Создание потоковой передачи данных аудита
Azure DevOps Services
Примечание.
Аудит по-прежнему находится в общедоступной предварительной версии.
Узнайте, как создать поток аудита , который отправляет данные в другие расположения для дальнейшей обработки. Отправьте данные аудита в другие средства управления инцидентами безопасности и событиями (SIEM) и откройте новые возможности, такие как возможность активировать оповещения для определенных событий, создавать представления об аудите данных и выполнять обнаружение аномалий. Настройка потока также позволяет хранить более 90 дней для аудита данных, что является максимальным объемом данных, которые Azure DevOps хранит для ваших организаций.
Внимание
Аудит доступен только для организаций, поддерживаемых идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Подключение организации к идентификатору Microsoft Entra".
Потоки аудита представляют конвейер, который передает события аудита из организации Azure DevOps в целевой объект потока. Каждые полчаса или меньше новые события аудита упаковываются и передаются в целевые объекты. Для настройки доступны следующие целевые объекты потока.
- Splunk — подключение к локальной или облачной Splunk.
- Журналы Azure Monitor. Отправка журналов аудита в журналы Azure Monitor. Журналы, хранящиеся в журналах Azure Monitor, можно запрашивать и настраивать оповещения. Найдите таблицу с именем AzureDevOpsAuditing. Вы также можете подключить Microsoft Sentinel к рабочей области.
- Сетка событий Azure. Для сценариев, когда вы хотите, чтобы журналы аудита отправлялись в другое место, независимо от того, находится ли в Azure или за ее пределами, можно настроить подключение Сетка событий Azure.
Частные связанные рабочие области сегодня не поддерживаются.
Примечание.
Аудит недоступен для локальных развертываний Azure DevOps Server. Можно подключить поток аудита к локальному или облачному экземпляру Splunk, но убедитесь, что вы разрешаете диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.
Необходимые компоненты
По умолчанию администраторы коллекции проектов (PCAs) являются единственной группой, которая имеет доступ к функции аудита. У вас должны быть следующие разрешения:
Управление потоками аудита
Просмотр журнала аудита
Эти разрешения можно предоставить любым пользователям или группам, которым вы хотите управлять потоками вашей организации. Кроме того, существует также разрешение "Удалить потоки аудита", которое можно добавить для пользователей или групп.
Создание потока
Войдите в свою организацию (
https://dev.azure.com/{yourorganization}
).Выберите параметры организации.
Выберите "Аудит".
Примечание.
Если аудит не отображается в параметрах организации, аудит в настоящее время не включен для вашей организации. Кто-то в группе владелец организации или администраторов коллекции проектов (PCAs) должен включить аудит в политиках организации. Затем вы сможете просматривать события на странице аудита, если у вас есть соответствующие разрешения.
Перейдите на вкладку Streams и выберите "Создать поток".
Выберите целевой объект потока, который требуется настроить, и выберите из следующих инструкций, чтобы настроить тип целевого объекта потока.
Примечание.
В настоящее время для каждого целевого типа можно использовать только 2 потока.
Настройка потока Splunk
Потоки отправляют данные в Splunk через конечную точку сборщика событий HTTP.
Включите эту функцию в Splunk. Дополнительные сведения см. в этой документации по Splunk.
После включения у вас должен быть маркер сборщика событий HTTP и URL-адрес экземпляра Splunk. Для создания потока Splunk требуется маркер и URL-адрес.
Примечание.
При создании маркера сборщика событий в Splunk не проверьте "Включить подтверждение индексатора". Если он установлен, события не передаются в Splunk. Вы можете изменить маркер в Splunk, чтобы удалить этот параметр.
Введите URL-адрес Splunk, который является указателем на экземпляр Splunk. Убедитесь, что в конце URL-адреса указан порт. По умолчанию используется
8088
порт, поэтому URL-адрес будет похож наhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
илиhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Введите маркер сборщика событий, созданный в поле маркера. Маркер хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Мы рекомендуем регулярно поворачивать маркер, который можно сделать, получив новый маркер из Splunk и изменив поток.
Выберите "Настройка" и настроено вашей потоковой передачи.
События начинают поступать на Splunk в течение получаса или меньше.
Настройка потока сетки событий
- Создайте раздел "Сетка событий" в Azure.
Примечание.
При создании раздела "Сетка событий" перейдите на вкладку "Дополнительно" и убедитесь, что схема событий имеет значение "Схема сетки событий". Другие схемы не поддерживаются Azure DevOps. 2. Запишите раздел конечной точки и один из двух ключей доступа. Используйте эти сведения для создания подключения сетки событий.
Введите конечную точку раздела и один из ключей доступа. Ключ доступа хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ доступа, который можно сделать, получив новый ключ из Сетка событий Azure и изменив поток.
После настройки потока сетки событий вы можете настроить подписки на сетку событий для отправки данных практически в любом месте в Azure.
Настройка потока журналов Azure Monitor
Создание рабочей области Log Analytics.
Откройте рабочую область и выберите агенты.
Выберите инструкции агента Log Analytics для просмотра идентификатора рабочей области и первичного ключа.
Запишите идентификатор рабочей области и первичный ключ.
Настройте поток журналов Azure Monitor, выполнив те же начальные шаги, чтобы создать поток.
Для целевых параметров выберите журналы Azure Monitor.
Введите идентификатор рабочей области и первичный ключ, а затем нажмите кнопку "Настройка". Первичный ключ хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ, который можно сделать, получив новый ключ из журнала Azure Monitor и изменив поток.
Поток включен, а новые события начинаются в течение получаса или меньше. Вы можете ссылаться на таблицу AzureDevOpsAuditing.
Примечание.
Время хранения по умолчанию для журналов Azure Monitor составляет всего 30 дней. Вы можете настроить и выбрать более длительный срок хранения, выбрав "Хранение данных" в разделе "Использование" и предполагаемые затраты в параметрах рабочей области. Это взимает дополнительные расходы. Дополнительные сведения см. в документации по управлению использованием и затратами с помощью журналов Azure Monitor.
Изменение потока
Сведения о целевом объекте потока могут меняться с течением времени. Чтобы отразить эти изменения в потоках, их можно изменить. Чтобы изменить поток, убедитесь, что у вас есть разрешение "Управление потоками аудита".
Рядом с потоком, который требуется изменить, выберите вертикальные три точки в правом верхнем углу, а затем нажмите кнопку "Изменить поток".
Выберите Сохранить.
Параметры, доступные для редактирования, отличаются на тип потока.
Отключение потока
Рядом с потоком, который требуется отключить, переместите переключатель "Включено" в "Выкл.".
При возникновении сбоя потоки могут быть отключены. Вы можете получить сведения о сбое из состояния, отображаемого рядом с потоком, или выбрав "Изменить поток". Вы также можете отключить поток вручную, а затем повторно включить его позже.Выберите Сохранить.
Вы можете повторно включить отключенный поток. Он догоняет все события аудита, пропущенные до предыдущих семи дней. Таким образом, вы не пропустите какие-либо события из длительности отключения потока.
Примечание.
Если поток отключен более 7 дней, события старше 7 дней не включаются в поиск.
Удаление потока
Чтобы удалить поток, убедитесь, что у вас есть разрешение "Удалить потоки аудита".
Внимание
После удаления потока вы не сможете вернуть его.
Наведите указатель мыши на поток, который нужно удалить, и выберите вертикальные три точки в правом углу.
Выберите "Удалить поток".
Выберите Подтвердить.
Поток удаляется. Все события, которые не были отправлены до удаления, не отправляются.