Ensure that logging for Azure Key Vault is 'Enabled'
Varför detta är viktigt
Azure Key Vault lagrar mycket känslig data, inklusive hemligheter, nycklar och certifikat. Utan aktiverad granskningsloggning förlorar du insyn i vem som har åtkomst till dessa resurser och när, vilket gör det omöjligt att upptäcka obehörig åtkomst eller utreda säkerhetsincidenter. Genom att aktivera diagnostisk loggning skapas en oföränderlig granskningskedja, vilket är avgörande för regelefterlevnad, forensisk analys och hotdetektion.
Vad Aether365 kontrollerar
Aether365 verifierar att diagnostikinställningar är aktiverade för varje Azure Key Vault-instans i din prenumeration. Denna kontroll visas i Aether365-instrumentpanelen under kategorin azure-diagnostic-settings och bekräftar att AuditEvent-loggar samlas in.
Hur du åtgärdar
Så här aktiverar du diagnostisk loggning för Azure Key Vault från Azure Portal:
- Navigera till Key Vaults och välj den nyckelvalv som du vill konfigurera.
- I avsnittet Monitoring klickar du på Diagnostic settings.
- Klicka på Add diagnostic setting för att skapa en ny, eller Edit setting för att ändra en befintlig konfiguration.
- Ge den nya diagnostikinställningen ett namn.
- Välj önskad destination: ett Azure Storage-konto, en Log Analytics-arbetsyta eller en Event Hub.
- Under Category groups väljer du audit och allLogs.
- Klicka på Save för att tillämpa ändringarna.
Upprepa dessa steg för varje nyckelvalv i din prenumeration.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0 – 6.1.4 (Nivå 1)
- EIDSCA (Enterprise Identity and Security Control Assessment) – relaterat till loggnings- och övervakningskontroller
- CISA (Center for Internet Security Azure Foundations Benchmark) – krav på granskningsloggning
Relaterade resurser
- Azure Key Vault-loggningsdokumentation
- Microsoft Cloud Security Benchmark: Dataskydd DP-8
- Microsoft Cloud Security Benchmark: Loggning och hotdetektion LT-3