Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests
Enjeu
Sans la journalisation du Stockage activée pour les demandes de lecture, d'écriture et de suppression sur votre service Blob, vous perdez la visibilité sur les personnes accédant à vos données et les opérations qu'elles effectuent. Cette zone d'ombre rend difficile la détection des tentatives d'accès non autorisées, le diagnostic des problèmes de performances ou l'investigation des incidents de sécurité impliquant vos comptes de stockage. Les coûts de stockage pouvant augmenter avec la journalisation, évaluez vos besoins en matière de surveillance avant d'activer ce paramètre pour éviter des dépenses inattendues.
Ce que vérifie Aether365
Aether365 vérifie que la journalisation du Stockage pour le service Blob est configurée pour capturer les demandes de lecture, d'écriture et de suppression. Cette vérification apparaît dans le tableau de bord Aether365 sous la section des vérifications azure-storage-accounts.
Comment résoudre le problème
- Connectez-vous au Azure Portal et accédez à Storage Accounts.
- Sélectionnez chaque compte de stockage, puis sous Monitoring accédez à Diagnostics settings.
- Cliquez sur l'onglet blob en retrait sous le nom du compte de stockage.
- Pour créer un nouveau paramètre de diagnostic, cliquez sur Add diagnostic setting. Pour modifier un paramètre existant, cliquez sur Edit setting.
- Cochez les cases pour StorageRead, StorageWrite et StorageDelete.
- Choisissez une destination appropriée pour les journaux (par exemple, un espace de travail Log Analytics ou un compte de stockage).
- Cliquez sur Save pour appliquer les modifications.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 4.13 (Niveau 2)
- Recommandation EIDSCA 2.0 pour la journalisation du stockage
Ressources associées
- À propos de la journalisation de l'analyse du stockage
- Commandes Azure CLI pour la journalisation du stockage
- Référence de sécurité Microsoft Cloud : LT-3