Registrazione del modulo di protezione hardware gestito

Dopo aver creato uno o più moduli di protezione hardware gestiti, è probabile che si voglia monitorare come e quando si accede ai moduli di protezione hardware e a chi. È possibile monitorare questo accesso abilitando la registrazione, che salva le informazioni in un account di archiviazione Azure fornito. Per tale account di archiviazione viene creato automaticamente un contenitore denominato insights-log-auditevent, che può essere usato per raccogliere i log relativi a più moduli di protezione hardware gestiti. È anche possibile scegliere di inviare i log a un'area di lavoro Log Analytics, che è possibile usare per abilitare Microsoft Sentinel per rilevare automaticamente attività sospette.

È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione del modulo di protezione hardware gestito, Nella maggior parte dei casi, avviene prima. È possibile gestire i log nell'account di archiviazione:

Usare i metodi di controllo di accesso standard Azure per proteggere i log limitando gli utenti autorizzati ad accedervi.
Eliminare i log che non è più necessario mantenere nell'account di archiviazione.

Questa esercitazione offre un'introduzione alla registrazione del modulo di protezione hardware gestito. È necessario avere già un account di archiviazione o un'area di lavoro Log Analytics prima di abilitare la registrazione e interpretare le informazioni di log raccolte.

Prerequisiti

È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.

Altri elementi necessari:

La interfaccia della riga di comando di Azure versione 2.25.0 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere Installare il interfaccia della riga di comando di Azure.
Un HSM gestito nella sottoscrizione. Vedere Quickstart: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando interfaccia della riga di comando di Azure per effettuare il provisioning e attivare un modulo di protezione hardware gestito.
Un account di archiviazione Azure e/o un'area di lavoro Log Analytics. Se non si dispone di uno o entrambi, è possibile crearli usando il portale di Azure:
- Creare un account di archiviazione.
- Creare aree di lavoro Log Analytics.

Azure Cloud Shell

Azure host Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi Cloud Shell preinstallati per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Se si seleziona Try It non viene copiato automaticamente il codice o il comando in Cloud Shell.
Passare a https://shell.azure.com oppure selezionare il pulsante Launch Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale Azure.

Per usare Azure Cloud Shell:

Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Premere Invio per eseguire il codice o il comando.

Connettersi alla sottoscrizione Azure

Accedere alla sottoscrizione Azure usando il comando interfaccia della riga di comando di Azure az login:

az login

Per altre informazioni sulle opzioni di autenticazione tramite l'interfaccia della riga di comando, vedere sign in with interfaccia della riga di comando di Azure.

Accedere alla sottoscrizione Azure usando il comando Connect-AzAccount:

Connect-AzAccount

Per altre informazioni sulle opzioni di autenticazione tramite PowerShell, vedere sign in with Azure PowerShell.

Identificare l'HSM gestito, l'account di archiviazione e l'area di lavoro Log Analytics

Il primo passaggio per la configurazione della registrazione delle chiavi consiste nel trovare l'HSM gestito che si vuole registrare.

Usare il comando interfaccia della riga di comando di Azure az keyvault show per trovare il Managed HSM che si desidera registrare.

È anche possibile usare il comando interfaccia della riga di comando di Azure az storage account show per trovare l'account di archiviazione da usare per la registrazione. Per trovare l'area di lavoro Log Analytics da usare per la registrazione, usare il comando interfaccia della riga di comando di Azure az monitor log-analytics workspace show.

hsmresource=$(az keyvault show --hsm-name <hsm-name> --query id -o tsv)
storageresource=$(az storage account show --name <storage-account-name> --query id -o tsv)
loganalyticsresource=$(az monitor log-analytics workspace show --resource-group <resource-group> --workspace-name <workspace-name> --query id -o tsv)

Usare il cmdlet Azure PowerShell Get-AzKeyVault per trovare l'HSM gestito che si vuole monitorare.

È anche possibile usare il cmdlet Azure PowerShell Get-AzStorageAccount per trovare l'account di archiviazione da usare per la registrazione. Per trovare l'area di lavoro Log Analytics da usare per la registrazione, usare il cmdlet Azure PowerShell Get-AzOperationalInsightsWorkspace.

$hsmresource = (Get-AzKeyVaultManagedHSM -ResourceGroupName "<resource-group>" -Name "<hsm-name>").ResourceId
$storageresource = (Get-AzStorageAccount -ResourceGroupName "<resource-group>" -Name "<storage-account-name>").Id
$loganalyticsresource = (Get-AzOperationalInsightsWorkspace -ResourceGroupName "<resource-group>" -Name "<workspace-name>").ResourceId

Abilitazione della registrazione

Affinché registrare i log per Managed HSM, utilizzare il comando interfaccia della riga di comando di Azure az monitor diagnostic-settings create insieme alle variabili dai comandi precedenti. Impostare il -Enabled flag su true e impostare il category su AuditEvent (l'unica categoria per il logging gestito di HSM).

Per inviare i log a un account di archiviazione:

az monitor diagnostic-settings create --name <hsm-name>-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Per inviare i log a un'area di lavoro Log Analytics:

az monitor diagnostic-settings create --name "<hsm-name>-Diagnostics" --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --workspace $loganalyticsresource

Per abilitare la registrazione per il Managed HSM, usare il cmdlet di Azure PowerShell Set-AzDiagnosticSetting insieme alle variabili dei comandi precedenti. Impostare il -Enabled flag su $true e impostare il category su AuditEvent (l'unica categoria per il logging gestito di HSM).

Per inviare i log a un account di archiviazione:

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -StorageAccountId $storageresource

Per inviare i log a un'area di lavoro Log Analytics:

Set-AzDiagnosticSetting -Name "<hsm-name>-Diagnostics" -ResourceId $hsmresource -Category "AuditEvent" -Enabled $true -WorkspaceId $loganalyticsresource

Selezionare la risorsa HSM nel portale di Azure e quindi selezionare Impostazioni di diagnostica in Monitoraggio.

Selezionare Aggiungi impostazione di diagnostica.

Immettere un nome per le impostazioni di diagnostica.

Selezionare il gruppo di categorie di log e metriche da inviare e i dettagli di destinazione dei log. In questo esempio selezionare audit e allLogs nonché AllMetrics e inviare a un'area di lavoro di Log Analytics. Immettere i dettagli per la destinazione e selezionare Salva.

Elementi che vengono registrati

Il modulo di protezione hardware gestito registra i tipi di operazioni ed eventi seguenti:

Tutte le richieste api REST autenticate, incluse le richieste non riuscite a causa di autorizzazioni di accesso, errori di sistema, blocchi del firewall o richieste non valide.
Le operazioni del piano gestito nella risorsa HSM gestito stessa, inclusi gli attributi di creazione, eliminazione e aggiornamento come i tag.
Operazioni correlate al dominio di sicurezza, ad esempio inizializzare e scaricare, inizializzare il ripristino e caricare.
Operazioni di ripristino selettivo, ripristino e backup completo dell'HSM.
Operazioni di gestione dei ruoli, ad esempio creare, visualizzare ed eliminare assegnazioni di ruolo, nonché creare, visualizzare ed eliminare definizioni di ruolo personalizzate.
Operazioni sulle chiavi, tra cui:
- Creazione, modifica o eliminazione di chiavi.
- Firma, verifica, crittografia, decrittografia, wrapping e annullamento del wrapping delle chiavi ed elenco delle chiavi.
- Backup, ripristino ed eliminazione delle chiavi.
- Rilascio della chiave.
Percorsi non validi che generano una risposta 404.

Accedere ai log

Account di archiviazione

Il contenitore insights-logs-auditevent nell'account di archiviazione che fornisci archivia i log dell'HSM gestito. Per visualizzare i log, è necessario scaricare i BLOB. Per informazioni su Archiviazione di Azure, vedere Creare, scaricare ed elencare BLOB con interfaccia della riga di comando di Azure.

I singoli BLOB vengono archiviati come testo, formattati come JSON. Ecco una voce di log di esempio. Questo esempio mostra la voce del log quando all'HSM gestito viene inviata una richiesta di creazione di un backup completo.

[
  {
    "TenantId": "<tenant-id>",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/<subscription-id>/RESOURCEGROUPS/<resource-group>/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/<hsm-name>",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"<application-id>\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"<object-id>\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"<user-email>\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://<hsm-name>.managedhsm.azure.net/backup",
    "resourceGroup": "<resource-group>",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "<hsm-name>",
    "resourceType": "managedHSMs"
  }
]

area di lavoro di Log Analytics

L'area di lavoro di Log Analytics fornita archivia i log dell'HSM gestito. È possibile usare il portale di Azure per eseguire query sui log. Per altre informazioni, vedere Log Analytics tutorial.

Usare i log di Monitoraggio di Azure

Usare la soluzione Key Vault nei log di Monitoraggio di Azure per esaminare i log di AuditEvent dell'HSM gestito. Nei log Monitoraggio di Azure usare le query di log per analizzare i dati e ottenere le informazioni necessarie. Per ulteriori informazioni, inclusi i passaggi per la configurazione, vedere Monitor Azure Managed HSM.

Per informazioni su come analizzare i log, vedere Query di log Kusto di esempio.

Se si inviano i log a un'area di lavoro Log Analytics, è possibile usare Microsoft Sentinel per rilevare automaticamente attività sospette. Vedere Microsoft Sentinel per HSM gestito di Azure.

Passaggi successivi

Vedere Proteggere la distribuzione di HSM gestito di Azure per effettuare il provisioning e usare un HSM gestito.
Informazioni su come eseguire il backup e il ripristino di un modulo di protezione hardware gestito.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-08