Sdílet prostřednictvím


Vytvoření streamování auditu

Služby Azure DevOps

Poznámka:

Auditování je stále ve verzi Public Preview.

Zjistěte, jak vytvořit stream auditu , který odesílá data do jiných umístění pro další zpracování. Odešlete data auditování do jiných nástrojů siEM (Security Incident and Event Management) a otevřete nové možnosti, jako je schopnost aktivovat výstrahy pro konkrétní události, vytvářet zobrazení dat auditování a provádět detekci anomálií. Nastavení datového proudu také umožňuje ukládat data auditování za více než 90 dnů, což je maximální množství dat, která Azure DevOps uchovává pro vaše organizace.

Důležité

Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizace k Microsoft Entra ID.

Streamy auditu představují kanál, který proudí události auditu z vaší organizace Azure DevOps do cíle streamu. Každou půlhodinu nebo méně se nové události auditu zkompilují a streamují do vašich cílů. Pro konfiguraci jsou k dispozici následující cíle streamu.

Soukromé propojené pracovní prostory se dnes nepodporují.

Poznámka:

Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditu je možné připojit k místní nebo cloudové instanci splunku, ale ujistěte se, že povolujete rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.

Požadavky

Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services. Ujistěte se, že k citlivým informacím auditování mají přístup jenom autorizovaní pracovníci.

Oprávnění: Být členem skupiny Správci kolekcí projektů (PCA). Vlastníci organizace jsou automaticky členy této skupiny. Nebo mají pro uživatele nebo skupinu následující oprávnění auditování:

  • Správa streamů auditu
  • Zobrazení protokolu auditu

Snímek obrazovky s oprávněními auditování nastavení pro povolení

PcA můžou tato oprávnění udělit všem uživatelům nebo skupinám pro správu datových proudů organizace prostřednictvím oprávnění zabezpečení > nastavení>organizace. Certifikační autority (PCA) můžou také přiřadit oprávnění k odstranění streamů auditu.

Poznámka:

Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé ve skupině Uživatelé s oborem projektu nemůžou zobrazit auditování a mají omezenou viditelnost na stránkách nastavení organizace. Další informace a důležité podrobnosti související se zabezpečením najdete v tématu Omezení viditelnosti uživatelů pro projekty a další.

Vytvoření datového proudu

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{Your_Organization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

    Snímek obrazovky se zvýrazněným tlačítkem Nastavení organizace

  3. Vyberte Auditování.

    Výběr auditování v nastavení organizace

Poznámka:

Pokud v nastavení organizace nevidíte auditování , auditování není pro vaši organizaci aktuálně povolené. Někdo ve skupině vlastníka organizace nebo správce kolekcí projektů (PCA) musí povolit auditování v zásadách organizace. Události pak uvidíte na stránce Auditování, pokud máte příslušná oprávnění.

  1. Přejděte na kartu Streams (Streams ) a pak vyberte New stream (Nový stream).

    Vyberte Nový stream a vytvořte nový stream auditování.

  2. Vyberte cíl datového proudu, který chcete nakonfigurovat, a pak podle následujících pokynů nastavte cílový typ streamu.

Poznámka:

V tuto chvíli můžete mít pouze 2 datové proudy pro každý cílový typ.

Otevře se dialogové okno Pro vytvoření datového proudu

Nastavení streamu Splunk

Streamy odesílají data do Splunku prostřednictvím koncového bodu kolektoru událostí HTTP.

  1. Tuto funkci povolte ve Splunku. Další informace najdete v této dokumentaci k splunku.

    Po povolení byste měli mít token kolektoru událostí HTTP a adresu URL vaší instance Splunk. K vytvoření datového proudu Splunk potřebujete token i adresu URL.

    Poznámka:

    Při vytváření nového tokenu kolekce událostí ve Splunku nezaškrtávejte políčko Povolit potvrzení indexeru. Pokud je zaškrtnuté, do Splunku neprotékají žádné události. Token v splunku můžete upravit, abyste toto nastavení odebrali.

  2. Zadejte adresu URL splunku, což je ukazatel na instanci Splunk. Ujistěte se, že jste na konci adresy URL zadali port. Výchozí port je 8088, takže vaše adresa URL by byla podobná https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 nebo https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Zadejte token kolektoru událostí, který jste vytvořili, do pole tokenu. Token se bezpečně ukládá v Rámci Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Doporučujeme token pravidelně otáčet, což můžete udělat získáním nového tokenu ze splunku a úpravou datového proudu.

    Zadejte koncový bod tématu a přístupový klíč, který jste si poznamenali dříve.

  4. Vyberte Nastavit.

Váš stream se nakonfiguruje a události začnou dojet na Splunk do půl hodiny nebo méně.

Nastavení streamu Event Gridu

  1. Vytvořte téma Event Gridu v Azure.

Poznámka:

Přejděte na kartu Upřesnit a ujistěte se, že je schéma událostí nastavené na schéma Event Gridu. Azure DevOps nepodporuje jiná schémata.

  1. Poznamenejte si koncový bod tématu a jeden ze dvou přístupových klíčů. Tyto informace použijte k vytvoření připojení Event Gridu.

    Informace o službě Azure Event Grid

  2. Zadejte koncový bod tématu a jeden z přístupových klíčů. Přístupový klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Pravidelně obměňujte přístupový klíč, který můžete udělat tak, že získáte nový klíč z Azure Event Gridu a upravíte stream.

    Zadejte ID pracovního prostoru a primární klíč k vytvoření.

Jakmile máte nakonfigurovaný datový proud Event Gridu, můžete v Event Gridu nastavit odběry tak, aby odesílaly data téměř kdekoli v Azure.

Nastavení streamu protokolů služby Azure Monitor

  1. Vytvořte pracovní prostor služby Log Analytics.

  2. Otevřete pracovní prostor a vyberte Agenti.

  3. Výběrem pokynů k agentu Log Analytics zobrazíte ID pracovního prostoru a primární klíč.

  4. Poznamenejte si ID pracovního prostoru a primární klíč.

    Poznamenejte si ID pracovního prostoru a primární klíč.

  5. Nastavte stream protokolů služby Azure Monitor tak, že budete pokračovat stejnými počátečními kroky, jak vytvořit stream.

  6. Pro možnosti cíle vyberte protokoly služby Azure Monitor.

  7. Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit. Primární klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Klíč můžete pravidelně otáčet tím, že získáte nový klíč z protokolu služby Azure Monitor a upravíte stream.

    Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit.

Stream je povolený a nové události začnou proudit do půl hodiny nebo méně. Na tabulku AzureDevOpsAuditing můžete odkazovat.

Poznámka:

Výchozí doba uchovávání protokolů služby Azure Monitor je pouze 30 dnů. Pokud v nastavení pracovního prostoru vyberete možnost Uchovávání dat v části Využití a odhadované náklady, můžete nakonfigurovat a zvolit delší uchovávání. Za to se účtují další poplatky. Další podrobnosti najdete v dokumentaci ke správě využití a nákladů pomocí protokolů služby Azure Monitor.

Úprava datového proudu

Podrobnosti o cíli streamu se můžou v průběhu času měnit. Pokud chcete tyto změny v streamech odrážet, můžete je upravit. Pokud chcete stream upravit, ujistěte se, že máte oprávnění Spravovat streamy auditu.

  1. Vedle datového proudu, který chcete upravit, vyberte svislé tři tečky úplně vpravo a pak vyberte Upravit stream.

    Výběr možnosti Upravit stream

  2. Zvolte Uložit.

Parametry dostupné pro úpravy se liší podle typu datového proudu.

Zakázání datového proudu

  1. Vedle datového proudu, který chcete zakázat, přesuňte přepínač Povoleno z Zapnuto na Vypnuto.
    Když dojde k selhání datových proudů, můžou se zakázat. Podrobnosti o selhání můžete získat ze stavu zobrazeného vedle streamu nebo výběrem možnosti Upravit stream. Stream můžete také zakázat ručně a později ho znovu povolit.

    Přepnutím do polohy Vypnuto zakážete stream.

  2. Zvolte Uložit.

Zakázaný stream můžete znovu povolit. Zachytí všechny události auditu, které se zmeškaly až do předchozích sedmi dnů. Tímto způsobem nezmeškáte žádné události z doby, po kterou byl stream zakázán.

Poznámka:

Události starší než 7 dnů se do zachytávání nezahrnou, pokud je stream zakázán déle než 7 dní.

Odstranění datového proudu

Pokud chcete stream odstranit, ujistěte se, že máte oprávnění Odstranit streamy auditu.

Důležité

Jakmile odstraníte stream, nemůžete ho získat zpět.

  1. Najeďte myší na datový proud, který chcete odstranit, a vyberte svislé tři tečky úplně vpravo.

  2. Vyberte Odstranit stream.

    Vyberte Odstranit stream a odebere se.

  3. Vyberte Potvrdit.

Systém odebere váš stream. Všechny neodeslané události před odstraněním se neodesílají.