

    1. Busque Azure Key Vault en el centro de contenido y selecciónelo.

      Recorte de pantalla de la búsqueda de Azure Key Vault en el centro de contenido.

    2. Seleccione Instalar en la barra lateral que aparece.

      Recorte de pantalla de la opción de instalación en la barra lateral de Azure Key Vault.

    3. Seleccione Análisis en Configuration.

      Recorte de pantalla de análisis en configuración en Microsoft Sentinel.

    4. Seleccione Plantillas de regla, y, a continuación, busque Azure Key Vault o use el filtro para filtrar Orígenes de datos para Azure Key Vault.

      Recorte de pantalla de las plantillas de regla filtradas por el origen de datos de Azure Key Vault.

    5. Utiliza la plantilla de regla que mejor se adapte a tu caso de uso. En este ejemplo, seleccionamos Operaciones confidenciales de Key Vault. En la barra lateral que aparece, seleccione Crear regla.

      Recorte de pantalla de la opción crear regla para las operaciones confidenciales de Key Vault.

    6. En la pestaña Establecer lógica de regla, edite la consulta de reglas. Cambie "VAULTS" a "MANAGEDHSMS". En este ejemplo, también hemos cambiado el SensitiveOperationList para incluir solo operaciones relacionadas con claves.

      Captura de pantalla de la pestaña de lógica de establecimiento de reglas con la consulta de la regla para Managed HSM.

    7. En este ejemplo, programamos la consulta para que se ejecute una vez cada hora.

      Recorte de pantalla de la consulta de programación que se va a ejecutar cada hora.

    8. Revise y guarde la regla. Ahora debería ver la regla que creó en la página deAnálisis.

      Recorte de pantalla de la regla creada en la página de análisis.

    9. Puede probar la regla mediante la creación y eliminación de una clave. La operación KeyDelete es una de las operaciones confidenciales buscadas por la regla analítica denominada "Operaciones HSM administradas confidenciales".

Pasos siguientes

  • Last updated on