Udostępnij za pośrednictwem


Tworzenie przesyłania strumieniowego inspekcji

Azure DevOps Services

Uwaga

Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.

Dowiedz się, jak utworzyć strumień inspekcji , który wysyła dane do innych lokalizacji w celu dalszego przetwarzania. Wysyłanie danych inspekcji do innych narzędzi do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM) i otwieranie nowych możliwości, takich jak możliwość wyzwalania alertów dla określonych zdarzeń, tworzenia widoków dotyczących danych inspekcji i wykrywania anomalii. Skonfigurowanie strumienia umożliwia również przechowywanie ponad 90-dniowych danych inspekcji, co jest maksymalną ilością danych przechowywanych przez usługę Azure DevOps dla organizacji.

Ważne

Inspekcja jest dostępna tylko dla organizacji wspieranych przez identyfikator Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Łączenie organizacji z identyfikatorem entra firmy Microsoft.

Strumienie inspekcji reprezentują potok, który przepływa zdarzenia inspekcji z organizacji usługi Azure DevOps do celu strumienia. Co pół godziny lub mniej nowe zdarzenia inspekcji są pakowane i przesyłane strumieniowo do celów. Następujące elementy docelowe strumienia są dostępne dla konfiguracji.

  • Splunk — nawiązywanie połączenia z rozwiązaniem Splunk opartym na środowisku lokalnym lub w chmurze.
  • Dzienniki usługi Azure Monitor — wysyłanie dzienników inspekcji do dzienników usługi Azure Monitor. Dzienniki przechowywane w dziennikach usługi Azure Monitor można wykonywać zapytania i konfigurować alerty. Wyszukaj tabelę o nazwie AzureDevOpsAuditing. Możesz również połączyć usługę Microsoft Sentinel z obszarem roboczym.
  • Azure Event Grid — w scenariuszach, w których dzienniki inspekcji mają być wysyłane w innym miejscu, niezależnie od tego, czy znajdują się na platformie Azure, czy poza nią, możesz skonfigurować połączenie usługi Azure Event Grid .

Prywatne połączone obszary robocze nie są obecnie obsługiwane.

Uwaga

Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych serwera Azure DevOps Server. Istnieje możliwość połączenia strumienia inspekcji z lokalnym lub opartym na chmurze wystąpieniem rozwiązania Splunk, ale upewnij się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.

Wymagania wstępne

Inspekcja jest domyślnie wyłączona dla wszystkich organizacji usługi Azure DevOps Services. Upewnij się, że tylko autoryzowani pracownicy mają dostęp do poufnych informacji inspekcji.

Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów (PCA). Właściciele organizacji są automatycznie członkami tej grupy. Lub mają następujące uprawnienia inspekcji na użytkownika lub grupę:

  • Zarządzanie strumieniami inspekcji
  • Wyświetlanie dziennika inspekcji

Zrzut ekranu przedstawiający uprawnienia inspekcji ustawień do pozycji Zezwalaj.

Umowy PCA mogą udzielić tych uprawnień dowolnym użytkownikom lub grupom do zarządzania strumieniami organizacji za pośrednictwem ustawień>zabezpieczeń> organizacji. PcAs mogą również przypisać uprawnienie Usuwanie strumieni inspekcji .

Uwaga

Jeśli dla organizacji jest włączona funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej, użytkownicy w grupie Użytkownicy o zakresie projektu nie mogą wyświetlać inspekcji i mają ograniczony wgląd na strony ustawień organizacji. Aby uzyskać więcej informacji i ważnych szczegółów związanych z zabezpieczeniami, zobacz Ograniczanie widoczności użytkowników dla projektów i nie tylko.

Tworzenie strumienia

  1. Zaloguj się do swojej organizacji (https://dev.azure.com/{Your_Organization}).

  2. Wybierz pozycję ikona koła zębatego Ustawienia organizacji.

    Zrzut ekranu przedstawiający wyróżniony przycisk Ustawienia organizacji.

  3. Wybierz pozycję Inspekcja.

    Wybierz pozycję Inspekcja w ustawieniach organizacji

Uwaga

Jeśli nie widzisz inspekcji w ustawieniach organizacji, inspekcja nie jest obecnie włączona dla organizacji. Osoba w organizacji właściciel lub administratorzy kolekcji projektów (PCA) musi włączyć inspekcję w zasadach organizacji. Następnie będzie można zobaczyć zdarzenia na stronie Inspekcja, jeśli masz odpowiednie uprawnienia.

  1. Przejdź do karty Strumienie , a następnie wybierz pozycję Nowy strumień.

    Wybierz pozycję Nowy strumień, aby utworzyć nowy strumień inspekcji.

  2. Wybierz docelowy strumień, który chcesz skonfigurować, a następnie wybierz z poniższych instrukcji, aby skonfigurować typ docelowy strumienia.

Uwaga

Obecnie można mieć tylko 2 strumienie dla każdego typu docelowego.

Okno dialogowe Tworzenie strumienia — wyskakujące okienko

Konfigurowanie strumienia Splunk

Strumienie wysyłają dane do funkcji Splunk za pośrednictwem punktu końcowego modułu zbierającego zdarzenia HTTP.

  1. Włącz tę funkcję w narzędziu Splunk. Aby uzyskać więcej informacji, zobacz tę dokumentację splunk.

    Po włączeniu należy mieć token modułu zbierającego zdarzenia HTTP i adres URL wystąpienia splunk. Aby utworzyć strumień splunk, potrzebny jest zarówno token, jak i adres URL.

    Uwaga

    Podczas tworzenia nowego tokenu modułu zbierającego zdarzenia w narzędziu Splunk nie sprawdzaj opcji "Włącz potwierdzenie indeksatora". Jeśli jest zaznaczone, żadne zdarzenia nie przepływają do splunku. Możesz edytować token w narzędziu Splunk, aby usunąć to ustawienie.

  2. Wprowadź adres URL splunk, który jest wskaźnikiem do wystąpienia splunk. Upewnij się, że na końcu adresu URL określono port. Domyślny port to 8088, więc adres URL będzie podobny do https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 lub https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Wprowadź token modułu zbierającego zdarzenia utworzone w polu tokenu. Token jest przechowywany bezpiecznie w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Zalecamy regularne obracanie tokenu, co można zrobić, uzyskując nowy token z narzędzia Splunk i edytując strumień.

    Wprowadź zanotowany wcześniej punkt końcowy tematu i klucz dostępu

  4. Wybierz pozycję Set up (Konfiguracja).

Strumień jest konfigurowany, a zdarzenia zaczynają pojawiać się na splunku w ciągu pół godziny lub mniej.

Konfigurowanie strumienia usługi Event Grid

  1. Tworzenie tematu usługi Event Grid na platformie Azure.

Uwaga

Przejdź do karty Zaawansowane i upewnij się, że schemat zdarzeń jest ustawiony na Schemat usługi Event Grid. Inne schematy nie są obsługiwane przez usługę Azure DevOps.

  1. Zanotuj punkt końcowy tematu i jeden z dwóch "kluczy dostępu". Użyj tych informacji, aby utworzyć połączenie usługi Event Grid.

    Informacje o usłudze Azure Event Grid

  2. Wprowadź punkt końcowy tematu i jeden z kluczy dostępu. Klucz dostępu jest bezpiecznie przechowywany w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Regularnie obracaj klucz dostępu, co można zrobić, uzyskując nowy klucz z usługi Azure Event Grid i edytując strumień

    Wprowadź identyfikator obszaru roboczego i klucz podstawowy do utworzenia

Po skonfigurowaniu strumienia usługi Event Grid możesz skonfigurować subskrypcje w usłudze Event Grid, aby wysyłać dane niemal w dowolnym miejscu na platformie Azure.

Konfigurowanie strumienia dziennika usługi Azure Monitor

  1. Utwórz obszar roboczy usługi Log Analytics.

  2. Otwórz obszar roboczy i wybierz pozycję Agenci.

  3. Wybierz instrukcje agenta usługi Log Analytics, aby wyświetlić identyfikator obszaru roboczego i klucz podstawowy.

  4. Zanotuj identyfikator obszaru roboczego i klucz podstawowy.

    Zanotuj identyfikator obszaru roboczego i klucz podstawowy

  5. Skonfiguruj strumień dzienników usługi Azure Monitor, wykonując te same początkowe kroki, aby utworzyć strumień.

  6. W obszarze opcje docelowe wybierz pozycję Dzienniki usługi Azure Monitor.

  7. Wprowadź identyfikator obszaru roboczego i klucz podstawowy, a następnie wybierz pozycję Skonfiguruj. Klucz podstawowy jest bezpiecznie przechowywany w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Regularnie obracaj klucz, co można zrobić, uzyskując nowy klucz z dziennika usługi Azure Monitor i edytując strumień.

    Wprowadź identyfikator obszaru roboczego i klucz podstawowy, a następnie wybierz pozycję Skonfiguruj.

Strumień jest włączony, a nowe zdarzenia zaczynają przepływać w ciągu pół godziny lub mniej. Możesz odwołać się do tabeli AzureDevOpsAuditing.

Uwaga

Domyślny czas przechowywania dzienników usługi Azure Monitor wynosi tylko 30 dni. Możesz skonfigurować i wybrać dłuższy okres przechowywania, wybierając pozycję Przechowywanie danych w obszarze Użycie i szacowane koszty w ustawieniach obszaru roboczego. Spowoduje to naliczanie dodatkowych opłat. Zapoznaj się z dokumentacją, aby zarządzać użyciem i kosztami za pomocą dzienników usługi Azure Monitor, aby uzyskać więcej informacji.

Edytowanie strumienia

Szczegółowe informacje o docelowym strumieniu mogą ulec zmianie w czasie. Aby odzwierciedlić te zmiany w strumieniach, możesz je edytować. Aby edytować strumień, upewnij się, że masz uprawnienie Zarządzanie strumieniami inspekcji .

  1. Obok strumienia, który chcesz edytować, wybierz pionową trzy kropki po prawej stronie, a następnie wybierz pozycję Edytuj strumień.

    Wybieranie pozycji Edytuj strumień

  2. Wybierz pozycję Zapisz.

Parametry dostępne do edycji różnią się w zależności od typu strumienia.

Wyłączanie strumienia

  1. Obok strumienia, który chcesz wyłączyć, przenieś przełącznik Włączone z pozycji Włączone do wyłączonej.
    Gdy strumienie napotkają błąd, mogą zostać wyłączone. Możesz uzyskać szczegółowe informacje na temat błędu ze stanu wyświetlanego obok strumienia lub wybierając pozycję Edytuj strumień. Możesz również ręcznie wyłączyć strumień, a następnie ponownie włączyć go później.

    Przełącz do pozycji Wył., aby wyłączyć strumień

  2. Wybierz pozycję Zapisz.

Możesz ponownie włączyć wyłączony strumień. Nadrabia zaległe zdarzenia inspekcji, które zostały pominięte przez maksymalnie siedem poprzednich dni. Dzięki temu nie przegapisz żadnych zdarzeń z czasu trwania wyłączenia strumienia.

Uwaga

Zdarzenia starsze niż 7 dni nie są uwzględniane w nadrabianiu zaległości, jeśli strumień jest wyłączony przez więcej niż 7 dni.

Usuwanie strumienia

Aby usunąć strumień, upewnij się, że masz uprawnienie Usuń strumienie inspekcji .

Ważne

Po usunięciu strumienia nie będzie można go odzyskać.

  1. Umieść kursor na strumieniu, który chcesz usunąć, i wybierz pionową trzy kropki po prawej stronie.

  2. Wybierz pozycję Usuń strumień.

    Wybierz pozycję Usuń strumień i zostanie usunięty

  3. Wybierz pozycję Potwierdź.

System usuwa strumień. Wszelkie niesprawdzone zdarzenia przed usunięciem nie zostaną wysłane.