Ensure Diagnostic Setting captures appropriate categories
Pourquoi cela est important
Un paramètre de diagnostic détermine quels journaux d'activité Azure sont exportés pour la surveillance et l'analyse. Si le paramètre n'inclut pas toutes les catégories critiques, des incidents de sécurité peuvent passer inaperçus et la conformité aux exigences de journalisation peut être compromise. Des catégories de diagnostic correctement configurées permettent des alertes et des enquêtes en temps opportun sur les activités du plan de contrôle.
Ce que vérifie Aether365
Cette vérification confirme qu'un paramètre de diagnostic existant sur l'abonnement inclut les catégories suivantes : Administrative, Alert, Policy et Security. Elle apparaît dans le tableau de bord Aether365 sous les contrôles azure-diagnostic-settings et échouera si l'une de ces catégories est manquante.
Comment corriger
- Ouvrez le Azure Portal et accédez à Monitor.
- Cliquez sur Activity log, puis sur Export Activity Logs.
- Sélectionnez l'abonnement cible dans le menu déroulant.
- Cliquez sur Edit setting à côté du paramètre de diagnostic que vous souhaitez modifier.
- Sélectionnez toutes les catégories suivantes : Administrative, Alert, Policy et Security.
- Configurez les détails de destination (Log Analytics workspace, compte de stockage ou event hub) selon les exigences de votre organisation.
- Cliquez sur Save pour appliquer les modifications.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 Section 6.1.2 (Level 1)
- Microsoft Cloud Security Benchmark LT-3 : Activer la journalisation pour les investigations de sécurité
Ressources associées
- Azure Diagnostic Settings Overview
- Resource Manager Templates for Diagnostic Settings
- Microsoft Security Benchmark LT-3
- Azure CLI Diagnostic Settings
- PowerShell: New-AzSubscriptionDiagnosticSetting