監査ストリーミングの作成

  • [アーティクル]

Azure DevOps Services

注意

監査はまだパブリック プレビュー段階です。

さらに処理するために他の場所にデータを 送信する監査 ストリームを作成する方法について説明します。 監査データを他のセキュリティ インシデントおよびイベント管理 (SIEM) ツールに送信し、特定のイベントのアラートをトリガーする機能、監査データに関するビューを作成する機能、異常検出を実行する機能など、新しい可能性を開きます。 ストリームを設定すると、90 日を超える監査データを格納することもできます。これは、Azure DevOps が組織のために保持する最大データ量です。

重要

監査は、Microsoft Entra ID によってサポートされている組織でのみ使用できます。 詳細については、「Microsoft Entra ID に組織を接続する」を参照してください。

監査ストリームは、Azure DevOps 組織からストリーム ターゲットに監査イベントをフローするパイプラインを表します。 30 分以下ごとに、新しい監査イベントがバンドルされ、ターゲットにストリーミングされます。 構成には、次のストリーム ターゲットを使用できます。

  • Splunk – オンプレミスまたはクラウドベースの Splunk に接続します。
  • Azure Monitor ログ - 監査ログを Azure Monitor ログに 送信します。 Azure Monitor ログに格納されているログはクエリを実行でき、アラートを構成できます。 AzureDevOpsAuditing という名前のテーブルを探します。 Microsoft Sentinel をワークスペースに接続することもできます。
  • Azure Event Grid – 監査ログを Azure の内外を問わず、別の場所に送信するシナリオでは、Azure Event Grid 接続を設定できます。

プライベートのリンクされたワークスペースは、現在サポートされていません。

Note

監査は、Azure DevOps Serverのオンプレミスデプロイでは使用できません。 監査ストリームを Splunk のオンプレミスまたはクラウドベースのインスタンスに接続することはできますが、受信接続の IP 範囲を許可してください。 詳細については、「 許可されたアドレス一覧とネットワーク接続、IP アドレス、および範囲の制限」を参照してください。

前提条件

既定では、Project Collection 管理istrators (PCA) は、監査機能にアクセスできる唯一のグループです。 次のアクセス許可を持っている必要があります。

  • 監査ストリームを管理する

  • 監査ログの表示

    Set audit permissions to Allow

これらのアクセス許可は、組織のストリームを管理する任意のユーザーまたはグループに付与できます。 さらに、ユーザーまたはグループに対して追加できる監査ストリームの削除アクセス許可もあります

ストリームを作成する

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. gear icon[組織の設定] を選択します。

    Screenshot showing highlighted Organization settings button.

  3. [ 監査] を選択します

    Select Auditing in Organization settings

Note

[組織の監査] 設定が表示されない場合、現在、組織の監査は有効になっていません。 組織の所有者または Project Collection 管理istrators (PCA) グループのユーザーは、組織ポリシーで監査を有効にする必要があります。 適切なアクセス許可がある場合は、[監査] ページでイベントを表示できるようになります。

  1. [ストリーム] タブに移動し、[新しいストリーム] を選択します

    Select New stream to create your new auditing stream.

  2. 構成するストリーム ターゲットを選択し、次の手順から選択してストリーム ターゲットの種類を設定します。

Note

現時点では、ターゲットの種類ごとに 2 つのストリームのみを使用できます。

Create your stream dialog pop out

Splunk ストリームを設定する

ストリーム HTTP イベント コレクター エンドポイント経由で Splunk にデータを送信します。

  1. Splunk でこの機能を有効にします。 詳細については、Splunk のドキュメントを 参照してください

    有効にすると、HTTP イベント コレクター トークンと Splunk インスタンスへの URL が必要になります。 Splunk ストリームを作成するには、トークンと URL の両方が必要です。

    Note

    Splunk で新しいイベント コレクター トークンを作成するときは、[インデクサーの受信確認を有効にする] をチェックしないでください。 チェックされている場合、イベントは Splunk に流れ込んでいません。 Splunk でトークンを編集して、その設定を削除できます。

  2. Splunk インスタンスへのポインターである Splunk URL を入力します。 URL の末尾にポートを指定してください。 既定のポートは 8088、URL が次のようになりますhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088https://prd-p-2k3mp2xhznbs.splunkcloud.com

  3. 作成したイベント コレクター トークンをトークン フィールドに入力します。 トークンは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 定期的にトークンをローテーションすることをお勧めします。これを行うには、Splunk から新しいトークンを取得し、ストリームを編集します。

    Enter topic endpoint and access key that you noted earlier

  4. [設定] を選択し、ストリームを構成します。

イベントは、30 分以内に Splunk に到着し始めます。

Event Grid ストリームを設定する

  1. Azure で Event Grid トピックを作成します。

  2. "トピック エンドポイント" と 2 つの "アクセス キー" のいずれかをメモしておきます。 この情報を使用して、Event Grid 接続を作成します。

    Azure Event Grid information

  3. トピック エンドポイントといずれかのアクセス キーを入力します。 アクセス キーは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 アクセス キーを定期的にローテーションします。これを行うには、Azure Event Grid から新しいキーを取得し、ストリームを編集します。

    Enter workspace ID and primary key to create

Event Grid ストリームを構成したら、Event Grid でサブスクリプションを設定して、Azure のほぼすべての場所にデータを送信できます。

Azure Monitor ログ ストリームを設定する

  1. Log Analytics ワークスペースを作成します。

  2. ワークスペースを開き、[エージェント] を選択 します

  3. Log Analytics エージェントの指示を選択して、ワークスペース ID と主キーを表示します。

  4. ワークスペース ID と主キーを書き留めます。

    Make note of workspace ID and primary key

  5. 同じ初期手順に進み、ストリームを作成して Azure Monitor ログ ストリームを設定します。

  6. ターゲット オプションの場合は、[Azure Monitor ログ] を選択 します

  7. ワークスペース ID と主キーを入力し、[セットアップ] を選択します。 主キーは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 キーを定期的にローテーションします。そのためには、Azure Monitor ログから新しいキーを取得し、ストリームを編集します。

    Enter workspace ID and primary key and then select Set up.

ストリームが有効になり、30 分以内に新しいイベントのフローが開始されます。 AzureDevOpsAuditing テーブルを参照できます。

Note

Azure Monitor ログの既定の保持時間は 30 日のみです。 ワークスペース設定の [使用状況と推定コスト] で [データ保持] を選択することで、より長いリテンション期間を構成して選択できます。 これにより、追加料金が発生します。 詳細については、 Azure Monitor ログで使用状況とコストを管理するためのドキュメント を確認してください。

ストリームを編集する

ストリーム ターゲットに関する詳細は、時間の経過と同時に変化する可能性があります。 これらの変更をストリームに反映するには、それらを編集します。 ストリームを編集するには、監査ストリーム管理アクセス許可があることを確認します。

  1. 編集するストリームの横にある右端にある垂直の 3 つのドットを選択し、[ストリームの編集] を選択 します

    Select Edit stream

  2. [保存] を選択します。

編集に使用できるパラメーターは、ストリームの種類によって異なります。

ストリームを無効にする

  1. 無効にするストリームの横にある [有効] トグルを [オン] から [オフ] に移動します
    ストリームで障害が発生すると、ストリームが無効になる可能性があります。 エラーの詳細は、ストリームの横に表示される状態から、または [ストリームの編集] を選択 して取得できます。 ストリームを手動で無効にしてから、後で再度有効にすることもできます。

    Move toggle to Off to disable stream

  2. [保存] を選択します。

無効になっているストリームを再度有効にすることができます。 これは、過去 7 日間に見逃された監査イベントに追いつきます。 そうすることで、ストリームが無効にされた期間のイベントを見逃すことはありません。

Note

ストリームが 7 日以上無効になっている場合、7 日を超えるイベントはキャッチアップに含まれません。

ストリームを削除する

ストリームを削除するには、監査ストリーム削除アクセス許可があることを確認します。

重要

ストリームを削除すると、元に戻すことはできません。

  1. 削除するストリームにカーソルを合わせ、右端にある垂直の 3 つのドットを選択します。

  2. [ストリームの削除] を選択 します

    Select Delete stream and it's removed

  3. 確認 を選択します。

ストリームが削除されます。 削除前に送信されていないイベントは送信されません。