Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests
Por Que Es Importante
Sin el registro de Storage habilitado para solicitudes de lectura, escritura y eliminacion en el servicio Blob, pierde visibilidad sobre quien accede a sus datos y que operaciones realiza. Este punto ciego dificulta la deteccion de intentos de acceso no autorizados, la solucion de problemas de rendimiento o la investigacion de incidentes de seguridad que involucren sus cuentas de almacenamiento. Dado que los costos de almacenamiento pueden aumentar con el registro, evalue sus requisitos de monitoreo antes de habilitar esta configuracion para evitar gastos inesperados.
Que Verifica Aether365
Aether365 verifica que el registro de Storage para el servicio Blob esta configurado para capturar solicitudes de lectura, escritura y eliminacion. Esta verificacion aparece en el panel de Aether365 bajo las comprobaciones de azure-storage-accounts.
Como Solucionarlo
- Inicie sesion en Azure Portal y navegue hasta Storage Accounts.
- Seleccione cada cuenta de almacenamiento; luego, en Monitoring, vaya a Diagnostics settings.
- Haga clic en la pestana blob con sangria debajo del nombre de la cuenta de almacenamiento.
- Para crear una nueva configuracion de diagnostico, haga clic en Add diagnostic setting. Para modificar una existente, haga clic en Edit setting.
- Seleccione las casillas de StorageRead, StorageWrite y StorageDelete.
- Elija un destino adecuado para los registros (como un espacio de trabajo de Log Analytics o una cuenta de almacenamiento).
- Haga clic en Save para aplicar los cambios.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0 4.13 (Nivel 2)
- Recomendacion EIDSCA 2.0 para el registro de almacenamiento
Recursos Relacionados
- Acerca del registro de Storage Analytics
- Comandos de registro de almacenamiento de Azure CLI
- Microsoft Cloud Security Benchmark: LT-3