Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests
Kāpēc tas ir svarīgi
Ja jūsu Blob pakalpojumā nav iespējota Storage žurnālu reģistrēšana lasīšanas, rakstīšanas un dzēšanas pieprasījumiem, jūs zaudējat iespēju redzēt, kas piekļūst jūsu datiem un kādas darbības tie veic. Šī aklā zona apgrūtina neatļautu piekļuves mēģinājumu atklāšanu, veiktspējas problēmu novēršanu vai drošības incidentu izmeklēšanu, kas saistīti ar jūsu krātuves kontiem. Tā kā krātuves izmaksas var palielināties, lietojot žurnālu reģistrēšanu, pirms šī iestatījuma iespējošanas izvērtējiet savas uzraudzības prasības, lai izvairītos no neparedzētiem izdevumiem.
Ko pārbauda Aether365
Aether365 pārbauda, vai Storage žurnālu reģistrēšana Blob pakalpojumam ir konfigurēta, lai tvertu lasīšanas, rakstīšanas un dzēšanas pieprasījumus. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā azure-storage-accounts pārbaudes.
Kā labot
- Autorizējieties Azure Portal un dodieties uz Storage Accounts.
- Atlasiet katru krātuves kontu, pēc tam sadaļā Monitoring dodieties uz Diagnostics settings.
- Noklikšķiniet uz cilnes blob, kas ir iedalīta zem krātuves konta nosaukuma.
- Lai izveidotu jaunu diagnostikas iestatījumu, noklikšķiniet uz Add diagnostic setting. Lai modificētu esošu, noklikšķiniet uz Edit setting.
- Atzīmējiet izvēles rūtiņas StorageRead, StorageWrite un StorageDelete.
- Izvēlieties atbilstošu galamērķi žurnāliem (piemēram, Log Analytics darbvieta vai krātuves konts).
- Noklikšķiniet uz Save, lai piemērotu izmaiņas.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 4.13 (Level 2)
- EIDSCA 2.0 ieteikums krātuves žurnālu reģistrēšanai
Saistītie resursi
- About Storage Analytics Logging
- Azure CLI storage logging commands
- Microsoft Cloud Security Benchmark: LT-3