Sé que gestionar la identidad de forma segura, proporcionar el acceso menos necesario, etc., es importante, pero otra práctica recomendada fundamental es tener registros de auditoría que no puedan modificar, eliminar ni desactivar ni siquiera los usuarios con privilegios elevados.
¿Cómo garantizar esto en Microsoft Azure? Sé que el Registro de actividad está ahí, pero no pude encontrar cuál es el período de retención o si está protegido contra eliminación. Los documentos recomiendan crear una configuración de diagnóstico para enviarla a Log Analytics o a la cuenta de almacenamiento, pero las cuentas con privilegios elevados pueden desactivarlas o eliminarlas.
Respuesta1
Los registros de actividad se eliminan después de 90 días. Si desea conservarlos, deberá considerar exportarlos. Puede hacer esto en Log Analytics:https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenantso al almacenamiento usando la configuración de diagnóstico -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings