Criar streaming de auditoria

Azure DevOps Services

Observação

A auditoria ainda está em versão prévia pública.

Saiba como criar um fluxo de auditoria , que envia dados para outros locais para processamento posterior. Envie dados de auditoria para outras ferramentas de SIEM (Gerenciamento de Incidentes e Eventos de Segurança) e abra novas possibilidades, como a capacidade de disparar alertas para eventos específicos, criar exibições de dados de auditoria e executar a detecção de anomalias. A configuração de um fluxo também permite armazenar mais de 90 dias de dados de auditoria, que é a quantidade máxima de dados que o Azure DevOps mantém para suas organizações.

Importante

A auditoria só está disponível para organizações com suporte do Microsoft Entra ID. Para obter mais informações, consulte Conectar sua organização ao Microsoft Entra ID.

Os fluxos de auditoria representam um pipeline que flui eventos de auditoria de sua organização do Azure DevOps para um destino de fluxo. A cada meia hora ou menos, novos eventos de auditoria são agrupados e transmitidos para seus destinos. Os seguintes destinos de fluxo estão disponíveis para configuração.

• Splunk – Conecte-se ao Splunk local ou baseado em nuvem.
• Logs do Azure Monitor - Envie logs de auditoria para os Logs do Azure Monitor. Os logs armazenados nos Logs do Azure Monitor podem ser consultados e ter alertas configurados. Procure a tabela chamada AzureDevOpsAuditing. Você também pode conectar o Microsoft Sentinel ao seu espaço de trabalho.
• Grade de Eventos do Azure – Para cenários em que você deseja que seus logs de auditoria sejam enviados para outro lugar, dentro ou fora do Azure, você pode configurar uma conexão de Grade de Eventos do Azure.

Espaços de trabalho vinculados privados não são suportados atualmente.

Observação

A auditoria não está disponível para implantações locais de Azure DevOps Server. É possível conectar um fluxo de auditoria a uma instância local ou baseada em nuvem do Splunk, mas certifique-se de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.

Pré-requisitos

Por padrão, os Administradores de Coleção de Projetos (PCAs) são o único grupo que tem acesso ao recurso de auditoria. As seguintes permissões são necessárias:

• Gerenciar fluxos de auditoria

• Exibir log de auditoria

  

Essas permissões podem ser concedidas a qualquer usuário ou grupo que você deseje que gerencie os fluxos da sua organização. Além disso, também há uma permissão Excluir fluxos de auditoria que você pode adicionar para usuários ou grupos.

Criar um fluxo

1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Configurações da organização.

   

3. Selecione Auditoria.

   

Observação

Se você não vir Auditoria nas Configurações da Organização, a auditoria não está habilitada no momento para sua organização. Alguém no proprietário da organização ou no grupo Administradores de Coleção de Projetos (PCAs) deve habilitar a Auditoria em Diretivas da Organização. Em seguida, você poderá ver eventos na página Auditoria se tiver as permissões apropriadas.

4. Vá para a guia Fluxos e selecione Novo fluxo.

   

5. Selecione o destino de fluxo que você deseja configurar e, em seguida, selecione uma das instruções a seguir para configurar seu tipo de destino de fluxo.

   • Splunk
   • Grade de Eventos
   • Azure Monitor Log

Observação

No momento, você só pode ter 2 fluxos para cada tipo de destino.

Configurar um fluxo do Splunk

Os fluxos enviam dados para o Splunk por meio do ponto de extremidade do Coletor de Eventos HTTP.

1. Habilite esse recurso no Splunk. Para obter mais informações, consulte esta documentação do Splunk.

   Depois de habilitado, você deve ter um token do Coletor de Eventos HTTP e a URL para sua instância do Splunk. Você precisa do token e da URL para criar um fluxo Splunk.

   Observação

   Ao criar um novo token do Coletor de Eventos no Splunk, não marque "Habilitar confirmação do indexador". Se estiver marcado, nenhum evento fluirá para o Splunk. Você pode editar o token no Splunk para remover essa configuração.

2. Insira a URL do Splunk, que é o ponteiro para a instância do Splunk. Certifique-se de especificar uma porta no final da URL. A porta padrão é 8088, portanto, sua URL seria semelhante a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 ou https://prd-p-2k3mp2xhznbs.splunkcloud.com.

3. Insira o token do coletor de eventos que você criou no campo de token. O token é armazenado com segurança no Azure DevOps e nunca mais é exibido na interface do usuário. Recomendamos girar o token regularmente, o que você pode fazer obtendo um novo token do Splunk e editando o fluxo.

   

4. Selecione Configurar e seu fluxo está configurado.

Os eventos começam a chegar ao Splunk dentro de meia hora ou menos.

Configurar um fluxo de grade de eventos

1. Crie um tópico de Grade de Eventos no Azure.

2. Anote o "Ponto de extremidade do tópico" e uma das duas "Chaves de acesso". Use essas informações para criar a conexão de grade de eventos.

   

3. Insira o ponto de extremidade do tópico e uma das chaves de acesso. A chave de acesso é armazenada com segurança no Azure DevOps e nunca mais é exibida na interface do usuário. Gire a chave de acesso regularmente, o que você pode fazer obtendo uma nova chave da Grade de Eventos do Azure e editando o fluxo

   

Depois de configurar o fluxo da Grade de Eventos, você poderá configurar assinaturas na Grade de Eventos para enviar os dados para praticamente qualquer lugar no Azure.

Configurar um fluxo de log do Azure Monitor

1. Crie um workspace do Log Analytics.

2. Abra o espaço de trabalho e selecione Agentes.

3. Selecione Instruções do agente do Log Analytics para exibir a ID do espaço de trabalho e a chave primária.

4. Anote a ID do espaço de trabalho e a chave primária.

   

5. Configure seu fluxo de log do Monitor do Azure prosseguindo com as mesmas etapas iniciais para criar um fluxo.

6. Para opções de destino, selecione Logs do Azure Monitor.

7. Insira a ID do espaço de trabalho e a chave primária e selecione Configurar. A chave primária é armazenada com segurança no Azure DevOps e nunca mais é exibida na interface do usuário. Gire a chave regularmente, o que você pode fazer obtendo uma nova chave do Log do Monitor do Azure e editando o fluxo.

   

O fluxo é habilitado e novos eventos começam a fluir dentro de meia hora ou menos. Você pode fazer referência à tabela AzureDevOpsAuditing.

Observação

O tempo de retenção padrão para os Logs do Azure Monitor é de apenas 30 dias. Você pode configurar e escolher uma retenção mais longa selecionando Retenção de dados em Uso e custos estimados nas configurações do espaço de trabalho. Isso implica custos adicionais. Consulte a documentação para gerenciar o uso e os custos com os Logs do Azure Monitor para obter mais detalhes.

Editar um fluxo

Os detalhes sobre o destino do fluxo podem mudar com o tempo. Para refletir essas alterações em seus fluxos, você pode editá-las. Para editar um fluxo, verifique se você tem a permissão Gerenciar fluxos de auditoria.

1. Ao lado do fluxo que você deseja editar, selecione os três pontos verticais na extrema direita e selecione Editar fluxo.

   

2. Selecione Salvar.

Os parâmetros disponíveis para edição diferem por tipo de fluxo.

Desabilitar um fluxo

1. Ao lado do fluxo que você deseja desabilitar, mova a alternância Habilitado de Ativadopara Desativado.
   Quando os fluxos encontram uma falha, eles podem ficar desativados. Você pode obter detalhes sobre a falha no status mostrado ao lado do fluxo ou selecionando Editar fluxo. Você também pode desabilitar um fluxo manualmente e reativá-lo mais tarde.

   

2. Selecione Salvar.

Você pode reativar um fluxo desabilitado. Ele alcança todos os eventos de auditoria que foram perdidos até os sete dias anteriores. Dessa forma, você não perde nenhum evento da duração em que o fluxo foi desabilitado.

Observação

Se um fluxo estiver desabilitado por mais de 7 dias, os eventos com mais de 7 dias não serão incluídos na atualização.

Excluir um fluxo

Para excluir um fluxo, verifique se você tem a permissão Excluir fluxos de auditoria.

Importante

Depois de excluir um fluxo, você não pode recuperá-lo.

1. Passe o mouse sobre o fluxo que você deseja excluir e selecione os três pontos verticais na extrema direita.

2. Selecione Excluir fluxo.

   

3. Selecione Confirmar.

Seu fluxo é removido. Quaisquer eventos que não tenham sido enviados antes da exclusão não são enviados.

Artigos relacionados

• Revisar log de auditoria
• Exportar eventos de auditoria
• Lista de eventos de auditoria
• Apresentando o Fluxo de Auditoria de DevOps do Azure no blog do Azure DevOps