Controlestreaming maken
Azure DevOps Services
Notitie
Controle is nog steeds beschikbaar als openbare preview.
Meer informatie over het maken van een controlestroom , waarmee gegevens naar andere locaties worden verzonden voor verdere verwerking. Verzend controlegegevens naar andere SIEM-hulpprogramma's (Security Incident and Event Management) en open nieuwe mogelijkheden, zoals de mogelijkheid om waarschuwingen voor specifieke gebeurtenissen te activeren, weergaven te maken over controlegegevens en anomaliedetectie uit te voeren. Als u een stream instelt, kunt u ook meer dan 90 dagen aan controlegegevens opslaan. Dit is de maximale hoeveelheid gegevens die azure DevOps voor uw organisaties bewaart.
Belangrijk
Controle is alleen beschikbaar voor organisaties die worden ondersteund door Microsoft Entra ID. Zie Uw organisatie verbinden met Microsoft Entra ID voor meer informatie.
Controlestromen vertegenwoordigen een pijplijn die controlegebeurtenissen van uw Azure DevOps-organisatie naar een streamdoel stroomt. Elk half uur of minder worden nieuwe controlegebeurtenissen gebundeld en naar uw doelen gestreamd. De volgende streamdoelen zijn beschikbaar voor configuratie.
- Splunk : verbinding maken met on-premises of cloudgebaseerde Splunk.
- Azure Monitor-logboeken : controlelogboeken verzenden naar Azure Monitor-logboeken. Logboeken die zijn opgeslagen in Azure Monitor-logboeken kunnen worden opgevraagd en waarschuwingen hebben geconfigureerd. Zoek de tabel Met de naam AzureDevOpsAuditing. U kunt Microsoft Sentinel ook verbinden met uw werkruimte.
- Azure Event Grid : voor scenario's waarin u wilt dat uw controlelogboeken ergens anders worden verzonden, binnen of buiten Azure, kunt u een Azure Event Grid-verbinding instellen.
Privé-gekoppelde werkruimten worden momenteel niet ondersteund.
Notitie
Controle is niet beschikbaar voor on-premises implementaties van Azure DevOps Server. Het is mogelijk om een auditstream te verbinden met een on-premises of cloudexemplaren van Splunk, maar zorg ervoor dat u IP-bereiken toestaat voor binnenkomende verbindingen. Zie Toegestane adreslijsten en netwerkverbindingen, IP-adressen en bereikbeperkingen voor meer informatie.
Vereisten
Projectverzamelingsbeheerders (PCA's) zijn standaard de enige groep die toegang heeft tot de controlefunctie. U moet over de volgende machtigingen beschikken:
Controlestromen beheren
Auditlogboek weergeven
Deze machtigingen kunnen worden verleend aan alle gebruikers of groepen die u de streams van uw organisatie wilt beheren. Daarnaast is er ook een machtiging controlestromen verwijderen die u kunt toevoegen voor gebruikers of groepen.
Een stream maken
Meld u aan bij uw organisatie (
https://dev.azure.com/{yourorganization}
).Selecteer Organisatie-instellingen.
Selecteer Controle.
Notitie
Als u Controle niet ziet in Organisatie-instellingen, is controle momenteel niet ingeschakeld voor uw organisatie. Iemand in de groep eigenaar van de organisatie of beheerder van projectverzamelingen (PCA's) moet Controle in organisatiebeleid inschakelen. Vervolgens kunt u gebeurtenissen zien op de pagina Controle als u over de juiste machtigingen beschikt.
Ga naar het tabblad Streams en selecteer vervolgens Nieuwe stream.
Selecteer het streamdoel dat u wilt configureren en selecteer vervolgens in de volgende instructies om uw streamdoeltype in te stellen.
Notitie
Op dit moment kunt u slechts 2 streams voor elk doeltype hebben.
Een Splunk-stream instellen
Streams verzenden gegevens naar Splunk via het HTTP Event Collector-eindpunt.
Schakel deze functie in in Splunk. Raadpleeg deze Splunk-documentatie voor meer informatie.
Zodra deze is ingeschakeld, moet u een HTTP Event Collector-token en de URL naar uw Splunk-exemplaar hebben. U hebt zowel het token als de URL nodig om een Splunk-stream te maken.
Notitie
Wanneer u een nieuw Token voor gebeurtenisverzamelaar maakt in Splunk, schakelt u 'Bevestiging van indexeerfunctie inschakelen' niet in. Als dit is ingeschakeld, stromen er geen gebeurtenissen naar Splunk. U kunt het token in Splunk bewerken om die instelling te verwijderen.
Voer uw Splunk-URL in. Dit is de aanwijzer naar uw Splunk-exemplaar. Zorg ervoor dat u een poort opgeeft aan het einde van de URL. De standaardpoort is
8088
, zodat uw URL vergelijkbaar is methttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
ofhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Voer het token voor de gebeurtenisverzamelaar in dat u hebt gemaakt in het tokenveld. Het token wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. We raden u aan het token regelmatig te draaien, wat u kunt doen door een nieuw token op te halen uit Splunk en de stream te bewerken.
Selecteer Instellen en geconfigureerd voor uw stream.
Gebeurtenissen beginnen binnen een half uur of minder op Splunk te komen.
Een Event Grid-stream instellen
- Een Event Grid-onderwerp maken in Azure.
Notitie
Wanneer u het Event Grid-onderwerp maakt, gaat u naar het tabblad Geavanceerd en zorgt u ervoor dat het gebeurtenisschema is ingesteld op Event Grid-schema. Andere schema's worden niet ondersteund door Azure DevOps. 2. Noteer het onderwerpeindpunt en een van de twee toegangssleutels. Gebruik deze informatie om de Event Grid-verbinding te maken.
Voer het eindpunt van het onderwerp en een van de toegangssleutels in. De toegangssleutel wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. Draai de toegangssleutel regelmatig, wat u kunt doen door een nieuwe sleutel op te halen uit Azure Event Grid en de stream te bewerken
Zodra uw Event Grid-stream is geconfigureerd, kunt u abonnementen instellen op Event Grid om de gegevens bijna overal in Azure te verzenden.
Een Azure Monitor-logboekstream instellen
Maak een Log Analytics-werkruimte.
Open de werkruimte en selecteer Agents.
Selecteer de instructies van de Log Analytics-agent om de werkruimte-id en primaire sleutel weer te geven.
Noteer de werkruimte-id en primaire sleutel.
Stel uw Azure Monitor-logboekstream in door dezelfde initiële stappen te doorlopen om een stream te maken.
Voor doelopties selecteert u Azure Monitor-logboeken.
Voer de werkruimte-id en primaire sleutel in en selecteer Instellen. De primaire sleutel wordt veilig opgeslagen in Azure DevOps en wordt nooit meer weergegeven in de gebruikersinterface. Draai de sleutel regelmatig, wat u kunt doen door een nieuwe sleutel op te halen uit het Azure Monitor-logboek en de stream te bewerken.
De stream is ingeschakeld en nieuwe gebeurtenissen beginnen binnen een half uur of minder te stromen. U kunt verwijzen naar de tabel AzureDevOpsAuditing.
Notitie
De standaardretentietijd voor Azure Monitor-logboeken is alleen 30 dagen. U kunt langere retentie configureren en kiezen door Gegevensretentie te selecteren onder Gebruik en geschatte kosten in uw werkruimte-instellingen. Hiervoor worden extra kosten in rekening gebracht. Raadpleeg de documentatie voor het beheren van gebruik en kosten met Azure Monitor-logboeken voor meer informatie.
Een stream bewerken
Details over uw streamdoel kunnen na verloop van tijd veranderen. Als u deze wijzigingen in uw streams wilt weergeven, kunt u ze bewerken. Als u een stream wilt bewerken, moet u de machtiging Controlestromen beheren hebben.
Naast de stroom die u wilt bewerken, selecteert u de verticale drie puntjes uiterst rechts en selecteert u Stroom bewerken.
Selecteer Opslaan.
Parameters die beschikbaar zijn voor bewerken verschillen per stroomtype.
Een stream uitschakelen
Verplaats de wisselknop Ingeschakeld van Aan naar Uit naast de stroom die u wilt uitschakelen.
Wanneer streams een fout tegenkomen, kunnen ze worden uitgeschakeld. U kunt details over de fout ophalen uit de status die naast de stream wordt weergegeven of door De stroom bewerken te selecteren. U kunt een stream ook handmatig uitschakelen en deze later opnieuw inschakelen.Selecteer Opslaan.
U kunt een uitgeschakelde stream opnieuw inschakelen. Het haalt alle controlegebeurtenissen op die tot de afgelopen zeven dagen zijn gemist. Op die manier mist u geen gebeurtenissen van de duur dat de stream is uitgeschakeld.
Notitie
Als een stream langer dan 7 dagen is uitgeschakeld, worden gebeurtenissen ouder dan 7 dagen niet opgenomen in de inhaalslag.
Een stream verwijderen
Als u een stream wilt verwijderen, moet u de machtiging Controlestromen verwijderen hebben.
Belangrijk
Zodra u een stream hebt verwijderd, kunt u deze niet meer terughalen.
Beweeg de muisaanwijzer over de stroom die u wilt verwijderen en selecteer de verticale drie puntjes uiterst rechts.
Selecteer Stream verwijderen.
Selecteer Bevestigen.
Uw stream wordt verwijderd. Gebeurtenissen die niet zijn verzonden voordat de verwijdering niet is verzonden.