Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests
Perché è Importante
Senza l'abilitazione della registrazione di Storage per le richieste di lettura, scrittura ed eliminazione sul servizio Blob, si perde la visibilità su chi accede ai dati e quali operazioni esegue. Questo punto cieco rende difficile rilevare tentativi di accesso non autorizzato, risolvere problemi di prestazioni o indagare su incidenti di sicurezza che coinvolgono gli account di archiviazione. Poiché i costi di archiviazione possono aumentare con la registrazione, valutare i requisiti di monitoraggio prima di abilitare questa impostazione per evitare spese impreviste.
Cosa Controlla Aether365
Aether365 verifica che la registrazione di Storage per il servizio Blob sia configurata per acquisire le richieste di lettura, scrittura ed eliminazione. Questo controllo compare nel dashboard di Aether365 sotto i controlli azure-storage-accounts.
Come Risolvere
- Accedere al Azure Portal e navigare in Storage Accounts.
- Selezionare ogni account di archiviazione, quindi in Monitoring andare a Diagnostics settings.
- Fare clic sulla scheda blob rientrata sotto il nome dell'account di archiviazione.
- Per creare una nuova impostazione di diagnostica, fare clic su Add diagnostic setting. Per modificarne una esistente, fare clic su Edit setting.
- Selezionare le caselle per StorageRead, StorageWrite e StorageDelete.
- Scegliere una destinazione appropriata per i log (ad esempio, area di lavoro Log Analytics o account di archiviazione).
- Fare clic su Save per applicare le modifiche.
Conformità
- CIS Microsoft Azure Foundations 3.0.0 4.13 (Livello 2)
- Raccomandazione EIDSCA 2.0 per la registrazione di archiviazione
Risorse Correlate
- Informazioni sulla registrazione di Storage Analytics
- Comandi dell'interfaccia della riga di comando di Azure per la registrazione di archiviazione
- Microsoft Cloud Security Benchmark: LT-3