Vytvoření streamování auditu
Služby Azure DevOps
Poznámka:
Auditování je stále ve verzi Public Preview.
Zjistěte, jak vytvořit stream auditu , který odesílá data do jiných umístění pro další zpracování. Odešlete data auditování do jiných nástrojů siEM (Security Incident and Event Management) a otevřete nové možnosti, jako je schopnost aktivovat výstrahy pro konkrétní události, vytvářet zobrazení dat auditování a provádět detekci anomálií. Nastavení datového proudu také umožňuje ukládat data auditování za více než 90 dnů, což je maximální množství dat, která Azure DevOps uchovává pro vaše organizace.
Důležité
Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizace k Microsoft Entra ID.
Streamy auditu představují kanál, který proudí události auditu z vaší organizace Azure DevOps do cíle streamu. Každou půlhodinu nebo méně se nové události auditu zkompilují a streamují do vašich cílů. Pro konfiguraci jsou k dispozici následující cíle streamu.
- Splunk – Připojte se k místnímu nebo cloudovému splunku.
- Protokoly služby Azure Monitor – Odesílání protokolů auditování do protokolů služby Azure Monitor Protokoly uložené v protokolech služby Azure Monitor je možné dotazovat a nakonfigurovat upozornění. Vyhledejte tabulku s názvem AzureDevOpsAuditing. Microsoft Sentinel můžete také připojit ke svému pracovnímu prostoru.
- Azure Event Grid – Pro scénáře, ve kterých chcete, aby se protokoly auditování odesílaly někam jinam, ať už uvnitř Nebo mimo Azure, můžete nastavit připojení Azure Event Gridu .
Soukromé propojené pracovní prostory se dnes nepodporují.
Poznámka:
Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditu je možné připojit k místní nebo cloudové instanci splunku, ale ujistěte se, že povolujete rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.
Požadavky
Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services. Ujistěte se, že k citlivým informacím auditování mají přístup jenom autorizovaní pracovníci.
Oprávnění: Být členem skupiny Správci kolekcí projektů (PCA). Vlastníci organizace jsou automaticky členy této skupiny. Nebo mají pro uživatele nebo skupinu následující oprávnění auditování:
- Správa streamů auditu
- Zobrazení protokolu auditu
PcA můžou tato oprávnění udělit všem uživatelům nebo skupinám pro správu datových proudů organizace prostřednictvím oprávnění zabezpečení > nastavení>organizace. Certifikační autority (PCA) můžou také přiřadit oprávnění k odstranění streamů auditu.
Poznámka:
Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé ve skupině Uživatelé s oborem projektu nemůžou zobrazit auditování a mají omezenou viditelnost na stránkách nastavení organizace. Další informace a důležité podrobnosti související se zabezpečením najdete v tématu Omezení viditelnosti uživatelů pro projekty a další.
Vytvoření datového proudu
Přihlaste se ke své organizaci (
https://dev.azure.com/{Your_Organization}
).Vyberte nastavení organizace.
Vyberte Auditování.
Poznámka:
Pokud v nastavení organizace nevidíte auditování , auditování není pro vaši organizaci aktuálně povolené. Někdo ve skupině vlastníka organizace nebo správce kolekcí projektů (PCA) musí povolit auditování v zásadách organizace. Události pak uvidíte na stránce Auditování, pokud máte příslušná oprávnění.
Přejděte na kartu Streams (Streams ) a pak vyberte New stream (Nový stream).
Vyberte cíl datového proudu, který chcete nakonfigurovat, a pak podle následujících pokynů nastavte cílový typ streamu.
Poznámka:
V tuto chvíli můžete mít pouze 2 datové proudy pro každý cílový typ.
Nastavení streamu Splunk
Streamy odesílají data do Splunku prostřednictvím koncového bodu kolektoru událostí HTTP.
Tuto funkci povolte ve Splunku. Další informace najdete v této dokumentaci k splunku.
Po povolení byste měli mít token kolektoru událostí HTTP a adresu URL vaší instance Splunk. K vytvoření datového proudu Splunk potřebujete token i adresu URL.
Poznámka:
Při vytváření nového tokenu kolekce událostí ve Splunku nezaškrtávejte políčko Povolit potvrzení indexeru. Pokud je zaškrtnuté, do Splunku neprotékají žádné události. Token v splunku můžete upravit, abyste toto nastavení odebrali.
Zadejte adresu URL splunku, což je ukazatel na instanci Splunk. Ujistěte se, že jste na konci adresy URL zadali port. Výchozí port je
8088
, takže vaše adresa URL by byla podobnáhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
nebohttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Zadejte token kolektoru událostí, který jste vytvořili, do pole tokenu. Token se bezpečně ukládá v Rámci Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Doporučujeme token pravidelně otáčet, což můžete udělat získáním nového tokenu ze splunku a úpravou datového proudu.
Vyberte Nastavit.
Váš stream se nakonfiguruje a události začnou dojet na Splunk do půl hodiny nebo méně.
Nastavení streamu Event Gridu
- Vytvořte téma Event Gridu v Azure.
Poznámka:
Přejděte na kartu Upřesnit a ujistěte se, že je schéma událostí nastavené na schéma Event Gridu. Azure DevOps nepodporuje jiná schémata.
Poznamenejte si koncový bod tématu a jeden ze dvou přístupových klíčů. Tyto informace použijte k vytvoření připojení Event Gridu.
Zadejte koncový bod tématu a jeden z přístupových klíčů. Přístupový klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Pravidelně obměňujte přístupový klíč, který můžete udělat tak, že získáte nový klíč z Azure Event Gridu a upravíte stream.
Jakmile máte nakonfigurovaný datový proud Event Gridu, můžete v Event Gridu nastavit odběry tak, aby odesílaly data téměř kdekoli v Azure.
Nastavení streamu protokolů služby Azure Monitor
Vytvořte pracovní prostor služby Log Analytics.
Otevřete pracovní prostor a vyberte Agenti.
Výběrem pokynů k agentu Log Analytics zobrazíte ID pracovního prostoru a primární klíč.
Poznamenejte si ID pracovního prostoru a primární klíč.
Nastavte stream protokolů služby Azure Monitor tak, že budete pokračovat stejnými počátečními kroky, jak vytvořit stream.
Pro možnosti cíle vyberte protokoly služby Azure Monitor.
Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit. Primární klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Klíč můžete pravidelně otáčet tím, že získáte nový klíč z protokolu služby Azure Monitor a upravíte stream.
Stream je povolený a nové události začnou proudit do půl hodiny nebo méně. Na tabulku AzureDevOpsAuditing můžete odkazovat.
Poznámka:
Výchozí doba uchovávání protokolů služby Azure Monitor je pouze 30 dnů. Pokud v nastavení pracovního prostoru vyberete možnost Uchovávání dat v části Využití a odhadované náklady, můžete nakonfigurovat a zvolit delší uchovávání. Za to se účtují další poplatky. Další podrobnosti najdete v dokumentaci ke správě využití a nákladů pomocí protokolů služby Azure Monitor.
Úprava datového proudu
Podrobnosti o cíli streamu se můžou v průběhu času měnit. Pokud chcete tyto změny v streamech odrážet, můžete je upravit. Pokud chcete stream upravit, ujistěte se, že máte oprávnění Spravovat streamy auditu.
Vedle datového proudu, který chcete upravit, vyberte svislé tři tečky úplně vpravo a pak vyberte Upravit stream.
Zvolte Uložit.
Parametry dostupné pro úpravy se liší podle typu datového proudu.
Zakázání datového proudu
Vedle datového proudu, který chcete zakázat, přesuňte přepínač Povoleno z Zapnuto na Vypnuto.
Když dojde k selhání datových proudů, můžou se zakázat. Podrobnosti o selhání můžete získat ze stavu zobrazeného vedle streamu nebo výběrem možnosti Upravit stream. Stream můžete také zakázat ručně a později ho znovu povolit.Zvolte Uložit.
Zakázaný stream můžete znovu povolit. Zachytí všechny události auditu, které se zmeškaly až do předchozích sedmi dnů. Tímto způsobem nezmeškáte žádné události z doby, po kterou byl stream zakázán.
Poznámka:
Události starší než 7 dnů se do zachytávání nezahrnou, pokud je stream zakázán déle než 7 dní.
Odstranění datového proudu
Pokud chcete stream odstranit, ujistěte se, že máte oprávnění Odstranit streamy auditu.
Důležité
Jakmile odstraníte stream, nemůžete ho získat zpět.
Najeďte myší na datový proud, který chcete odstranit, a vyberte svislé tři tečky úplně vpravo.
Vyberte Odstranit stream.
Vyberte Potvrdit.
Systém odebere váš stream. Všechny neodeslané události před odstraněním se neodesílají.