Ensure Storage logging is Enabled for Blob Service for 'Read', 'Write', and 'Delete' requests

Чому це важливо

Без увімкненого журналювання сховища для запитів на читання, запис і видалення у вашій службі Blob ви втрачаєте можливість відстежувати, хто отримує доступ до ваших даних і які операції виконує. Це "сліпа зона" ускладнює виявлення несанкціонованих спроб доступу, усунення проблем із продуктивністю або розслідування інцидентів безпеки, пов'язаних з обліковими записами сховища. Оскільки витрати на зберігання можуть зрости через журналювання, оцініть свої вимоги до моніторингу перед увімкненням цього параметра, щоб уникнути непередбачуваних витрат.

Що перевіряє Aether365

Aether365 перевіряє, чи налаштовано журналювання сховища для служби Blob на захоплення запитів на читання, запис і видалення. Ця перевірка відображається на панелі керування Aether365 у розділі перевірок azure-storage-accounts.

Як виправити

1. Увійдіть на Azure Portal і перейдіть до Storage Accounts.
2. Виберіть кожен обліковий запис сховища, а потім у розділі Monitoring перейдіть до Diagnostics settings.
3. Натисніть на вкладку blob, яка має відступ під назвою облікового запису сховища.
4. Щоб створити новий діагностичний параметр, натисніть Add diagnostic setting. Щоб змінити існуючий, натисніть Edit setting.
5. Виберіть прапорці для StorageRead, StorageWrite та StorageDelete.
6. Виберіть відповідне призначення для журналів (наприклад, робоче середовище Log Analytics або обліковий запис сховища).
7. Натисніть Save, щоб застосувати зміни.

Відповідність стандартам

• CIS Microsoft Azure Foundations 3.0.0 4.13 (Рівень 2)
• EIDSCA 2.0 рекомендація щодо журналювання сховища

Пов'язані ресурси

• Про журналювання аналітики сховища
• Команди Azure CLI для журналювання сховища
• Microsoft Cloud Security Benchmark: LT-3

Microsoft references

• About storage analytics logging
• Logging
• Mcsb logging threat detection