감사 스트리밍 만들기
Azure DevOps Services
참고 항목
감사는 아직 공개 미리 보기로 제공됩니다.
추가 처리를 위해 다른 위치로 데이터를 보내는 감사 스트림을 만드는 방법을 알아봅니다. 감사 데이터를 다른 SIEM(보안 인시던트 및 이벤트 관리) 도구로 보내고, 특정 이벤트에 대한 경고를 트리거하고, 감사 데이터에 대한 보기를 만들고, 변칙 검색을 수행하는 기능과 같은 새로운 가능성을 엽니다. 또한 스트림을 설정하면 90일 이상의 감사 데이터를 저장할 수 있습니다. 이는 Azure DevOps가 조직에 대해 유지하는 최대 데이터 양입니다.
Important
감사는 Microsoft Entra ID에서 지원하는 조직에서만 사용할 수 있습니다. 자세한 내용은 Microsoft Entra ID에 조직 연결을 참조하세요.
감사 스트림은 Azure DevOps 조직에서 스트림 대상으로 감사 이벤트를 흐르는 파이프라인을 나타냅니다. 반 시간 이하마다 새 감사 이벤트가 번들로 묶이고 대상으로 스트리밍됩니다. 구성에 사용할 수 있는 스트림 대상은 다음과 같습니다.
- Splunk – 온-프레미스 또는 클라우드 기반 Splunk에 연결합니다.
- Azure Monitor 로그 - Azure Monitor 로그에 감사 로그를 보냅니다. Azure Monitor 로그에 저장된 로그를 쿼리하고 경고를 구성할 수 있습니다. AzureDevOpsAuditing이라는 테이블을 찾습니다. Microsoft Sentinel을 작업 영역에 연결할 수도 있습니다.
- Azure Event Grid – Azure 내부 또는 외부에서 감사 로그를 다른 곳으로 보내려는 시나리오의 경우 Azure Event Grid 연결을 설정할 수 있습니다.
프라이빗 연결된 작업 영역은 현재 지원되지 않습니다.
참고 항목
Azure DevOps Server의 온-프레미스 배포에는 감사를 사용할 수 없습니다. 감사 스트림을 온-프레미스 또는 클라우드 기반 Splunk 인스턴스에 연결할 수 있지만 인바운드 연결에 IP 범위를 허용하는지 확인합니다. 자세한 내용은 허용된 주소 목록 및 네트워크 연결, IP 주소 및 범위 제한을 참조 하세요.
필수 조건
감사는 모든 Azure DevOps Services 조직에 대해 기본적으로 해제됩니다. 권한 있는 직원만 중요한 감사 정보에 액세스할 수 있는지 확인합니다.
사용 권한: PCA(프로젝트 컬렉션 관리자) 그룹의 구성원이 되거나(조직 소유자이 그룹의 자동으로 구성원임) 사용자 또는 그룹당 다음과 같은 감사 권한이 있습니다.
- 감사 스트림 관리
- 감사 로그 보기
PCA는 조직 설정>보안 > 권한을 통해 조직 스트림을 관리하기 위해 모든 사용자 또는 그룹에 이러한 권한을 부여할 수 있습니다. PCA는 감사 스트림 삭제 권한을 할당 할 수도 있습니다 .
참고 항목
조직에서 특정 프로젝트 미리 보기 기능에 대한 사용자 가시성 및 공동 작업 제한 기능을 사용하도록 설정한 경우 프로젝트 범위 사용자 그룹의 사용자는 감사를 볼 수 없으며 조직 설정 페이지에 대한 가시성이 제한됩니다. 자세한 내용과 중요한 보안 관련 세부 정보는 프로젝트 등에 대한 사용자 가시성 제한을 참조하세요.
스트림 만들기
조직에 로그인합니다(
https://dev.azure.com/{Your_Organization}
).조직 설정을 선택합니다 .
감사를 선택합니다.
참고 항목
조직 설정에 감사가 표시되지 않으면 현재 조직에서 감사를 사용할 수 없습니다. 조직 소유자 또는 PCA(프로젝트 컬렉션 관리자) 그룹의 누군가가 조직 정책에서 감사를 사용하도록 설정해야 합니다. 그러면 적절한 권한이 있는 경우 감사 페이지에서 이벤트를 볼 수 있습니다.
스트림 탭으로 이동한 다음 새 스트림을 선택합니다.
구성하려는 스트림 대상을 선택한 다음, 다음 지침 중에서 선택하여 스트림 대상 유형을 설정합니다.
참고 항목
지금은 각 대상 유형에 대해 2개의 스트림만 가질 수 있습니다.
Splunk 스트림 설정
스트림은 HTTP 이벤트 수집기 엔드포인트를 통해 Splunk로 데이터를 보냅니다.
Splunk에서 이 기능을 사용하도록 설정합니다. 자세한 내용은 이 Splunk 설명서를 참조하세요.
사용하도록 설정되면 HTTP 이벤트 수집기 토큰과 Splunk 인스턴스에 대한 URL이 있어야 합니다. Splunk 스트림을 만들려면 토큰과 URL이 모두 필요합니다.
참고 항목
Splunk에서 새 이벤트 수집기 토큰을 만드는 경우 "인덱서 승인 사용"을 확인하지 마세요. 확인되면 이벤트가 Splunk로 흐르지 않습니다. Splunk에서 토큰을 편집하여 해당 설정을 제거할 수 있습니다.
Splunk 인스턴스에 대한 포인터인 Splunk URL을 입력합니다. URL의 끝에 포트를 지정해야 합니다. 기본 포트는 URL과
8088
비슷하거나https://prd-p-2k3mp2xhznbs.splunkcloud.com
입니다https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
.만든 이벤트 수집기 토큰을 토큰 필드에 입력합니다. 토큰은 Azure DevOps 내에 안전하게 저장되며 UI에 다시 표시되지 않습니다. Splunk에서 새 토큰을 가져오고 스트림을 편집하여 수행할 수 있는 토큰을 정기적으로 회전하는 것이 좋습니다.
설정을 선택합니다.
스트림이 구성되고 이벤트가 반 시간 이내에 Splunk에 도착하기 시작합니다.
Event Grid 스트림 설정
- Azure에서 Event Grid 토픽을 만듭니다.
참고 항목
고급 탭으로 이동하여 이벤트 스키마가 Event Grid 스키마로 설정되어 있는지 확인합니다. 다른 스키마는 Azure DevOps에서 지원되지 않습니다.
"토픽 엔드포인트"와 두 "액세스 키" 중 하나를 기록해 둡니다. 이 정보를 사용하여 Event Grid 연결을 만듭니다.
토픽 엔드포인트와 액세스 키 중 하나를 입력합니다. 액세스 키는 Azure DevOps 내에 안전하게 저장되며 UI에 다시 표시되지 않습니다. Azure Event Grid에서 새 키를 가져오고 스트림을 편집하여 수행할 수 있는 액세스 키를 정기적으로 회전합니다.
Event Grid 스트림이 구성되면 Event Grid에서 구독을 설정하여 Azure의 거의 모든 위치에서 데이터를 보낼 수 있습니다.
Azure Monitor 로그 스트림 설정
Log Analytics 작업 영역을 만듭니다.
작업 영역을 열고 에이전트를 선택합니다.
Log Analytics 에이전트 지침을 선택하여 작업 영역 ID 및 기본 키를 확인합니다 .
작업 영역 ID 및 기본 키를 기록해 둡니다.
동일한 초기 단계를 진행하여 스트림을 만들어 Azure Monitor 로그 스트림을 설정합니다.
대상 옵션의 경우 Azure Monitor 로그를 선택합니다.
작업 영역 ID 및 기본 키를 입력한 다음 설정을 선택합니다. 기본 키는 Azure DevOps 내에 안전하게 저장되며 UI에 다시 표시되지 않습니다. Azure Monitor 로그에서 새 키를 가져오고 스트림을 편집하여 수행할 수 있는 키를 정기적으로 회전합니다.
스트림이 활성화되고 새 이벤트가 반 시간 이내에 흐르기 시작합니다. AzureDevOpsAuditing 테이블을 참조할 수 있습니다.
참고 항목
Azure Monitor 로그의 기본 보존 시간은 30일입니다. 작업 영역 설정에서 사용량 및 예상 비용에서 데이터 보존을 선택하여 더 긴 보존을 구성하고 선택할 수 있습니다. 그러면 추가 요금이 발생합니다. 자세한 내용은 Azure Monitor 로그를 사용하여 사용량 및 비용을 관리하려면 설명서를 확인하세요.
스트림 편집
스트림 대상에 대한 세부 정보는 시간이 지남에 따라 변경 될 수 있습니다. 이러한 변경 내용을 스트림에 반영하려면 편집할 수 있습니다. 스트림을 편집하려면 감사 스트림 관리 권한이 있는지 확인 합니다 .
편집할 스트림 옆에 있는 맨 오른쪽에 있는 세로 세 개의 점을 선택한 다음 스트림 편집을 선택합니다.
저장을 선택합니다.
편집에 사용할 수 있는 매개 변수는 스트림 유형마다 다릅니다.
스트림 사용 안 함
사용하지 않도록 설정하려는 스트림 옆에 있는 사용 설정 토글을 켜기에서 해제로 이동합니다.
스트림에 오류가 발생하면 사용하지 않도록 설정될 수 있습니다. 스트림 옆에 표시된 상태 또는 스트림 편집을 선택하여 오류에 대한 세부 정보를 가져올 수 있습니다. 스트림을 수동으로 사용하지 않도록 설정한 다음 나중에 다시 사용하도록 설정할 수도 있습니다.저장을 선택합니다.
비활성화된 스트림을 다시 사용하도록 설정할 수 있습니다. 지난 7일 동안 누락된 감사 이벤트를 확인합니다. 이렇게 하면 스트림이 비활성화된 기간의 이벤트를 놓치지 않습니다.
참고 항목
스트림이 7일 이상 사용하지 않도록 설정된 경우 7일보다 오래된 이벤트는 캐치업에 포함되지 않습니다.
스트림 삭제
스트림을 삭제하려면 감사 스트림 삭제 권한이 있는지 확인 합니다 .
Important
스트림을 삭제하면 다시 가져올 수 없습니다.
삭제하려는 스트림을 마우스로 가리키고 맨 오른쪽에 있는 세 개의 점을 선택합니다.
스트림 삭제를 선택합니다.
확인을 선택합니다.
시스템에서 스트림을 제거합니다. 삭제 전에 보내지 않은 이벤트는 전송되지 않습니다.