Snippet KQL : isoler les 403 Azure Storage sur endpoint privé

Quand un accès Storage privé retourne 403, commence par vérifier si le compte voit réellement la requête et quelle identité ou source est associée au refus.

let Window = 2h;
let Account = "stprodorders";
StorageBlobLogs
| where TimeGenerated > ago(Window)
| where AccountName == Account
| where StatusCode == 403 or StatusText has_any ("Authorization", "Authentication", "Firewall")
| project TimeGenerated, OperationName, StatusCode, StatusText, AuthenticationType, RequesterObjectId, CallerIpAddress, Uri, UserAgentHeader, ClientRequestId
| order by TimeGenerated desc

Lecture rapide :

• aucune ligne pour le test : revenir à DNS, Private Endpoint, routage ou sous-service (blob, dfs, queue) ;
• identité visible avec refus : vérifier RBAC, scope et délai de propagation ;
• IP ou source inattendue : vérifier firewall, selected networks et endpoint public encore utilisé.