Condividi tramite


Creare lo streaming di controllo

Servizi di Azure DevOps

Nota

Il controllo è ancora in anteprima pubblica.

Informazioni su come creare un flusso di controllo che invia dati ad altre posizioni per un'ulteriore elaborazione. Inviare dati di controllo ad altri strumenti SIEM (Security Incident and Event Management) e aprire nuove possibilità, ad esempio la possibilità di attivare avvisi per eventi specifici, creare visualizzazioni sui dati di controllo ed eseguire il rilevamento anomalie. La configurazione di un flusso consente anche di archiviare più di 90 giorni di dati di controllo, ovvero la quantità massima di dati che Azure DevOps mantiene per le organizzazioni.

Importante

Il controllo è disponibile solo per le organizzazioni supportate da Microsoft Entra ID. Per altre informazioni, vedere Connettere l'organizzazione a Microsoft Entra ID.

I flussi di controllo rappresentano una pipeline che trasmette gli eventi di controllo dall'organizzazione di Azure DevOps a una destinazione di flusso. Ogni mezz'ora o meno, i nuovi eventi di controllo vengono aggregati e trasmessi alle destinazioni. Per la configurazione sono disponibili le destinazioni di flusso seguenti.

  • Splunk: connettersi a Splunk locale o basato sul cloud.
  • Log di Monitoraggio di Azure: inviare i log di controllo ai log di Monitoraggio di Azure. I log archiviati nei log di Monitoraggio di Azure possono essere sottoposti a query e hanno avvisi configurati. Cercare la tabella denominata AzureDevOpsAuditing. È anche possibile connettere Microsoft Sentinel all'area di lavoro.
  • Griglia di eventi di Azure: per gli scenari in cui si desidera inviare i log di controllo in un'altra posizione, sia all'interno che all'esterno di Azure, è possibile configurare una connessione Griglia di eventi di Azure.

Le aree di lavoro collegate private non sono attualmente supportate.

Nota

Il controllo non è disponibile per le distribuzioni locali di Azure DevOps Server. È possibile connettere un flusso di controllo a un'istanza locale o basata sul cloud di Splunk, ma assicurarsi di consentire intervalli IP per le connessioni in ingresso. Per informazioni dettagliate, vedere Elenchi di indirizzi consentiti e connessioni di rete, indirizzi IP e restrizioni di intervallo.

Prerequisiti

Il controllo è disattivato per impostazione predefinita per tutte le organizzazioni di Azure DevOps Services. Assicurarsi che solo il personale autorizzato abbia accesso alle informazioni di controllo sensibili.

Autorizzazioni: essere membri del gruppo Project Collection Administrators (PCA) (i proprietari dell'organizzazione sono automaticamente membri di questo gruppo) o disporre delle autorizzazioni di controllo seguenti per utente o gruppo:

  • Gestire i flussi di controllo
  • Visualizzare il log di controllo

Screenshot che mostra le autorizzazioni di controllo delle impostazioni su Consenti.

Le CA possono concedere queste autorizzazioni a qualsiasi utente o gruppo per la gestione dei flussi dell'organizzazione tramite le autorizzazioni di sicurezza > delle impostazioni>dell'organizzazione. Le CA possono anche assegnare l'autorizzazione Elimina flussi di controllo.

Nota

Se la funzionalità Limita visibilità utente e collaborazione a progetti specifici è abilitata per l'organizzazione, gli utenti nel gruppo Utenti con ambito progetto non possono visualizzare Il controllo e avere visibilità limitata alle pagine delle impostazioni dell'organizzazione. Per altre informazioni e dettagli importanti relativi alla sicurezza, vedere Limitare la visibilità degli utenti per i progetti e altro ancora.

Creare un flusso

  1. Accedere all'organizzazione (https://dev.azure.com/{Your_Organization}).

  2. Selezionare Icona a forma di ingranaggio Impostazioni organizzazione.

    Screenshot che mostra il pulsante Impostazioni organizzazione evidenziato.

  3. Selezionare Controllo.

    Selezionare Controllo nelle impostazioni dell'organizzazione

Nota

Se non viene visualizzato Controllo in Impostazioni organizzazione, il controllo non è attualmente abilitato per l'organizzazione. Un utente del gruppo proprietario dell'organizzazione o amministratori della raccolta progetti deve abilitare il controllo nei criteri dell'organizzazione. Sarà quindi possibile visualizzare gli eventi nella pagina Controllo se si dispone delle autorizzazioni appropriate.

  1. Passare alla scheda Flussi e quindi selezionare Nuovo flusso.

    Selezionare Nuovo flusso per creare il nuovo flusso di controllo.

  2. Selezionare la destinazione del flusso che si vuole configurare e quindi selezionare tra le istruzioni seguenti per configurare il tipo di destinazione del flusso.

Nota

In questo momento, è possibile avere solo 2 flussi per ogni tipo di destinazione.

Finestra di dialogo Crea flusso visualizzata

Configurare un flusso Splunk

I flussi inviano dati a Splunk tramite l'endpoint dell'agente di raccolta eventi HTTP.

  1. Abilitare questa funzionalità in Splunk. Per altre informazioni, vedere questa documentazione di Splunk.

    Dopo l'abilitazione, è necessario avere un token dell'agente di raccolta eventi HTTP e l'URL dell'istanza di Splunk. Per creare un flusso Splunk, sono necessari sia il token che l'URL.

    Nota

    Quando si crea un nuovo token dell'agente di raccolta eventi in Splunk, non selezionare "Abilita riconoscimento indicizzatore". Se è selezionata, non viene eseguito alcun flusso di eventi in Splunk. È possibile modificare il token in Splunk per rimuovere tale impostazione.

  2. Immettere l'URL di Splunk, ovvero il puntatore all'istanza di Splunk. Assicurarsi di specificare una porta alla fine dell'URL. La porta predefinita è 8088, quindi l'URL sarà simile a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 o https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Immettere il token dell'agente di raccolta eventi creato nel campo del token. Il token viene archiviato in modo sicuro all'interno di Azure DevOps e non viene mai visualizzato di nuovo nell'interfaccia utente. È consigliabile ruotare regolarmente il token, che è possibile eseguire ottenendo un nuovo token da Splunk e modificando il flusso.

    Immettere l'endpoint dell'argomento e la chiave di accesso annotata in precedenza

  4. Selezionare Set up (Configura).

Il flusso viene configurato e gli eventi iniziano ad arrivare su Splunk entro mezz'ora o meno.

Configurare un flusso di Griglia di eventi

  1. Creare un argomento di Griglia di eventi in Azure.

Nota

Passare alla scheda Avanzate e verificare che lo schema eventi sia impostato su Schema griglia di eventi. Altri schemi non sono supportati da Azure DevOps.

  1. Prendere nota di "Endpoint argomento" e di una delle due "chiavi di accesso". Usare queste informazioni per creare la connessione di Griglia di eventi.

    informazioni Griglia di eventi di Azure

  2. Immettere l'endpoint dell'argomento e una delle chiavi di accesso. La chiave di accesso viene archiviata in modo sicuro all'interno di Azure DevOps e non viene mai visualizzata di nuovo nell'interfaccia utente. Ruotare regolarmente la chiave di accesso, che è possibile eseguire ottenendo una nuova chiave da Griglia di eventi di Azure e modificando il flusso

    Immettere l'ID dell'area di lavoro e la chiave primaria da creare

Dopo aver configurato il flusso di Griglia di eventi, è possibile configurare le sottoscrizioni in Griglia di eventi per inviare i dati quasi ovunque in Azure.

Configurare un flusso di log di Monitoraggio di Azure

  1. Creare un'area di lavoro Log Analytics.

  2. Aprire l'area di lavoro e selezionare Agenti.

  3. Selezionare Le istruzioni dell'agente di Log Analytics per visualizzare l'ID dell'area di lavoro e la chiave primaria.

  4. Prendere nota dell'ID dell'area di lavoro e della chiave primaria.

    Prendere nota dell'ID dell'area di lavoro e della chiave primaria

  5. Configurare il flusso di log di Monitoraggio di Azure procedendo con gli stessi passaggi iniziali per creare un flusso.

  6. Per le opzioni di destinazione selezionare Log di Monitoraggio di Azure.

  7. Immettere l'ID dell'area di lavoro e la chiave primaria e quindi selezionare Configura. La chiave primaria viene archiviata in modo sicuro all'interno di Azure DevOps e non viene mai visualizzata di nuovo nell'interfaccia utente. Ruotare regolarmente la chiave, che è possibile eseguire ottenendo una nuova chiave dal log di Monitoraggio di Azure e modificando il flusso.

    Immettere l'ID dell'area di lavoro e la chiave primaria e quindi selezionare Configura.

Il flusso è abilitato e i nuovi eventi iniziano a fluire entro mezz'ora o meno. È possibile fare riferimento alla tabella AzureDevOpsAuditing.

Nota

Il tempo di conservazione predefinito per i log di Monitoraggio di Azure è di soli 30 giorni. È possibile configurare e scegliere una conservazione più lunga selezionando Conservazione dati in Utilizzo e costi stimati nelle impostazioni dell'area di lavoro. Ciò comporta addebiti aggiuntivi. Per altri dettagli, vedere la documentazione per gestire l'utilizzo e i costi con i log di Monitoraggio di Azure.

Modificare un flusso

I dettagli sulla destinazione del flusso possono cambiare nel tempo. Per riflettere queste modifiche nei flussi, è possibile modificarle. Per modificare un flusso, assicurarsi di disporre dell'autorizzazione Gestisci flussi di controllo.

  1. Accanto al flusso che si vuole modificare, selezionare i tre punti verticali all'estrema destra e quindi selezionare Modifica flusso.

    Selezionare Modifica flusso

  2. Seleziona Salva.

I parametri disponibili per la modifica variano in base al tipo di flusso.

Disabilitare un flusso

  1. Accanto al flusso che si vuole disabilitare, spostare l'interruttore Abilitato da Attivato a Disattivato.
    Quando i flussi riscontrano un errore, potrebbero diventare disabilitati. È possibile ottenere dettagli sull'errore dallo stato visualizzato accanto al flusso o selezionando Modifica flusso. È anche possibile disabilitare manualmente un flusso e quindi riabilitarlo in un secondo momento.

    Passare a Disattivato per disabilitare il flusso

  2. Seleziona Salva.

È possibile riabilitare un flusso disabilitato. Recupera tutti gli eventi di controllo che sono stati persi fino ai sette giorni precedenti. In questo modo non si perde alcun evento dalla durata in cui il flusso è stato disabilitato.

Nota

Gli eventi precedenti a 7 giorni non sono inclusi nel recupero se un flusso è disabilitato per più di 7 giorni.

Eliminare un flusso

Per eliminare un flusso, assicurarsi di disporre dell'autorizzazione Elimina flussi di controllo.

Importante

Dopo aver eliminato un flusso, non è possibile recuperarlo.

  1. Passare il puntatore del mouse sul flusso che si vuole eliminare e selezionare i tre punti verticali all'estrema destra.

  2. Selezionare Elimina flusso.

    Selezionare Elimina flusso e viene rimosso

  3. Selezionare Conferma.

Il sistema rimuove il flusso. Eventuali eventi non inviati prima dell'eliminazione non vengono inviati.