Ensure that logging for Azure Key Vault is 'Enabled'
Prečo je to dôležité
Azure Key Vault ukladá vysoko citlivé údaje vrátane tajomstiev, kľúčov a certifikátov. Bez povoleného auditu logovania strácate prehľad o tom, kto a kedy pristupuje k týmto zdrojom, čo znemožňuje odhaliť neoprávnený prístup alebo vyšetriť bezpečnostné incidenty. Povolenie diagnostického logovania vytvára nemenný auditný záznam, ktorý je nevyhnutný pre dodržiavanie predpisov, forenznú analýzu a detekciu hrozieb.
Čo kontroluje Aether365
Aether365 overuje, či sú pre každú inštanciu Azure Key Vault vo vašom predplatnom povolené diagnostické nastavenia. Táto kontrola sa zobrazuje na paneli Aether365 v kategórii azure-diagnostic-settings a potvrdzuje, že sa zhromažďujú denníky AuditEvent.
Ako to opraviť
Ak chcete povoliť diagnostické logovanie pre Azure Key Vault z Azure Portal:
- Prejdite na Key Vaults a vyberte trezor kľúčov, ktorý chcete nakonfigurovať.
- V sekcii Monitoring kliknite na Diagnostic settings.
- Kliknutím na Add diagnostic setting vytvorte nové nastavenie alebo na Edit setting upravte existujúcu konfiguráciu.
- Zadajte názov nového diagnostického nastavenia.
- Vyberte preferovaný cieľ: Azure Storage account, Log Analytics workspace alebo Event Hub.
- V skupinách kategórií vyberte audit a allLogs.
- Kliknutím na Save aplikujte zmeny.
Zopakujte tieto kroky pre každý trezor kľúčov vo vašom predplatnom.
Súlad s predpismi
- CIS Microsoft Azure Foundations 3.0.0 - 6.1.4 (úroveň 1)
- EIDSCA (Enterprise Identity and Security Control Assessment) - súvisí s ovládacími prvkami logovania a monitorovania
- CISA (Center for Internet Security Azure Foundations Benchmark) - požiadavka na auditné logovanie
Súvisiace zdroje
- Azure Key Vault logging documentation
- Microsoft Cloud Security Benchmark: Data Protection DP-8
- Microsoft Cloud Security Benchmark: Logging and Threat Detection LT-3