Ensure Storage Logging is Enabled for Queue Service for 'Read', 'Write', and 'Delete' requests
Por Que Isso é Importante
As mensagens da fila de armazenamento podem ser acessadas por qualquer cliente com permissões na conta de armazenamento, tornando-se um possível vetor para acesso não autorizado ou adulteração de dados. Sem o registro habilitado para operações de leitura, gravação e exclusão, você perde visibilidade crítica sobre detalhes das solicitações, como momento, autenticação e concorrência. Essa lacuna de visibilidade dificulta sua capacidade de detectar e investigar incidentes de segurança que afetam os dados da fila.
O Que o Aether365 Verifica
O Aether365 verifica se o registro de armazenamento está habilitado para o serviço Queue e se ele captura solicitações de leitura, gravação e exclusão. Essa verificação aparece no painel do Aether365 sob as verificações azure-storage-accounts.
Como Corrigir
Para habilitar o registro de armazenamento para o serviço Queue no Azure Portal:
- Navegue até Storage Accounts e selecione a conta de armazenamento a ser configurada.
- Em Monitoring, clique em Diagnostics settings.
- Selecione a guia Queue recuada abaixo do nome da conta de armazenamento.
- Para adicionar uma nova configuração de diagnóstico, clique em + Add diagnostic setting. Para atualizar uma configuração existente, clique em Edit setting.
- Selecione as caixas de seleção para StorageRead, StorageWrite e StorageDelete.
- Escolha um destino apropriado, como um espaço de trabalho do Log Analytics ou uma conta de armazenamento.
- Clique em Save para aplicar a configuração.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0: Seção 4.12 (Nível 2)
Recursos Relacionados
- About Storage Analytics logging
- Manage Azure Storage logging with Azure CLI
- Azure security benchmark: Enable network logging for security investigation
- Monitor Azure Queue Storage