Я знаю, что безопасное управление идентификацией, предоставление наименее необходимого доступа и т. Д. Важны, но еще одна важная передовая практика - это журналы аудита, которые не могут быть изменены, удалены или отключены даже пользователями с высокими привилегиями.
Как обеспечить это в Microsoft Azure? Я знаю, что журнал активности есть, но не могу найти, каков срок хранения и защищен ли он от удаления. В документации рекомендуется создать диагностический параметр, чтобы отправить его либо в Log Analytics, либо в учетную запись хранения, но они могут быть отключены / удалены с помощью высокопривилегированных учетных записей.
Журналы активности удаляются через 90 дней. Если вы хотите сохранить их, вам нужно будет посмотреть на их экспорт. Вы можете сделать это в Log Analytics - https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenants или в хранилище с помощью диагностических настроек - https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings