Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests

Prečo je to dôležité

Ak nie je povolené zaznamenávanie úložiska pre požiadavky na čítanie, zápis a mazanie vo vašej službe Blob, strácate prehľad o tom, kto pristupuje k vašim údajom a aké operácie vykonáva. Tento slepý bod sťažuje odhalenie neoprávnených pokusov o prístup, riešenie problémov s výkonom alebo vyšetrovanie bezpečnostných incidentov súvisiacich s vašimi účtami úložiska. Keďže náklady na úložisko môžu so zaznamenávaním stúpnuť, pred aktiváciou tohto nastavenia zhodnoťte svoje požiadavky na monitorovanie, aby ste predišli neočakávaným výdavkom.

Čo kontroluje Aether365

Aether365 overuje, či je zaznamenávanie úložiska pre službu Blob nakonfigurované na zachytávanie požiadaviek na čítanie, zápis a mazanie. Táto kontrola sa zobrazuje na paneli Aether365 v rámci kontrol azure-storage-accounts.

Ako to opraviť

1. Prihláste sa do Azure Portal a prejdite na Storage Accounts.
2. Vyberte každý účet úložiska a potom v časti Monitoring prejdite na Diagnostics settings.
3. Kliknite na kartu blob, ktorá je odsadená pod názvom účtu úložiska.
4. Ak chcete vytvoriť nové diagnostické nastavenie, kliknite na Add diagnostic setting. Ak chcete upraviť existujúce, kliknite na Edit setting.
5. Začiarknite políčka pre StorageRead, StorageWrite a StorageDelete.
6. Vyberte vhodné miesto určenia pre protokoly (napríklad pracovný priestor Log Analytics alebo účet úložiska).
7. Kliknutím na Save použite zmeny.

Súlad s predpismi

• CIS Microsoft Azure Foundations 3.0.0 4.13 (Level 2)
• EIDSCA 2.0 odporúčanie pre zaznamenávanie úložiska

Súvisiace zdroje

• Informácie o zaznamenávaní Storage Analytics
• Príkazy Azure CLI pre zaznamenávanie úložiska
• Microsoft Cloud Security Benchmark: LT-3

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection