Ensure Storage Logging is Enabled for Queue Service for 'Read', 'Write', and 'Delete' requests

Dlaczego to jest ważne

Wiadomości w kolejkach Storage mogą być odczytywane przez dowolnego klienta posiadającego uprawnienia do konta magazynu, co czyni je potencjalnym wektorem nieautoryzowanego dostępu lub manipulacji danymi. Bez włączonego rejestrowania operacji odczytu, zapisu i usuwania tracisz kluczową widoczność szczegółów żądań, takich jak czas, uwierzytelnianie i współbieżność. Ta luka utrudnia wykrywanie i badanie incydentów bezpieczeństwa dotyczących danych w kolejkach.

Co sprawdza Aether365

Aether365 weryfikuje, czy rejestrowanie Storage jest włączone dla usługi Queue oraz czy rejestruje żądania odczytu, zapisu i usuwania. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji azure-storage-accounts.

Jak to naprawić

Aby włączyć rejestrowanie Storage dla usługi Queue w Azure Portal:

1. Przejdź do Storage Accounts i wybierz konto magazynu do skonfigurowania.
2. W sekcji Monitoring kliknij Diagnostics settings.
3. Wybierz zakładkę Queue wciętą poniżej nazwy konta magazynu.
4. Aby dodać nowe ustawienie diagnostyczne, kliknij + Add diagnostic setting. Aby zaktualizować istniejące ustawienie, kliknij Edit setting.
5. Zaznacz pola wyboru dla StorageRead, StorageWrite i StorageDelete.
6. Wybierz odpowiedni cel, taki jak Log Analytics workspace lub konto magazynu.
7. Kliknij Save, aby zastosować konfigurację.

Zgodność

• CIS Microsoft Azure Foundations 3.0.0: Sekcja 4.12 (Poziom 2)

Powiązane zasoby

• About Storage Analytics logging
• Manage Azure Storage logging with Azure CLI
• Azure security benchmark: Enable network logging for security investigation
• Monitor Azure Queue Storage

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection
• Monitor queue storage