Membuat streaming audit

| Layanan Azure DevOps Azure DevOps Server 2022

Catatan

Audit masih dalam pratinjau publik.

Pelajari cara membuat aliran audit , yang mengirim data ke lokasi lain untuk diproses lebih lanjut. Kirim data audit ke alat Security Incident and Event Management (SIEM) lainnya dan buka kemungkinan baru, seperti kemampuan untuk memicu pemberitahuan untuk peristiwa tertentu, membuat tampilan pada data audit, dan melakukan deteksi anomali. Menyiapkan aliran juga memungkinkan Anda menyimpan data audit senilai lebih dari 90 hari, yang merupakan jumlah maksimum data yang disimpan Azure DevOps untuk organisasi Anda.

Penting

Audit hanya tersedia untuk organisasi yang didukung oleh Azure Active Directory. Untuk informasi selengkapnya, lihat Menyambungkan organisasi Anda ke Azure Active Directory.

Aliran audit mewakili alur yang mengalirkan peristiwa audit dari organisasi Azure DevOps Anda ke target streaming. Setiap setengah jam atau kurang, peristiwa audit baru dibundel dan dialirkan ke target Anda. Target stream berikut tersedia untuk konfigurasi.

  • Splunk – Sambungkan ke Splunk lokal atau berbasis cloud.
  • Log Azure Monitor - Mengirim log audit ke Log Azure Monitor. Log yang disimpan di Log Azure Monitor dapat dikueri dan memiliki pemberitahuan yang dikonfigurasi. Cari tabel bernama AzureDevOpsAuditing. Anda juga dapat menyambungkan Microsoft Azure Sentinel ke ruang kerja Anda.
  • Azure Event Grid – Untuk skenario di mana Anda ingin log audit dikirim ke tempat lain, baik di dalam atau di luar Azure, Anda dapat menyiapkan koneksi Azure Event Grid.

Ruang kerja tertaut privat tidak didukung hari ini.

Catatan

Audit tidak tersedia untuk penyebaran Azure DevOps Server lokal. Dimungkinkan untuk menghubungkan aliran audit ke instans Splunk lokal atau berbasis cloud, tetapi pastikan Anda mengizinkan rentang IP untuk koneksi masuk. Untuk detailnya, lihat Daftar alamat yang diizinkan dan koneksi jaringan, alamat IP, dan pembatasan rentang.

Prasyarat

Secara default, Administrator Koleksi Proyek (PCAs) adalah satu-satunya grup yang memiliki akses ke fitur audit. Anda harus memiliki izin berikut:

  • Mengelola aliran audit

  • Menampilkan log audit

    Atur izin audit ke Izinkan

Izin ini dapat diberikan kepada pengguna atau grup apa pun yang ingin Anda kelola aliran organisasi Anda. Selain itu, ada juga izin Hapus aliran audit yang dapat Anda tambahkan untuk pengguna atau grup.

Membuat aliran

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigiPengaturan organisasi.

    Cuplikan layar memperlihatkan tombol pengaturan Organisasi yang disorot.

  3. Pilih Audit.

    Pilih Pengauditan di pengaturan Organisasi

Catatan

Jika Anda tidak melihat Audit di Pengaturan Organisasi, audit saat ini tidak diaktifkan untuk organisasi Anda. Seseorang di grup pemilik organisasi atau Administrator Koleksi Proyek (PCAs) harus mengaktifkan Audit dalam Kebijakan Organisasi. Anda kemudian akan dapat melihat peristiwa di halaman Audit jika Anda memiliki izin yang sesuai.

  1. Buka tab Aliran , lalu pilih Aliran baru.

    Pilih Aliran baru untuk membuat aliran audit baru Anda.

  2. Pilih target streaming yang ingin Anda konfigurasi, lalu pilih dari instruksi berikut untuk menyiapkan jenis target streaming Anda.

Catatan

Saat ini, Anda hanya dapat memiliki 2 aliran untuk setiap jenis target.

Buat pop out dialog streaming Anda

Menyiapkan aliran Splunk

Streaming mengirim data ke Splunk melalui titik akhir Http Event Collector.

  1. Aktifkan fitur ini di Splunk. Untuk informasi selengkapnya, lihat dokumentasi Splunk ini.

    Setelah diaktifkan, Anda harus memiliki token Http Event Collector dan URL ke instans Splunk Anda. Anda memerlukan token dan URL untuk membuat aliran Splunk.

    Catatan

    Saat Anda membuat token Pengumpul Peristiwa baru di Splunk, jangan centang "Aktifkan pengakuan pengindeks". Jika diperiksa, maka tidak ada peristiwa yang mengalir ke Splunk. Anda dapat mengedit token di Splunk untuk menghapus pengaturan tersebut.

  2. Masukkan URL Splunk Anda, yang merupakan penunjuk ke instans Splunk Anda. Pastikan Anda menentukan port di akhir URL. Port default adalah 8088, sehingga URL Anda akan mirip https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088dengan .

  3. Masukkan token pengumpul peristiwa yang Anda buat ke bidang token. Token disimpan dengan aman dalam Azure DevOps dan tidak pernah ditampilkan lagi di UI. Sebaiknya putar token secara teratur, yang dapat Anda lakukan dengan mendapatkan token baru dari Splunk dan mengedit aliran.

    Masukkan titik akhir topik dan kunci akses yang Anda catat sebelumnya

  4. Pilih Siapkan dan streaming Anda dikonfigurasi.

Acara mulai tiba di Splunk dalam waktu setengah jam atau kurang.

Menyiapkan aliran Event Grid

  1. Membuat topik Event Grid di Azure.

  2. Catat "Titik Akhir Topik" dan salah satu dari dua "Kunci Akses". Gunakan informasi ini untuk membuat koneksi Event Grid.

    informasi Azure Event Grid

  3. Masukkan titik akhir topik dan salah satu kunci akses. Kunci akses disimpan dengan aman dalam Azure DevOps dan tidak pernah ditampilkan lagi di UI. Putar kunci akses secara teratur, yang dapat Anda lakukan dengan mendapatkan kunci baru dari Azure Event Grid dan mengedit aliran

    Masukkan ID ruang kerja dan kunci primer untuk dibuat

Setelah aliran Event Grid dikonfigurasi, Anda dapat menyiapkan langganan di Event Grid untuk mengirim data hampir di mana saja di Azure.

Menyiapkan aliran Log Azure Monitor

  1. Membuat ruang kerja Log Analytics.

  2. Buka ruang kerja dan pilih Manajemen agen.

  3. Catat ID ruang kerja dan kunci primer.

    Catat ID ruang kerja dan kunci primer

  4. Siapkan aliran log Azure Monitor Anda dengan melanjutkan langkah-langkah awal yang sama untuk membuat aliran.

  5. Untuk opsi target, pilih Log Azure Monitor.

  6. Masukkan ID ruang kerja dan kunci primer, lalu pilih Siapkan. Kunci primer disimpan dengan aman dalam Azure DevOps dan tidak pernah ditampilkan lagi di UI. Putar kunci secara teratur, yang dapat Anda lakukan dengan mendapatkan kunci baru dari Log Azure Monitor dan mengedit aliran.

    Masukkan ID ruang kerja dan kunci primer lalu pilih Siapkan.

Aliran diaktifkan dan peristiwa baru mulai mengalir dalam waktu setengah jam atau kurang. Anda dapat mereferensikan tabel AzureDevOpsAuditing.

Catatan

Waktu retensi default untuk Log Azure Monitor hanya 30 hari. Anda dapat mengonfigurasi dan memilih retensi yang lebih lama dengan memilih Retensi Data di bawah Penggunaan dan perkiraan biaya di pengaturan ruang kerja Anda. Ini dikenakan biaya tambahan. Periksa dokumentasi untuk mengelola penggunaan dan biaya dengan Log Azure Monitor untuk detail selengkapnya.

Mengedit aliran

Detail tentang target streaming Anda dapat berubah dari waktu ke waktu. Untuk mencerminkan perubahan ini di aliran, Anda dapat mengeditnya. Untuk mengedit aliran, pastikan Anda memiliki izin Kelola aliran audit .

  1. Di samping aliran yang ingin Anda edit, pilih tiga titik vertikal di ujung kanan, lalu pilih Edit aliran.

    Pilih Edit aliran

  2. Pilih Simpan.

Parameter yang tersedia untuk pengeditan berbeda per jenis aliran.

Menonaktifkan aliran

  1. Di samping aliran yang ingin Anda nonaktifkan, pindahkan tombol Diaktifkan dari Aktif ke Nonaktif.
    Saat aliran mengalami kegagalan, aliran mungkin dinonaktifkan. Anda bisa mendapatkan detail tentang kegagalan dari status yang ditampilkan di samping aliran, atau dengan memilih Edit aliran. Anda juga dapat menonaktifkan streaming secara manual, lalu mengaktifkannya kembali nanti.

    Pindahkan tombol ke Nonaktif untuk menonaktifkan aliran

  2. Pilih Simpan.

Anda dapat mengaktifkan kembali aliran yang dinonaktifkan. Ini mengejar setiap peristiwa audit yang terlewatkan hingga tujuh hari sebelumnya. Dengan begitu Anda tidak melewatkan peristiwa apa pun dari durasi streaming dinonaktifkan.

Catatan

Jika aliran dinonaktifkan selama lebih dari 7 hari, peristiwa yang lebih lama dari 7 hari tidak disertakan dalam mengejar ketinggalan.

Menghapus aliran

Untuk menghapus aliran, pastikan Anda memiliki izin Hapus aliran audit .

Penting

Setelah menghapus streaming, Anda tidak dapat mendapatkannya kembali.

  1. Arahkan kursor ke aliran yang ingin Anda hapus dan pilih tiga titik vertikal di ujung kanan.

  2. Pilih Hapus aliran.

    Pilih Hapus aliran dan akan dihapus

  3. Pilih Konfirmasi.

Streaming Anda akan dihapus. Setiap peristiwa yang belum dikirim sebelum penghapusan tidak dikirim.