建立稽核串流
Azure DevOps Services
注意
稽核仍處於公開預覽狀態。
瞭解如何建立 稽核 數據流,以將數據傳送至其他位置以進行進一步處理。 將稽核數據傳送至其他安全性事件和事件管理 (SIEM) 工具,並開啟新的可能性,例如能夠觸發特定事件的警示、建立稽核數據的檢視,以及執行異常偵測。 設定數據流也可讓您儲存超過 90 天的稽核數據,這是 Azure DevOps 為組織保留的最大數據量。
重要
稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.
稽核數據流代表將稽核事件從 Azure DevOps 組織流至串流目標的管線。 每半小時或更少一次,新的稽核事件會組合並串流至您的目標。 下列數據流目標可用於設定。
- Splunk – 連線到內部部署或雲端式 Splunk。
- Azure 監視器記錄 - 將稽核記錄傳送至 Azure 監視器記錄。 您可以查詢儲存在 Azure 監視器記錄中的記錄,並設定警示。 尋找名為 AzureDevOpsAuditing 的數據表。 您也可以將Microsoft Sentinel 連線至工作區。
- Azure 事件方格 – 如果您想要將稽核記錄傳送到其他位置的案例,無論是在 Azure 內部還是外部,您都可以設定 Azure 事件方格 連線。
目前不支援私人連結工作區。
注意
稽核不適用於 Azure DevOps Server 的內部部署。 您可以將稽核串流連線到內部部署或雲端式 Splunk 實例,但請確定您允許輸入連線的 IP 範圍。 如需詳細資訊,請參閱 允許的位址清單和網路連線、IP 位址和範圍限制。
必要條件
所有 Azure DevOps Services 組織預設都會關閉稽核。 請確定只有獲授權的人員可以存取敏感性稽核資訊。
許可權:是專案集合管理員 (PCA) 群組的成員。 組織擁有者自動成為這個群組的成員。 或具有每個使用者或群組的下列稽核許可權:
- 管理稽核串流
- 檢視稽核記錄
PCA 可以授與這些許可權給任何使用者或群組,以透過組織設定>安全性>許可權來管理組織數據流。 PCA 也可以指派 刪除稽核 數據流許可權。
注意
如果已為組織啟用 [限制使用者可見度和共同作業至特定專案預覽功能],則 [專案範圍使用者] 群組中的使用者無法檢視稽核,且對 [組織設定] 頁面的可見性有限。 如需詳細資訊和重要的安全性相關詳細數據,請參閱 限制專案的用戶可見度等等。
建立數據流
登入您的組織 (
https://dev.azure.com/{Your_Organization}
)。選取 [組織設定]。
選取 [ 稽核]。
注意
如果您在 [組織設定] 中 看不到稽核 ,則目前尚未為您的組織啟用稽核。 組織擁有者或專案集合系統管理員 (PCA) 群組中的某人必須在 組織原則中啟用稽核 。 然後,如果您有適當的許可權,您將能夠在 [稽核] 頁面上看到事件。
移至 [ 串流] 索引 標籤,然後選取 [ 新增數據流]。
選取您想要設定的數據流目標,然後從下列指示中選取以設定數據流目標類型。
注意
此時,每個目標類型只能有 2 個數據流。
設定 Splunk 數據流
數據流會透過 HTTP 事件收集器端點將數據傳送至 Splunk。
在Splunk中啟用此功能。 如需詳細資訊,請參閱此 Splunk檔。
啟用之後,您應該會有 HTTP 事件收集器令牌和 Splunk 實例的 URL。 您需要令牌和 URL 才能建立 Splunk 數據流。
注意
當您在Splunk中建立新的事件收集器令牌時,請勿檢查 [啟用索引器通知]。 如果已核取,則不會有任何事件流入 Splunk。 您可以在 Splunk 中編輯令牌,以移除該設定。
輸入您的Splunk URL,這是Splunk實例的指標。 請確定您在 URL 結尾指定埠。 預設埠為
8088
,因此您的網址會類似於https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
或https://prd-p-2k3mp2xhznbs.splunkcloud.com
。輸入您在令牌欄位中建立的事件收集器令牌。 令牌會安全地儲存在 Azure DevOps 中,且永遠不會在 UI 中再次顯示。 建議您定期輪替令牌,方法是從Splunk取得新的令牌並編輯數據流。
選取 [設定]。
您的數據流已設定,且事件會在半小時內開始抵達 Splunk。
設定事件方格數據流
- 在 Azure 上建立事件方格主題。
注意
移至 [ 進階 ] 索引標籤,並確定 [事件架構] 已設定為 [事件方格架構]。 Azure DevOps 不支援其他架構。
記下「主題端點」和兩個「存取金鑰」的其中一個。 使用這項資訊來建立事件方格連線。
輸入主題端點和其中一個存取金鑰。 存取金鑰會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替存取金鑰,您可以從 Azure 事件方格 取得新的金鑰並編輯數據流,以執行此動作
設定事件方格數據流之後,您可以在事件方格上設定訂用帳戶,以在 Azure 中幾乎任何地方傳送數據。
設定 Azure 監視器記錄數據流
開啟工作區,然後選取 [代理程式]。
選取 Log Analytics 代理程式指示 ,以檢視工作區標識碼和主鍵。
記下工作區標識碼和主鍵。
請繼續執行相同的初始步驟來建立數據流,以設定您的 Azure 監視器記錄數據流。
針對目標選項,選取 [Azure 監視器記錄]。
輸入工作區標識碼和主鍵,然後選取 [ 設定]。 主鍵會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替金鑰,您可以從 Azure 監視器記錄取得新的金鑰並編輯串流來執行此動作。
數據流已啟用,新的事件會在半小時內開始流動。 您可以參考 AzureDevOpsAuditing 數據表。
注意
Azure 監視器記錄的預設保留時間為 30 天。 您可以在工作區設定中選取 [使用量] 底下的 [數據保留] 和 [預估成本],來設定並選擇較長的保留期。 這會產生額外費用。 如需詳細資訊,請參閱檔以使用 Azure 監視器記錄來管理使用量和成本。
編輯數據流
串流目標的詳細數據可能會隨著時間而變更。 若要在數據流中反映這些變更,您可以編輯這些變更。 若要編輯數據流,請確定您具有 管理稽核 數據流許可權。
在您想要編輯的數據流旁邊,選取最右邊的垂直三個點,然後選取 [ 編輯數據流]。
選取儲存。
可用於編輯的參數會因數據流類型而異。
停用數據流
在您要停用的數據流旁邊,將 [已啟用] 切換開關從 [開啟] 移至 [關閉]。
當數據流發生失敗時,它們可能會停用。 您可以從數據流旁顯示的狀態,或選取 [編輯數據流] 來取得失敗的詳細數據。 您也可以手動停用數據流,然後稍後重新啟用。選取儲存。
您可以重新啟用已停用的數據流。 它會趕上過去七天錯過的任何稽核事件。 如此一來,您就不會錯過數據流停用期間的任何事件。
注意
如果串流停用超過 7 天,則超過 7 天的事件不會包含在追補中。
刪除數據流
若要刪除數據流,請確定您具有 [刪除稽核 數據流] 許可權。
重要
刪除數據流之後,就無法將其取回。
將滑鼠停留在您想要刪除的數據流上,然後選取最右邊的垂直三個點。
選取 [ 刪除數據流]。
選取確認。
系統會移除您的數據流。 刪除前的任何未傳送事件不會傳送。