Eu sei que gerenciar a identidade com segurança, fornecer o acesso menos necessário, etc., é importante, mas outra prática recomendada é ter logs de auditoria que não podem ser modificados, excluídos ou desativados, mesmo por usuários altamente privilegiados.
Como garantir isso no Microsoft Azure? Sei que o Log de atividades está lá, mas não consegui descobrir qual é o período de retenção ou se está protegido contra exclusão. Os documentos recomendam a criação de configurações de diagnóstico para enviá-las ao Log Analytics ou à conta de armazenamento, mas elas podem ser desabilitadas/excluídas por contas altamente privilegiadas
Responder1
Os logs de atividades são excluídos após 90 dias. Se você deseja preservá-los, você deve exportá-los. Você pode fazer isso no Log Analytics -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/activity-log-collect-tenantsou para armazenamento usando configurações de diagnóstico -https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings