Ensure Storage Logging is Enabled for Queue Service for 'Read', 'Write', and 'Delete' requests

Proč na tom záleží

Zprávy ve frontách úložiště může číst jakýkoli klient s oprávněními k účtu úložiště, což z nich činí potenciální vektor pro neoprávněný přístup k datům nebo jejich manipulaci. Bez povoleného protokolování pro čtení, zápis a mazání ztrácíte zásadní přehled o podrobnostech požadavků, jako je načasování, ověřování a souběžnost. Tento slepý bod omezuje vaši schopnost detekovat a vyšetřovat bezpečnostní incidenty ovlivňující data front.

Co Aether365 kontroluje

Aether365 ověřuje, zda je povoleno protokolování úložiště pro službu Queue a zda zachycuje požadavky na čtení, zápis a mazání. Tato kontrola se zobrazí na vašem dashboardu Aether365 v sekci azure-storage-accounts.

Jak to opravit

Pro povolení protokolování úložiště pro službu Queue na Azure Portal:

1. Přejděte na Storage Accounts a vyberte účet úložiště, který chcete nakonfigurovat.
2. V části Monitoring klikněte na Diagnostics settings.
3. Vyberte kartu Queue odsazenou pod názvem účtu úložiště.
4. Pro přidání nového diagnostického nastavení klikněte na + Add diagnostic setting. Pro úpravu stávajícího nastavení klikněte na Edit setting.
5. Zaškrtněte políčka pro StorageRead, StorageWrite a StorageDelete.
6. Zvolte vhodný cíl, například Log Analytics workspace nebo účet úložiště.
7. Klikněte na Save pro použití konfigurace.

Compliance

• CIS Microsoft Azure Foundations 3.0.0: Část 4.12 (úroveň 2)

Související zdroje

• O protokolování Storage Analytics
• Správa protokolování Azure Storage pomocí Azure CLI
• Azure security benchmark: Povolení síťového protokolování pro bezpečnostní vyšetřování
• Monitorování Azure Queue Storage

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection
• Monitor queue storage