Ensure Storage Logging is Enabled for Queue Service for 'Read', 'Write', and 'Delete' requests
Чому це важливо
Повідомлення черг сховища можуть бути доступні будь-якому клієнту з дозволами облікового запису сховища, що робить їх потенційним вектором для несанкціонованого доступу до даних або їх підробки. Без увімкненого логування для операцій читання, запису та видалення ви втрачаєте критичну видимість деталей запитів, таких як час, автентифікація та одночасність. Ця сліпа зона перешкоджає вашій здатності виявляти та розслідувати інциденти безпеки, що впливають на дані черг.
Що перевіряє Aether365
Aether365 перевіряє, чи увімкнено логування сховища для служби Queue та чи фіксуються запити на читання, запис і видалення. Ця перевірка відображається на панелі керування Aether365 у розділі перевірок azure-storage-accounts.
Як виправити
Щоб увімкнути логування сховища для служби Queue на Azure Portal:
- Перейдіть до Storage Accounts та виберіть обліковий запис сховища для налаштування.
- У розділі Monitoring натисніть Diagnostics settings.
- Виберіть вкладку Queue, що знаходиться з відступом під назвою облікового запису сховища.
- Щоб додати нове діагностичне налаштування, натисніть + Add diagnostic setting. Щоб оновити наявне налаштування, натисніть Edit setting.
- Виберіть прапорці для StorageRead, StorageWrite та StorageDelete.
- Виберіть відповідне призначення, наприклад, робочу область Log Analytics або обліковий запис сховища.
- Натисніть Save, щоб застосувати конфігурацію.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0: Розділ 4.12 (Рівень 2)
Пов'язані ресурси
- Про логування Storage Analytics
- Керування логуванням Azure Storage за допомогою Azure CLI
- Еталонний тест безпеки Azure: увімкнення мережевого логування для розслідування безпеки
- Моніторинг черг Azure Storage