Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests

Dlaczego to jest ważne

Brak rejestrowania żądań odczytu, zapisu i usuwania w usłudze Blob powoduje utratę wglądu w to, kto uzyskuje dostęp do Twoich danych i jakie operacje wykonuje. Ta luka w monitorowaniu utrudnia wykrywanie nieautoryzowanych prób dostępu, rozwiązywanie problemów z wydajnością oraz badanie incydentów bezpieczeństwa związanych z kontami magazynu. Ponieważ koszty magazynowania mogą wzrosnąć wraz z rejestrowaniem, przed włączeniem tego ustawienia oceń swoje wymagania dotyczące monitorowania, aby uniknąć nieoczekiwanych wydatków.

Co sprawdza Aether365

Aether365 weryfikuje, czy rejestrowanie dla usługi Blob jest skonfigurowane do przechwytywania żądań odczytu, zapisu i usuwania. To sprawdzenie pojawia się w panelu Aether365 w sekcji azure-storage-accounts checks.

Jak naprawić

1. Zaloguj się do Azure Portal i przejdź do Storage Accounts.
2. Wybierz każde konto magazynu, a następnie w sekcji Monitoring przejdź do Diagnostics settings.
3. Kliknij zakładkę blob wciętą poniżej nazwy konta magazynu.
4. Aby utworzyć nowe ustawienie diagnostyczne, kliknij Add diagnostic setting. Aby zmodyfikować istniejące, kliknij Edit setting.
5. Zaznacz pola wyboru dla StorageRead, StorageWrite i StorageDelete.
6. Wybierz odpowiedni cel dla dzienników (na przykład Log Analytics workspace lub konto magazynu).
7. Kliknij Save, aby zastosować zmiany.

Zgodność

• CIS Microsoft Azure Foundations 3.0.0 4.13 (Level 2)
• EIDSCA 2.0 recommendation for storage logging

Powiązane zasoby

• About Storage Analytics Logging
• Azure CLI storage logging commands
• Microsoft Cloud Security Benchmark: LT-3

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection