Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests

Por que Isso é Importante

Sem o log de armazenamento habilitado para solicitações de leitura, gravação e exclusão no serviço Blob, você perde a visibilidade sobre quem está acessando seus dados e quais operações estão sendo realizadas. Esse ponto cego dificulta a detecção de tentativas de acesso não autorizado, a solução de problemas de desempenho e a investigação de incidentes de segurança envolvendo suas contas de armazenamento. Como os custos de armazenamento podem aumentar com o log, avalie seus requisitos de monitoramento antes de habilitar essa configuração para evitar despesas inesperadas.

O que o Aether365 Verifica

O Aether365 verifica se o log de armazenamento do serviço Blob está configurado para capturar solicitações de leitura, gravação e exclusão. Essa verificação aparece no painel do Aether365 sob as verificações de azure-storage-accounts.

Como Corrigir

1. Faça login no Azure Portal e navegue até Storage Accounts.
2. Selecione cada conta de armazenamento e, em seguida, em Monitoring vá para Diagnostics settings.
3. Clique na guia blob recuada abaixo do nome da conta de armazenamento.
4. Para criar uma nova configuração de diagnóstico, clique em Add diagnostic setting. Para modificar uma existente, clique em Edit setting.
5. Marque as caixas de seleção para StorageRead, StorageWrite e StorageDelete.
6. Escolha um destino apropriado para os logs (como Log Analytics workspace ou conta de armazenamento).
7. Clique em Save para aplicar as alterações.

Conformidade

• CIS Microsoft Azure Foundations 3.0.0 4.13 (Nível 2)
• Recomendação EIDSCA 2.0 para log de armazenamento

Recursos Relacionados

• Sobre o Log de Análise de Armazenamento
• Comandos de log de armazenamento da CLI do Azure
• Benchmark de Segurança em Nuvem da Microsoft: LT-3

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection