Ensure Storage Logging is Enabled for Queue Service for 'Read', 'Write', and 'Delete' requests
De ce este important
Mesajele din cozile de stocare pot fi accesate de orice client care are permisiuni asupra contului de stocare, reprezentând astfel un vector potențial pentru accesul neautorizat la date sau pentru modificarea acestora. Fără înregistrarea în jurnal a operațiunilor de citire, scriere și ștergere, pierdeți vizibilitatea critică asupra detaliilor cererilor, cum ar fi momentul, autentificarea și concurența. Acest punct orb împiedică capacitatea dumneavoastră de a detecta și investiga incidentele de securitate care afectează datele din cozi.
Ce verifică Aether365
Aether365 verifică dacă înregistrarea în jurnal a stocării este activată pentru serviciul Queue și dacă aceasta capturează cereri de citire, scriere și ștergere. Această verificare apare în tabloul de bord Aether365 sub verificările azure-storage-accounts.
Cum se remediază
Pentru a activa înregistrarea în jurnal a stocării pentru serviciul Queue din Azure Portal:
- Navigați la Storage Accounts și selectați contul de stocare pe care doriți să îl configurați.
- Sub Monitoring, faceți clic pe Diagnostics settings.
- Selectați fila Queue, indentată sub numele contului de stocare.
- Pentru a adăuga o setare de diagnosticare nouă, faceți clic pe + Add diagnostic setting. Pentru a actualiza o setare existentă, faceți clic pe Edit setting.
- Bifați căsuțele pentru StorageRead, StorageWrite și StorageDelete.
- Alegeți o destinație adecvată, cum ar fi un Log Analytics workspace sau un cont de stocare.
- Faceți clic pe Save pentru a aplica configurația.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0: Secțiunea 4.12 (Nivelul 2)
Resurse conexe
- About Storage Analytics logging
- Manage Azure Storage logging with Azure CLI
- Azure security benchmark: Enable network logging for security investigation
- Monitor Azure Queue Storage