Delen via

Controlestreaming maken

  • Artikel

Azure DevOps Services

Notitie

Controle is nog steeds beschikbaar als openbare preview.

Meer informatie over het maken van een controlestroom , waarmee gegevens naar andere locaties worden verzonden voor verdere verwerking. Verzend controlegegevens naar andere SIEM-hulpprogramma's (Security Incident and Event Management) en open nieuwe mogelijkheden, zoals de mogelijkheid om waarschuwingen voor specifieke gebeurtenissen te activeren, weergaven te maken over controlegegevens en anomaliedetectie uit te voeren. Als u een stream instelt, kunt u ook meer dan 90 dagen aan controlegegevens opslaan. Dit is de maximale hoeveelheid gegevens die azure DevOps voor uw organisaties bewaart.

Belangrijk

Controle is alleen beschikbaar voor organisaties die worden ondersteund door Microsoft Entra ID. Zie Uw organisatie verbinden met Microsoft Entra ID voor meer informatie.

Controlestromen vertegenwoordigen een pijplijn die controlegebeurtenissen van uw Azure DevOps-organisatie naar een streamdoel stroomt. Elk half uur of minder worden nieuwe controlegebeurtenissen gebundeld en naar uw doelen gestreamd. De volgende streamdoelen zijn beschikbaar voor configuratie.

Privé-gekoppelde werkruimten worden momenteel niet ondersteund.

Notitie

Controle is niet beschikbaar voor on-premises implementaties van Azure DevOps Server. Het is mogelijk om een auditstream te verbinden met een on-premises of cloudexemplaren van Splunk, maar zorg ervoor dat u IP-bereiken toestaat voor binnenkomende verbindingen. Zie Toegestane adreslijsten en netwerkverbindingen, IP-adressen en bereikbeperkingen voor meer informatie.

Vereisten

Controle is standaard uitgeschakeld voor alle Azure DevOps Services-organisaties. Zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige controlegegevens.

Machtigingen: lid zijn van de groep PcA -beheerders (Project Collection Administrators ). Eigenaren van organisaties zijn automatisch lid van deze groep. U kunt ook beschikken over de volgende controlemachtigingen per gebruiker of groep:

  • Controlestromen beheren
  • Auditlogboek weergeven

Schermopname van de controlemachtigingen voor instellingen voor Toestaan.

PCA's kunnen deze machtigingen verlenen aan gebruikers of groepen voor het beheren van organisatiestreams via beveiligingsmachtigingen> voor organisatie-instellingen>. PCA's kunnen ook de machtiging Controlestromen verwijderen toewijzen.

Notitie

Als de functie Zichtbaarheid en samenwerking van gebruikers beperken tot specifieke projecten preview is ingeschakeld voor de organisatie, kunnen gebruikers in de groep Gebruikers met projectbereik de controle niet bekijken en hebben beperkte zichtbaarheid op de pagina's met organisatie-instellingen. Zie De zichtbaarheid van gebruikers voor projecten en meer beperken voor meer informatie en belangrijke beveiligingsdetails.

Een stream maken

  1. Meld u aan bij uw organisatie (https://dev.azure.com/{Your_Organization}).

  2. Selecteer tandwielpictogram Organisatie-instellingen.

    Schermopname van de gemarkeerde knop Organisatie-instellingen.

  3. Selecteer Controle.

    Controle selecteren in organisatie-instellingen

Notitie

Als u Controle niet ziet in Organisatie-instellingen, is controle momenteel niet ingeschakeld voor uw organisatie. Iemand in de groep eigenaar van de organisatie of beheerder van projectverzamelingen (PCA's) moet Controle in organisatiebeleid inschakelen. Vervolgens kunt u gebeurtenissen zien op de pagina Controle als u over de juiste machtigingen beschikt.

  1. Ga naar het tabblad Streams en selecteer vervolgens Nieuwe stream.

    Selecteer Nieuwe stream om uw nieuwe controlestroom te maken.

  2. Selecteer het streamdoel dat u wilt configureren en selecteer vervolgens in de volgende instructies om uw streamdoeltype in te stellen.

Notitie

Op dit moment kunt u slechts 2 streams voor elk doeltype hebben.

Pop-out voor het dialoogvenster Stroom maken

Een Splunk-stream instellen

Streams verzenden gegevens naar Splunk via het HTTP Event Collector-eindpunt.

  1. Schakel deze functie in in Splunk. Raadpleeg deze Splunk-documentatie voor meer informatie.

    Als dit is ingeschakeld, moet u een HTTP Event Collector-token en de URL naar uw Splunk-exemplaar hebben. U hebt zowel het token als de URL nodig om een Splunk-stream te maken.

    Notitie

    Wanneer u een nieuw Token voor gebeurtenisverzamelaar maakt in Splunk, schakelt u 'Bevestiging van indexeerfunctie inschakelen' niet in. Als dit is ingeschakeld, stromen er geen gebeurtenissen naar Splunk. U kunt het token in Splunk bewerken om die instelling te verwijderen.

  2. Voer uw Splunk-URL in. Dit is de aanwijzer naar uw Splunk-exemplaar. Zorg ervoor dat u een poort opgeeft aan het einde van de URL. De standaardpoort is 8088, zodat uw URL vergelijkbaar is met https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 of https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Voer het token voor de gebeurtenisverzamelaar in dat u hebt gemaakt in het tokenveld. Het token wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. We raden u aan het token regelmatig te draaien, wat u kunt doen door een nieuw token op te halen uit Splunk en de stream te bewerken.

    Voer het onderwerpeindpunt en de toegangssleutel in die u eerder hebt genoteerd

  4. Selecteer Set up.

Uw stream wordt geconfigureerd en gebeurtenissen beginnen binnen een half uur of minder op Splunk te komen.

Een Event Grid-stream instellen

  1. Een Event Grid-onderwerp maken in Azure.

Notitie

Ga naar het tabblad Geavanceerd en zorg ervoor dat het gebeurtenisschema is ingesteld op Event Grid-schema. Andere schema's worden niet ondersteund door Azure DevOps.

  1. Noteer het onderwerpeindpunt en een van de twee toegangssleutels. Gebruik deze informatie om de Event Grid-verbinding te maken.

    Informatie over Azure Event Grid

  2. Voer het eindpunt van het onderwerp en een van de toegangssleutels in. De toegangssleutel wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. Draai de toegangssleutel regelmatig, wat u kunt doen door een nieuwe sleutel op te halen uit Azure Event Grid en de stream te bewerken

    Voer de werkruimte-id en primaire sleutel in die u wilt maken

Zodra uw Event Grid-stream is geconfigureerd, kunt u abonnementen instellen op Event Grid om de gegevens bijna overal in Azure te verzenden.

Een Azure Monitor-logboekstream instellen

  1. Maak een Log Analytics-werkruimte.

  2. Open de werkruimte en selecteer Agents.

  3. Selecteer de instructies van de Log Analytics-agent om de werkruimte-id en primaire sleutel weer te geven.

  4. Noteer de werkruimte-id en primaire sleutel.

    Noteer de werkruimte-id en primaire sleutel

  5. Stel uw Azure Monitor-logboekstream in door dezelfde initiële stappen te doorlopen om een stream te maken.

  6. Voor doelopties selecteert u Azure Monitor-logboeken.

  7. Voer de werkruimte-id en primaire sleutel in en selecteer Instellen. De primaire sleutel wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. Draai de sleutel regelmatig, wat u kunt doen door een nieuwe sleutel op te halen uit het Azure Monitor-logboek en de stream te bewerken.

    Voer de werkruimte-id en primaire sleutel in en selecteer Instellen.

De stream is ingeschakeld en nieuwe gebeurtenissen beginnen binnen een half uur of minder te stromen. U kunt verwijzen naar de tabel AzureDevOpsAuditing.

Notitie

De standaardretentietijd voor Azure Monitor-logboeken is alleen 30 dagen. U kunt langere retentie configureren en kiezen door Gegevensretentie te selecteren onder Gebruik en geschatte kosten in uw werkruimte-instellingen. Hiervoor worden extra kosten in rekening gebracht. Raadpleeg de documentatie voor het beheren van gebruik en kosten met Azure Monitor-logboeken voor meer informatie.

Een stream bewerken

Details over uw streamdoel kunnen na verloop van tijd veranderen. Als u deze wijzigingen in uw streams wilt weergeven, kunt u ze bewerken. Als u een stream wilt bewerken, moet u de machtiging Controlestromen beheren hebben.

  1. Naast de stroom die u wilt bewerken, selecteert u de verticale drie puntjes uiterst rechts en selecteert u Stroom bewerken.

    Stream bewerken selecteren

  2. Selecteer Opslaan.

Parameters die beschikbaar zijn voor bewerken verschillen per stroomtype.

Een stream uitschakelen

  1. Verplaats de wisselknop Ingeschakeld van Aan naar Uit naast de stroom die u wilt uitschakelen.
    Wanneer streams een fout tegenkomen, worden ze mogelijk uitgeschakeld. U kunt details over de fout ophalen uit de status die naast de stream wordt weergegeven of door De stroom bewerken te selecteren. U kunt een stream ook handmatig uitschakelen en deze later opnieuw inschakelen.

    Wisselknop naar Uit verplaatsen om stream uit te schakelen

  2. Selecteer Opslaan.

U kunt een uitgeschakelde stream opnieuw inschakelen. Het haalt alle controlegebeurtenissen op die tot de afgelopen zeven dagen zijn gemist. Op die manier mist u geen gebeurtenissen van de duur dat de stream is uitgeschakeld.

Notitie

Gebeurtenissen ouder dan 7 dagen worden niet opgenomen in de inhaalbewerking als een stream langer dan 7 dagen is uitgeschakeld.

Een stream verwijderen

Als u een stream wilt verwijderen, moet u de machtiging Controlestromen verwijderen hebben.

Belangrijk

Zodra u een stream hebt verwijderd, kunt u deze niet meer terughalen.

  1. Beweeg de muisaanwijzer over de stroom die u wilt verwijderen en selecteer de verticale drie puntjes uiterst rechts.

  2. Selecteer Stream verwijderen.

    Selecteer Stream verwijderen en wordt verwijderd

  3. Selecteer Bevestigen.

Het systeem verwijdert uw stream. Niet-verzonden gebeurtenissen voordat de verwijdering niet wordt verzonden.