Dela via

Skapa granskningsströmning

  • Artikel

Azure DevOps Services

Kommentar

Granskning är fortfarande i offentlig förhandsversion.

Lär dig hur du skapar en granskningsström som skickar data till andra platser för vidare bearbetning. Skicka granskningsdata till andra SIEM-verktyg (Security Incident and Event Management) och öppna nya möjligheter, till exempel möjligheten att utlösa aviseringar för specifika händelser, skapa vyer för granskningsdata och utföra avvikelseidentifiering. När du konfigurerar en dataström kan du också lagra granskningsdata för mer än 90 dagar, vilket är den maximala mängden data som Azure DevOps behåller för dina organisationer.

Viktigt!

Granskning är endast tillgängligt för organisationer som backas upp av Microsoft Entra-ID. Mer information finns i Ansluta din organisation till Microsoft Entra-ID.

Granskningsströmmar representerar en pipeline som flödar granskningshändelser från din Azure DevOps-organisation till ett strömmål. Varje halvtimme eller mindre paketeras nya granskningshändelser och strömmas till dina mål. Följande strömmål är tillgängliga för konfiguration.

  • Splunk – Anslut till lokal eller molnbaserad Splunk.
  • Azure Monitor-loggar – Skicka granskningsloggar till Azure Monitor-loggar. Loggar som lagras i Azure Monitor-loggar kan efterfrågas och få aviseringar konfigurerade. Leta efter tabellen med namnet AzureDevOpsAuditing. Du kan också ansluta Microsoft Sentinel till din arbetsyta.
  • Azure Event Grid – För scenarier där du vill att dina granskningsloggar ska skickas någon annanstans, oavsett om du befinner dig i eller utanför Azure, kan du konfigurera en Azure Event Grid-anslutning .

Privata länkade arbetsytor stöds inte i dag.

Kommentar

Granskning är inte tillgängligt för lokala distributioner av Azure DevOps Server. Det går att ansluta en granskningsström till en lokal eller molnbaserad instans av Splunk, men se till att du tillåter IP-intervall för inkommande anslutningar. Mer information finns i Tillåtna adresslistor och nätverksanslutningar, IP-adresser och intervallbegränsningar.

Förutsättningar

Granskning är inaktiverat som standard för alla Azure DevOps Services-organisationer. Se till att endast behörig personal har åtkomst till känslig granskningsinformation.

Behörigheter: Vara medlem i gruppen Administratörer för projektsamling (PCA). Organisationsägare är automatiskt medlemmar i den här gruppen. Eller ha följande granskningsbehörigheter per användare eller grupp:

  • Hantera granskningsströmmar
  • Visa granskningslogg

Skärmbild som visar inställningar för granskningsbehörigheter till Tillåt.

PCA:er kan bevilja dessa behörigheter till alla användare eller grupper för att hantera organisationsströmmar via Säkerhetsbehörigheter >för organisationsinställningar>. PCA:er kan också tilldela behörigheten Ta bort granskningsströmmar .

Kommentar

Om funktionen Begränsa användarens synlighet och samarbete för specifika projekt för förhandsversion är aktiverad för organisationen kan användare i gruppen Project-Scoped Users inte visa granskning och ha begränsad insyn på sidan Organisationsinställningar. Mer information och viktig säkerhetsrelaterad information finns i Begränsa användarnas synlighet för projekt med mera.

Skapa en ström

  1. Logga in på organisationen (https://dev.azure.com/{Your_Organization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild som visar den markerade knappen Organisationsinställningar.

  3. Välj Granskning.

    Välj Granskning i organisationsinställningar

Kommentar

Om du inte ser granskning i organisationsinställningar är granskning för närvarande inte aktiverat för din organisation. Någon i gruppen organisationsägare eller projektsamlingsadministratörer måste aktivera granskning i organisationsprinciper. Sedan kan du se händelser på sidan Granskning om du har rätt behörigheter.

  1. Gå till fliken Strömmar och välj sedan Ny ström.

    Välj Ny ström för att skapa din nya granskningsström.

  2. Välj det strömmål som du vill konfigurera och välj sedan följande instruktioner för att konfigurera din dataströmmåltyp.

Kommentar

För närvarande kan du bara ha 2 strömmar för varje måltyp.

Dialogrutan Skapa din dataström visas

Konfigurera en Splunk-ström

Strömmar skickar data till Splunk via HTTP-händelseinsamlarens slutpunkt.

  1. Aktivera den här funktionen i Splunk. Mer information finns i den här Splunk-dokumentationen.

    När du är aktiverad bör du ha en HTTP-händelseinsamlaretoken och URL:en till din Splunk-instans. Du behöver både token och URL för att skapa en Splunk-ström.

    Kommentar

    När du skapar en ny händelseinsamlaretoken i Splunk kontrollerar du inte "Aktivera indexerarens bekräftelse". Om den är markerad flödar inga händelser till Splunk. Du kan redigera token i Splunk för att ta bort den inställningen.

  2. Ange din Splunk-URL, som är pekaren till din Splunk-instans. Se till att du anger en port i slutet av URL:en. Standardporten är 8088, så din URL skulle likna https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 eller https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Ange den händelseinsamlaretoken som du skapade i tokenfältet. Token lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Vi rekommenderar att du roterar token regelbundet, vilket du kan göra genom att hämta en ny token från Splunk och redigera strömmen.

    Ange ämnesslutpunkt och åtkomstnyckel som du antecknade tidigare

  4. Välj Konfigurera.

Strömmen konfigureras och händelser börjar komma in på Splunk inom en halvtimme eller mindre.

Konfigurera en Event Grid-ström

  1. Skapa ett Event Grid-ämne i Azure.

Kommentar

Gå till fliken Avancerat och kontrollera att händelseschemat är inställt på Event Grid-schema. Andra scheman stöds inte av Azure DevOps.

  1. Anteckna "Ämnesslutpunkt" och en av de två "åtkomstnycklarna". Använd den här informationen för att skapa Event Grid-anslutningen.

    Information om Azure Event Grid

  2. Ange ämnesslutpunkten och en av åtkomstnycklarna. Åtkomstnyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera åtkomstnyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Event Grid och redigera dataströmmen

    Ange arbetsyte-ID och primärnyckel för att skapa

När du har konfigurerat Event Grid-strömmen kan du konfigurera prenumerationer på Event Grid för att skicka data nästan var som helst i Azure.

Konfigurera en Azure Monitor-loggström

  1. Skapa en Log Analytics-arbetsyta.

  2. Öppna arbetsytan och välj Agenter.

  3. Välj Log Analytics-agentinstruktioner för att visa arbetsytans ID och primärnyckel.

  4. Anteckna arbetsytans ID och primärnyckel.

    Anteckna arbetsyte-ID och primärnyckel

  5. Konfigurera azure monitor-loggströmmen genom att fortsätta med samma inledande steg för att skapa en dataström.

  6. För målalternativ väljer du Azure Monitor-loggar.

  7. Ange arbetsytans ID och primärnyckel och välj sedan Konfigurera. Den primära nyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera nyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Monitor-loggen och redigera dataströmmen.

    Ange arbetsyte-ID och primärnyckel och välj sedan Konfigurera.

Strömmen är aktiverad och nya händelser börjar flöda inom en halvtimme eller mindre. Du kan referera till tabellen AzureDevOpsAuditing.

Kommentar

Standardtiden för kvarhållning för Azure Monitor-loggar är endast 30 dagar. Du kan konfigurera och välja längre kvarhållning genom att välja Datakvarhållning under Användning och uppskattade kostnader i dina arbetsyteinställningar. Detta medför ytterligare avgifter. Mer information finns i dokumentationen för att hantera användning och kostnader med Azure Monitor-loggar.

Redigera en dataström

Information om ditt stream-mål kan ändras med tiden. Om du vill återspegla dessa ändringar i dina strömmar kan du redigera dem. Om du vill redigera en dataström kontrollerar du att du har behörigheten Hantera granskningsströmmar .

  1. Bredvid den ström som du vill redigera väljer du de tre lodräta punkterna längst till höger och väljer sedan Redigera ström.

    Välj Redigera ström

  2. Välj Spara.

De parametrar som är tillgängliga för redigering skiljer sig åt per strömtyp.

Inaktivera en ström

  1. Bredvid den ström som du vill inaktivera flyttar du växlingsknappen Aktiverad från till Av.
    När strömmar påträffar ett fel kan de inaktiveras. Du kan få information om felet från statusen som visas bredvid strömmen eller genom att välja Redigera ström. Du kan också inaktivera en ström manuellt och sedan återaktivera den senare.

    Växla till Av för att inaktivera strömmen

  2. Välj Spara.

Du kan återaktivera en inaktiverad ström. Den kommer ikapp alla granskningshändelser som missats i upp till de föregående sju dagarna. På så sätt missar du inte några händelser från den tid som strömmen inaktiverades.

Kommentar

Händelser som är äldre än 7 dagar ingår inte i komma ikapp om en dataström är inaktiverad i mer än 7 dagar.

Ta bort en dataström

Om du vill ta bort en dataström kontrollerar du att du har behörigheten Ta bort granskningsströmmar .

Viktigt!

När du har tagit bort en ström kan du inte få tillbaka den.

  1. Hovra över strömmen som du vill ta bort och välj de tre lodräta punkterna längst till höger.

  2. Välj Ta bort ström.

    Välj Ta bort ström och den tas bort

  3. Välj Bekräfta.

Systemet tar bort strömmen. Alla osedda händelser innan borttagningen skickas inte.