Создание потоковой передачи данных аудита

  • Статья

Azure DevOps Services

Примечание.

Аудит по-прежнему находится в общедоступной предварительной версии.

Узнайте, как создать поток аудита , который отправляет данные в другие расположения для дальнейшей обработки. Отправьте данные аудита в другие средства управления инцидентами безопасности и событиями (SIEM) и откройте новые возможности, такие как возможность активировать оповещения для определенных событий, создавать представления об аудите данных и выполнять обнаружение аномалий. Настройка потока также позволяет хранить более 90 дней для аудита данных, что является максимальным объемом данных, которые Azure DevOps хранит для ваших организаций.

Важно!

Аудит доступен только для организаций, поддерживаемых идентификатором Microsoft Entra. Дополнительные сведения см. в Подключение вашей организации с идентификатором Microsoft Entra.

Потоки аудита представляют конвейер, который передает события аудита из организации Azure DevOps в целевой объект потока. Каждые полчаса или меньше новые события аудита упаковываются и передаются в целевые объекты. Для настройки доступны следующие целевые объекты потока.

  • Splunk — Подключение в локальную или облачную Splunk.
  • Журналы Azure Monitor. Отправка журналов аудита в журналы Azure Monitor. Журналы, хранящиеся в журналах Azure Monitor, можно запрашивать и настраивать оповещения. Найдите таблицу с именем AzureDevOpsAuditing. Вы также можете подключить Microsoft Sentinel к рабочей области.
  • Сетка событий Azure. Для сценариев, когда вы хотите, чтобы журналы аудита отправлялись в другое место, независимо от того, находится ли в Azure или за ее пределами, можно настроить подключение Сетка событий Azure.

Частные связанные рабочие области сегодня не поддерживаются.

Примечание.

Аудит недоступен для локальных развертываний Azure DevOps Server. Можно подключить поток аудита к локальному или облачному экземпляру Splunk, но убедитесь, что вы разрешаете диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.

Необходимые компоненты

По умолчанию коллекция проектов Администратор istrator (PCAs) — единственная группа, которая имеет доступ к функции аудита. У вас должны быть следующие разрешения:

  • Управление потоками аудита

  • Просмотр журнала аудита

    Set audit permissions to Allow

Эти разрешения можно предоставить любым пользователям или группам, которым вы хотите управлять потоками вашей организации. Кроме того, существует также разрешение "Удалить потоки аудита", которое можно добавить для пользователей или групп.

Создание потока

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconПараметры организации.

    Screenshot showing highlighted Organization settings button.

  3. Выберите "Аудит".

    Select Auditing in Organization settings

Примечание.

Если аудит не отображается в организации Параметры, аудит в настоящее время не включен для вашей организации. Кто-то в группе владелец организации или коллекции проектов Администратор istrator (PCAs) должен включить аудит в политиках организации. Затем вы сможете просматривать события на странице аудита, если у вас есть соответствующие разрешения.

  1. Перейдите на вкладку Потоки и выберите "Создать поток".

    Select New stream to create your new auditing stream.

  2. Выберите целевой объект потока, который требуется настроить, и выберите из следующих инструкций, чтобы настроить тип целевого объекта потока.

Примечание.

В настоящее время для каждого целевого типа можно использовать только 2 потока.

Create your stream dialog pop out

Настройка потока Splunk

Потоки отправлять данные в Splunk через конечную точку сборщика событий HTTP.

  1. Включите эту функцию в Splunk. Дополнительные сведения см. в этой документации по Splunk.

    После включения у вас должен быть маркер сборщика событий HTTP и URL-адрес экземпляра Splunk. Для создания потока Splunk требуется маркер и URL-адрес.

    Примечание.

    При создании маркера сборщика событий в Splunk не проверка "Включить подтверждение индексатора". Если это проверка, события не передаются в Splunk. Вы можете изменить маркер в Splunk, чтобы удалить этот параметр.

  2. Введите URL-адрес Splunk, который является указателем на экземпляр Splunk. Убедитесь, что в конце URL-адреса указан порт. По умолчанию используется 8088порт, поэтому URL-адрес будет похож на https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 или https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Введите маркер сборщика событий, созданный в поле маркера. Маркер хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Мы рекомендуем регулярно поворачивать маркер, который можно сделать, получив новый маркер из Splunk и изменив поток.

    Enter topic endpoint and access key that you noted earlier

  4. Выберите "Настройка" и настроено вашей потоковой передачи.

События начинают поступать на Splunk в течение получаса или меньше.

Настройка потока сетки событий

  1. Создайте раздел "Сетка событий" в Azure.

  2. Запишите "Конечная точка раздела" и один из двух ключей доступа. Используйте эти сведения для создания подключения сетки событий.

    Azure Event Grid information

  3. Введите конечную точку раздела и один из ключей доступа. Ключ доступа хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ доступа, который можно сделать, получив новый ключ из Сетка событий Azure и изменив поток.

    Enter workspace ID and primary key to create

После настройки потока сетки событий вы можете настроить подписки на сетку событий для отправки данных практически в любом месте в Azure.

Настройка потока журналов Azure Monitor

  1. Создание рабочей области Log Analytics.

  2. Откройте рабочую область и выберите агенты.

  3. Выберите инструкции агента Log Analytics для просмотра идентификатора рабочей области и первичного ключа.

  4. Запишите идентификатор рабочей области и первичный ключ.

    Make note of workspace ID and primary key

  5. Настройте поток журналов Azure Monitor, выполнив те же начальные шаги, чтобы создать поток.

  6. Для целевых параметров выберите журналы Azure Monitor.

  7. Введите идентификатор рабочей области и первичный ключ, а затем нажмите кнопку "Настройка". Первичный ключ хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ, который можно сделать, получив новый ключ из журнала Azure Monitor и изменив поток.

    Enter workspace ID and primary key and then select Set up.

Поток включен, а новые события начинаются в течение получаса или меньше. Вы можете ссылаться на таблицу AzureDevOpsAuditing.

Примечание.

Время хранения по умолчанию для журналов Azure Monitor составляет всего 30 дней. Вы можете настроить и выбрать более длительный срок хранения, выбрав "Хранение данных" в разделе "Использование" и предполагаемые затраты в параметрах рабочей области. Это взимает дополнительные расходы. Дополнительные сведения см. в документации по управлению использованием и затратами с помощью журналов Azure Monitor.

Изменение потока

Сведения о целевом объекте потока могут меняться с течением времени. Чтобы отразить эти изменения в потоках, их можно изменить. Чтобы изменить поток, убедитесь, что у вас есть разрешение "Управление потоками аудита".

  1. Рядом с потоком, который требуется изменить, выберите вертикальные три точки в правом верхнем углу, а затем нажмите кнопку "Изменить поток".

    Select Edit stream

  2. Выберите Сохранить.

Параметры, доступные для редактирования, отличаются на тип потока.

Отключение потока

  1. Рядом с потоком, который требуется отключить, переместите переключатель "Включено" в "Выкл.".
    При возникновении сбоя потоки могут быть отключены. Вы можете получить сведения о сбое из состояния, отображаемого рядом с потоком, или выбрав "Изменить поток". Вы также можете отключить поток вручную, а затем повторно включить его позже.

    Move toggle to Off to disable stream

  2. Выберите Сохранить.

Вы можете повторно включить отключенный поток. Он догоняет все события аудита, пропущенные до предыдущих семи дней. Таким образом, вы не пропустите какие-либо события из длительности отключения потока.

Примечание.

Если поток отключен более 7 дней, события старше 7 дней не включаются в поиск.

Удаление потока

Чтобы удалить поток, убедитесь, что у вас есть разрешение "Удалить потоки аудита".

Важно!

После удаления потока вы не сможете вернуть его.

  1. Наведите указатель мыши на поток, который нужно удалить, и выберите вертикальные три точки в правом углу.

  2. Выберите "Удалить поток".

    Select Delete stream and it's removed

  3. Выберите Подтвердить.

Поток удаляется. Все события, которые не были отправлены до удаления, не отправляются.