Vytvoření streamování auditu

Azure DevOps Services | Azure DevOps Server 2022

Poznámka

Auditování je stále ve verzi Public Preview.

Zjistěte, jak vytvořit stream auditu , který odesílá data do jiných umístění pro další zpracování. Odešlete data auditování do jiných nástrojů siEM (Security Incident and Event Management) a otevřete nové možnosti, jako je například možnost aktivovat výstrahy pro konkrétní události, vytvářet zobrazení dat auditování a provádět detekci anomálií. Nastavení datového proudu také umožňuje ukládat data o auditování za více než 90 dnů, což je maximální množství dat, která Azure DevOps uchovává pro vaše organizace.

Důležité

Auditování je dostupné jenom pro organizace, které využívají Azure Active Directory. Další informace najdete v tématu Připojení organizace k Azure Active Directory.

Streamy auditu představují kanál, který proudí události auditu z vaší organizace Azure DevOps do cíle datového proudu. Každou půlhodinu nebo méně jsou nové události auditu seskupené a streamované do vašich cílů. Pro konfiguraci jsou k dispozici následující cíle datových proudů.

Soukromé propojené pracovní prostory se dnes nepodporují.

Poznámka

Auditování není dostupné pro místní nasazení Azure DevOps Server. Stream auditu je možné připojit k místní nebo cloudové instanci Splunku, ale ujistěte se, že povolíte rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Povolené seznamy adres a síťová připojení, IP adresy a omezení rozsahu.

Požadavky

Ve výchozím nastavení jsou správci kolekcí projektů (PCA) jedinou skupinou, která má přístup k funkci auditování. Musíte mít následující oprávnění:

  • Správa streamů auditu

  • Zobrazení protokolu auditu

    Nastavení oprávnění auditu na Povolit

Tato oprávnění je možné udělit všem uživatelům nebo skupinám, které chcete spravovat streamy vaší organizace. Kromě toho existuje také oprávnění k odstranění streamů auditu , která můžete přidat pro uživatele nebo skupiny.

Vytvoření datového proudu

  1. Přihlaste se k vaší organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte nastavení organizace s ikonou ozubeného kolečka.

    Snímek obrazovky se zvýrazněným tlačítkem Nastavení organizace

  3. Vyberte Auditování.

    Výběr auditování v nastavení organizace

Poznámka

Pokud v nastavení organizace nevidíte auditování , auditování není pro vaši organizaci aktuálně povolené. Někdo ve skupině vlastníka organizace nebo správce kolekcí projektů (PCA) musí povolit auditování v zásadách organizace. Události pak uvidíte na stránce Auditování, pokud máte příslušná oprávnění.

  1. Přejděte na kartu Streams a pak vyberte Nový datový proud.

    Výběrem možnosti Nový datový proud vytvořte nový stream auditování.

  2. Vyberte cíl datového proudu, který chcete nakonfigurovat, a pak podle následujících pokynů nastavte cílový typ streamu.

Poznámka

V tuto chvíli můžete mít pro každý cílový typ pouze 2 streamy.

Otevře se dialogové okno Pro vytvoření streamu

Nastavení streamu Splunk

Streamy odesílají data do Splunku prostřednictvím koncového bodu kolektoru událostí HTTP.

  1. Povolte tuto funkci ve Splunku. Další informace najdete v této dokumentaci ke splunku.

    Po povolení byste měli mít token kolektoru událostí HTTP a adresu URL vaší instance Splunk. K vytvoření streamu Splunk potřebujete token i adresu URL.

    Poznámka

    Při vytváření nového tokenu Kolekce událostí ve Splunku nekontrolujte "Povolit potvrzení indexeru". Pokud je zaškrtnuté, do Splunku se neprotékají žádné události. Token v Splunku můžete upravit tak, aby se toto nastavení odebralo.

  2. Zadejte adresu URL splunku, což je ukazatel na vaši instanci Splunk. Ujistěte se, že jste na konci adresy URL zadali port. Výchozí port je 8088, takže vaše adresa URL by byla podobná https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088.

  3. Zadejte token kolektoru událostí, který jste vytvořili do pole tokenu. Token se bezpečně uloží v Rámci Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Doporučujeme pravidelně obměnovat token, který můžete udělat tak, že získáte nový token ze splunku a upravíte stream.

    Zadejte koncový bod tématu a přístupový klíč, který jste si poznamenali dříve.

  4. Vyberte Nastavit a nakonfigurovaný datový proud.

Události začínají dojet na Splunk do půl hodiny nebo méně.

Nastavení streamu Event Gridu

  1. Vytvořte téma Event Gridu v Azure.

  2. Poznamenejte si koncový bod tématu a jeden ze dvou přístupových klíčů. Tyto informace použijte k vytvoření připojení Event Gridu.

    Azure Event Grid informace

  3. Zadejte koncový bod tématu a jeden z přístupových klíčů. Přístupový klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Obměna přístupového klíče pravidelně, což můžete udělat tak, že získáte nový klíč z Azure Event Grid a upravíte stream.

    Zadejte ID pracovního prostoru a primární klíč, který chcete vytvořit.

Jakmile máte datový proud Event Gridu nakonfigurovaný, můžete v Event Gridu nastavit předplatná tak, aby odesílala data téměř kdekoli v Azure.

Nastavení streamu protokolů služby Azure Monitor

  1. Vytvořte pracovní prostor služby Log Analytics.

  2. Otevřete pracovní prostor a vyberte Správa agentů.

  3. Poznamenejte si ID pracovního prostoru a primární klíč.

    Poznamenejte si ID pracovního prostoru a primární klíč.

  4. Nastavte stream protokolu služby Azure Monitor tak, že projdete stejnými počátečními kroky a vytvoříte datový proud.

  5. U cílových možností vyberte protokoly služby Azure Monitor.

  6. Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit. Primární klíč je bezpečně uložený v Rámci Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Klíč můžete pravidelně otáčet tím, že získáte nový klíč z protokolu služby Azure Monitor a upravíte stream.

    Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit.

Datový proud je povolený a nové události začnou proudit do půl hodiny nebo méně. Na tabulku AzureDevOpsAuditing můžete odkazovat.

Poznámka

Výchozí doba uchovávání protokolů služby Azure Monitor je pouze 30 dnů. Můžete nakonfigurovat a zvolit delší uchovávání tak, že v nastavení pracovního prostoru vyberete Možnost Uchovávání datv části Využití a odhadované náklady . Za to se účtují další poplatky. Další podrobnosti najdete v dokumentaci ke správě využití a nákladů pomocí protokolů služby Azure Monitor.

Úprava streamu

Podrobnosti o cíli streamu se můžou v průběhu času změnit. Pokud chcete tyto změny v datových proudech odrážet, můžete je upravit. Pokud chcete stream upravit, ujistěte se, že máte oprávnění Spravovat streamy auditu .

  1. Vedle datového proudu, který chcete upravit, vyberte svislé tři tečky úplně vpravo a pak vyberte Upravit stream.

    Výběr možnosti Upravit stream

  2. Vyberte Uložit.

Parametry dostupné pro úpravy se liší podle typu datového proudu.

Zakázání datového proudu

  1. Vedle datového proudu, který chcete zakázat, přesuňte přepínač Povoleno z Zapnuto na Vypnuto.
    Když dojde k selhání datových proudů, můžou se zakázat. Podrobnosti o selhání můžete získat ze stavu zobrazeného vedle streamu nebo výběrem možnosti Upravit stream. Stream můžete také zakázat ručně a pak ho později znovu povolit.

    Přepnutím přepínače Vypnuto zakážete datový proud.

  2. Vyberte Uložit.

Zakázaný stream můžete znovu povolit. Zachytí všechny události auditu, které byly zmeškané až do předchozích sedmi dnů. Tímto způsobem nezmeškáte žádné události z doby trvání, po kterou byl datový proud zakázán.

Poznámka

Pokud je datový proud zakázán déle než 7 dní, události starší než 7 dnů nejsou zahrnuté do zachycení.

Odstranění datového proudu

Pokud chcete datový proud odstranit, ujistěte se, že máte oprávnění Odstranit streamy auditu .

Důležité

Jakmile datový proud odstraníte, nemůžete ho vrátit zpět.

  1. Najeďte myší na datový proud, který chcete odstranit, a vyberte svislé tři tečky úplně vpravo.

  2. Vyberte Odstranit stream.

    Vyberte Odstranit datový proud a odeberte ho.

  3. Vyberte Potvrdit.

Váš stream se odebere. Všechny události, které nebyly odeslány před odstraněním, se neodesílají.