Créer un streaming d’audit

  • Article

Azure DevOps Services

Notes

L’audit est toujours en préversion publique.

Découvrez comment créer un flux d’audit, qui envoie des données à d’autres emplacements pour un traitement ultérieur. Envoyez des données d’audit à d’autres outils SIEM (Security Incident and Event Management) et ouvrez de nouvelles possibilités, telles que la possibilité de déclencher des alertes pour des événements spécifiques, de créer des vues sur les données d’audit et d’effectuer la détection des anomalies. La configuration d’un flux vous permet également de stocker plus de 90 jours de données d’audit, c’est-à-dire la quantité maximale de données conservées par Azure DevOps pour vos organisations.

Important

L’audit n’est disponible que pour les organisations sauvegardées par l’ID Microsoft Entra. Si vous souhaitez obtenir plus d’informations, consultez Connecter votre organisation à Microsoft Entra ID.

Les flux d’audit représentent un pipeline qui transfère les événements d’audit de votre organisation Azure DevOps vers une cible de flux. Chaque demi-heure ou moins, les nouveaux événements d’audit sont regroupés et diffusés en continu vers vos cibles. Les cibles de flux suivantes sont disponibles pour la configuration.

  • Splunk : Connecter à Splunk local ou cloud.
  • Journaux Azure Monitor : envoyez des journaux d’audit aux journaux Azure Monitor. Les journaux stockés dans les journaux Azure Monitor peuvent être interrogés et les alertes sont configurées. Recherchez la table nommée AzureDevOpsAuditing. Vous pouvez également connecter Microsoft Sentinel à votre espace de travail.
  • Azure Event Grid : pour les scénarios où vous souhaitez que vos journaux d’audit soient envoyés ailleurs, qu’ils se trouvent à l’intérieur ou à l’extérieur d’Azure, vous pouvez configurer une connexion Azure Event Grid .

Les espaces de travail liés privés ne sont pas pris en charge aujourd’hui.

Remarque

L’audit n’est pas disponible pour les déploiements locaux de Azure DevOps Server. Il est possible de connecter un flux d’audit à une instance locale ou cloud de Splunk, mais veillez à autoriser les plages d’adresses IP pour les connexions entrantes. Pour plus d’informations, consultez Listes d’adresses et connexions réseau autorisées, Adresses IP et restrictions de plage.

Prérequis

Par défaut, la collection de projets Administration istrators (PCA) est le seul groupe qui a accès à la fonctionnalité d’audit. Vous devez disposer des autorisations suivantes :

  • Gérer les flux d’audit

  • Afficher les journaux d’audit

    Set audit permissions to Allow

Ces autorisations peuvent être accordées à tous les utilisateurs ou groupes que vous souhaitez gérer les flux de votre organisation. En outre, il existe également une autorisation Supprimer les flux d’audit que vous pouvez ajouter pour les utilisateurs ou les groupes.

Créer un flux

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez gear iconParamètres de l’organisation.

    Screenshot showing highlighted Organization settings button.

  3. Sélectionnez Audit.

    Select Auditing in Organization settings

Remarque

Si vous ne voyez pas l’audit dans l’Paramètres de l’organisation, l’audit n’est actuellement pas activé pour votre organisation. Une personne du groupe propriétaire d'organisation ou collection de projets Administration istrators (PCA) doit activer l’audit dans les stratégies d’organisation. Vous serez alors en mesure de voir les événements sur la page Audit si vous disposez des autorisations appropriées.

  1. Accédez à l’onglet Flux, puis sélectionnez Nouveau flux.

    Select New stream to create your new auditing stream.

  2. Sélectionnez la cible de flux que vous souhaitez configurer, puis sélectionnez-la dans les instructions suivantes pour configurer votre type de cible de flux.

Remarque

À ce stade, vous ne pouvez avoir que 2 flux pour chaque type cible.

Create your stream dialog pop out

Configurer un flux Splunk

Flux envoyer des données à Splunk via le point de terminaison du collecteur d’événements HTTP.

  1. Activez cette fonctionnalité dans Splunk. Pour plus d’informations, consultez cette documentation Splunk.

    Une fois activé, vous devez disposer d’un jeton du collecteur d’événements HTTP et de l’URL de votre instance Splunk. Vous avez besoin du jeton et de l’URL pour créer un flux Splunk.

    Remarque

    Lorsque vous créez un jeton Event Collector dans Splunk, n’case activée « Activer l’accusé de réception de l’indexeur ». S’il est case activée ed, aucun événement n’est acheminé vers Splunk. Vous pouvez modifier le jeton dans Splunk pour supprimer ce paramètre.

  2. Entrez votre URL Splunk, qui est le pointeur vers votre instance Splunk. Vérifiez que vous spécifiez un port à la fin de l’URL. Le port par défaut est 8088, de sorte que votre URL serait similaire à https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 ou https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Entrez le jeton du collecteur d’événements que vous avez créé dans le champ de jeton. Le jeton est stocké en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Nous vous recommandons de faire pivoter régulièrement le jeton, que vous pouvez faire en obtenant un nouveau jeton à partir de Splunk et en modifiant le flux.

    Enter topic endpoint and access key that you noted earlier

  4. Sélectionnez Configurer et configurer votre flux.

Les événements commencent à arriver sur Splunk dans un délai d’une demi-heure ou moins.

Configurer un flux Event Grid

  1. Créez une rubrique Event Grid sur Azure.

  2. Notez le « point de terminaison de rubrique » et l’une des deux « clés d’accès ». Utilisez ces informations pour créer la connexion Event Grid.

    Azure Event Grid information

  3. Entrez le point de terminaison de la rubrique et l’une des clés d’accès. La clé d’accès est stockée en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Faire pivoter régulièrement la clé d’accès, que vous pouvez faire en obtenant une nouvelle clé à partir d’Azure Event Grid et en modifiant le flux

    Enter workspace ID and primary key to create

Une fois que votre flux Event Grid est configuré, vous pouvez configurer des abonnements sur Event Grid pour envoyer les données presque n’importe où dans Azure.

Configurer un flux de journal Azure Monitor

  1. Créer un espace de travail Log Analytics.

  2. Ouvrez l’espace de travail et sélectionnez Agents.

  3. Sélectionnez les instructions de l’agent Log Analytics pour afficher l’ID de l’espace de travail et la clé primaire.

  4. Notez l’ID de l’espace de travail et la clé primaire.

    Make note of workspace ID and primary key

  5. Configurez votre flux de journal Azure Monitor en effectuant les mêmes étapes initiales pour créer un flux.

  6. Pour les options cibles, sélectionnez Journaux Azure Monitor.

  7. Entrez l’ID de l’espace de travail et la clé primaire, puis sélectionnez Configurer. La clé primaire est stockée en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Faites pivoter régulièrement la clé, que vous pouvez faire en obtenant une nouvelle clé à partir du journal Azure Monitor et en modifiant le flux.

    Enter workspace ID and primary key and then select Set up.

Le flux est activé et les nouveaux événements commencent à circuler dans un délai d’une demi-heure ou moins. Vous pouvez référencer la table AzureDevOpsAuditing.

Remarque

La durée de rétention par défaut des journaux Azure Monitor est de 30 jours uniquement. Vous pouvez configurer et choisir une rétention plus longue en sélectionnant Rétention des données sous Utilisation et coûts estimés dans les paramètres de votre espace de travail. Cela entraîne des frais supplémentaires. Pour plus d’informations, consultez la documentation pour gérer l’utilisation et les coûts avec les journaux Azure Monitor.

Modifier un flux

Les détails de votre cible de flux peuvent changer au fil du temps. Pour refléter ces modifications dans vos flux, vous pouvez les modifier. Pour modifier un flux, vérifiez que vous disposez de l’autorisation Gérer les flux d’audit.

  1. En regard du flux que vous souhaitez modifier, sélectionnez les trois points verticaux à l’extrême droite, puis sélectionnez Modifier le flux.

    Select Edit stream

  2. Cliquez sur Enregistrer.

Les paramètres disponibles pour la modification diffèrent par type de flux.

Désactiver un flux

  1. En regard du flux que vous souhaitez désactiver, déplacez le bouton bascule Activé de Activé vers Désactivé.
    Lorsque des flux rencontrent un échec, ils peuvent être désactivés. Vous pouvez obtenir des détails sur l’échec à partir de l’état affiché en regard du flux, ou en sélectionnant Modifier le flux. Vous pouvez également désactiver un flux manuellement, puis le réactiver ultérieurement.

    Move toggle to Off to disable stream

  2. Cliquez sur Enregistrer.

Vous pouvez réactiver un flux désactivé. Il rattrape les événements d’audit qui ont été manqués jusqu’aux sept jours précédents. De cette façon, vous ne manquez aucun événement de la durée pendant laquelle le flux a été désactivé.

Remarque

Si un flux est désactivé pendant plus de 7 jours, les événements de plus de 7 jours ne sont pas inclus dans le rattrapage.

Supprimer un flux

Pour supprimer un flux, vérifiez que vous disposez de l’autorisation Supprimer les flux d’audit.

Important

Une fois que vous avez supprimé un flux, vous ne pouvez pas le récupérer.

  1. Pointez sur le flux que vous souhaitez supprimer et sélectionnez les trois points verticaux sur l’extrême droite.

  2. Sélectionnez Supprimer le flux.

    Select Delete stream and it's removed

  3. Cliquez sur Confirmer.

Votre flux est supprimé. Tous les événements qui n’ont pas été envoyés avant la suppression ne sont pas envoyés.