Ensure that logging for Azure Key Vault is 'Enabled'
Защо това е важно
Azure Key Vault съхранява изключително чувствителни данни, включително тайни, ключове и сертификати. Без включен одитен журнал губите видимостта кой и кога има достъп до тези ресурси, което прави невъзможно откриването на неоторизиран достъп или разследването на инциденти със сигурността. Включването на диагностично регистриране създава неизменна одитна пътека, която е от съществено значение за съответствие, съдебна медицина и откриване на заплахи.
Какво проверява Aether365
Aether365 проверява дали настройките за диагностика са включени за всеки екземпляр на Azure Key Vault във вашия абонамент. Тази проверка се показва в таблото на Aether365 под категорията azure-diagnostic-settings и потвърждава, че се събират журнали за събития AuditEvent.
Как да отстраните проблема
За да включите диагностично регистриране за Azure Key Vault от Azure Portal:
- Отидете на Key Vaults и изберете хранилището на ключове, което искате да конфигурирате.
- В секцията Monitoring щракнете върху Diagnostic settings.
- Щракнете върху Add diagnostic setting, за да създадете нова настройка, или Edit setting, за да промените съществуваща конфигурация.
- Въведете име за новата диагностична настройка.
- Изберете предпочитана дестинация: Azure Storage account, Log Analytics workspace или Event Hub.
- Под Category groups изберете audit и allLogs.
- Щракнете върху Save, за да приложите промените.
Повторете тези стъпки за всяко хранилище на ключове във вашия абонамент.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 - 6.1.4 (Level 1)
- EIDSCA (Enterprise Identity and Security Control Assessment) - свързано с контроли за регистриране и наблюдение
- CISA (Center for Internet Security Azure Foundations Benchmark) - изискване за одитен журнал
Свързани ресурси
- Azure Key Vault logging documentation
- Microsoft Cloud Security Benchmark: Data Protection DP-8
- Microsoft Cloud Security Benchmark: Logging and Threat Detection LT-3