Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests
Защо това е важно
Без активирано регистриране на Storage за заявки за четене, запис и изтриване на услугата Blob, губите видимост кой има достъп до вашите данни и какви операции извършва. Тази сляпа зона затруднява засичането на опити за неоторизиран достъп, отстраняването на проблеми с производителността или разследването на инциденти със сигурността, свързани с вашите акаунти за съхранение. Тъй като разходите за съхранение може да се увеличат поради регистрирането, преценете вашите изисквания за мониторинг, преди да активирате тази настройка, за да избегнете неочаквани разходи.
Какво проверява Aether365
Aether365 проверява дали регистрирането на Storage за услугата Blob е конфигурирано да улавя заявки за четене, запис и изтриване. Тази проверка се появява в таблото за управление на Aether365 под проверките azure-storage-accounts.
Как да коригирате
- Влезте в Azure Portal и отидете на Storage Accounts.
- Изберете всеки акаунт за съхранение, след което под Monitoring отидете на Diagnostics settings.
- Кликнете върху раздела blob, който е с отстъп под името на акаунта за съхранение.
- За да създадете нова диагностична настройка, кликнете върху Add diagnostic setting. За да промените съществуваща, кликнете върху Edit setting.
- Изберете квадратчетата за StorageRead, StorageWrite и StorageDelete.
- Изберете подходящо местоназначение за логовете (например Log Analytics workspace или storage account).
- Кликнете върху Save, за да приложите промените.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 4.13 (Level 2)
- EIDSCA 2.0 препоръка за регистриране на Storage
Свързани ресурси
- Относно регистрирането на Storage Analytics
- Команди за регистриране на Storage чрез Azure CLI
- Microsoft Cloud Security Benchmark: LT-3