Skapa granskningsströmning

  • Artikel

Azure DevOps Services

Kommentar

Granskning är fortfarande i offentlig förhandsversion.

Lär dig hur du skapar en granskningsström som skickar data till andra platser för vidare bearbetning. Skicka granskningsdata till andra SIEM-verktyg (Security Incident and Event Management) och öppna nya möjligheter, till exempel möjligheten att utlösa aviseringar för specifika händelser, skapa vyer för granskningsdata och utföra avvikelseidentifiering. När du konfigurerar en dataström kan du också lagra granskningsdata för mer än 90 dagar, vilket är den maximala mängden data som Azure DevOps behåller för dina organisationer.

Viktigt!

Granskning är endast tillgängligt för organisationer som backas upp av Microsoft Entra-ID. Mer information finns i Anslut din organisation till Microsoft Entra-ID.

Granskningsströmmar representerar en pipeline som flödar granskningshändelser från din Azure DevOps-organisation till ett strömmål. Varje halvtimme eller mindre paketeras nya granskningshändelser och strömmas till dina mål. Följande strömmål är tillgängliga för konfiguration.

  • Splunk – Anslut till lokal eller molnbaserad Splunk.
  • Azure Monitor-loggar – Skicka granskningsloggar till Azure Monitor-loggar. Loggar som lagras i Azure Monitor-loggar kan efterfrågas och få aviseringar konfigurerade. Leta efter tabellen med namnet AzureDevOpsAuditing. Du kan också ansluta Microsoft Sentinel till din arbetsyta.
  • Azure Event Grid – För scenarier där du vill att dina granskningsloggar ska skickas någon annanstans, oavsett om du befinner dig i eller utanför Azure, kan du konfigurera en Azure Event Grid-anslutning .

Privata länkade arbetsytor stöds inte i dag.

Kommentar

Granskning är inte tillgängligt för lokala distributioner av Azure DevOps Server. Det går att ansluta en granskningsström till en lokal eller molnbaserad instans av Splunk, men se till att du tillåter IP-intervall för inkommande anslutningar. Mer information finns i Tillåtna adresslistor och nätverksanslutningar, IP-adresser och intervallbegränsningar.

Förutsättningar

Som standard är projektsamlingsadministratörer (PCA) den enda grupp som har åtkomst till granskningsfunktionen. Du måste ha följande behörigheter:

  • Hantera granskningsströmmar

  • Visa granskningslogg

    Set audit permissions to Allow

Dessa behörigheter kan ges till alla användare eller grupper som du vill ha för att hantera organisationens strömmar. Dessutom finns det även behörigheten Ta bort granskningsströmmar som du kan lägga till för användare eller grupper.

Skapa en ström

  1. Logga in på din organisation (https://dev.azure.com/{yourorganization}).

  2. Välj gear iconOrganisationsinställningar.

    Screenshot showing highlighted Organization settings button.

  3. Välj Granskning.

    Select Auditing in Organization settings

Kommentar

Om du inte ser granskning i organisationen Inställningar är granskning för närvarande inte aktiverat för din organisation. Någon i gruppen organisationsägare eller projektsamlingsadministratörer måste aktivera granskning i organisationsprinciper. Sedan kan du se händelser på sidan Granskning om du har rätt behörigheter.

  1. Gå till fliken Flöden och välj sedan Ny ström.

    Select New stream to create your new auditing stream.

  2. Välj det strömmål som du vill konfigurera och välj sedan följande instruktioner för att konfigurera din dataströmmåltyp.

Kommentar

För närvarande kan du bara ha 2 strömmar för varje måltyp.

Create your stream dialog pop out

Konfigurera en Splunk-ström

Flöden skicka data till Splunk via HTTP-händelseinsamlarens slutpunkt.

  1. Aktivera den här funktionen i Splunk. Mer information finns i den här Splunk-dokumentationen.

    När den är aktiverad bör du ha en HTTP-händelseinsamlaretoken och URL:en till din Splunk-instans. Du behöver både token och URL för att skapa en Splunk-ström.

    Kommentar

    När du skapar en ny händelseinsamlaretoken i Splunk kontrollerar du inte "Aktivera indexerarens bekräftelse". Om den är markerad flödar inga händelser till Splunk. Du kan redigera token i Splunk för att ta bort den inställningen.

  2. Ange din Splunk-URL, som är pekaren till din Splunk-instans. Se till att du anger en port i slutet av URL:en. Standardporten är 8088, så din URL skulle likna https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 eller https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Ange den händelseinsamlaretoken som du skapade i tokenfältet. Token lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Vi rekommenderar att du roterar token regelbundet, vilket du kan göra genom att hämta en ny token från Splunk och redigera strömmen.

    Enter topic endpoint and access key that you noted earlier

  4. Välj Konfigurera och din dataström är konfigurerad.

Händelser börjar anlända på Splunk inom en halvtimme eller mindre.

Konfigurera en Event Grid-ström

  1. Skapa ett Event Grid-ämne i Azure.

  2. Anteckna "Ämnesslutpunkt" och en av de två "åtkomstnycklarna". Använd den här informationen för att skapa Event Grid-anslutningen.

    Azure Event Grid information

  3. Ange ämnesslutpunkten och en av åtkomstnycklarna. Åtkomstnyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera åtkomstnyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Event Grid och redigera dataströmmen

    Enter workspace ID and primary key to create

När du har konfigurerat Event Grid-strömmen kan du konfigurera prenumerationer på Event Grid för att skicka data nästan var som helst i Azure.

Konfigurera en Azure Monitor-loggström

  1. Skapa en Log Analytics-arbetsyta.

  2. Öppna arbetsytan och välj Agenter.

  3. Välj Log Analytics-agentinstruktioner för att visa arbetsytans ID och primärnyckel.

  4. Anteckna arbetsytans ID och primärnyckel.

    Make note of workspace ID and primary key

  5. Konfigurera azure monitor-loggströmmen genom att fortsätta med samma inledande steg för att skapa en dataström.

  6. För målalternativ väljer du Azure Monitor-loggar.

  7. Ange arbetsytans ID och primärnyckel och välj sedan Konfigurera. Den primära nyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera nyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Monitor-loggen och redigera dataströmmen.

    Enter workspace ID and primary key and then select Set up.

Strömmen är aktiverad och nya händelser börjar flöda inom en halvtimme eller mindre. Du kan referera till tabellen AzureDevOpsAuditing.

Kommentar

Standardtiden för kvarhållning för Azure Monitor-loggar är endast 30 dagar. Du kan konfigurera och välja längre kvarhållning genom att välja Datakvarhållning under Användning och uppskattade kostnader i dina arbetsyteinställningar. Detta medför ytterligare avgifter. Mer information finns i dokumentationen för att hantera användning och kostnader med Azure Monitor-loggar.

Redigera en dataström

Information om ditt stream-mål kan ändras med tiden. Om du vill återspegla dessa ändringar i dina strömmar kan du redigera dem. Om du vill redigera en dataström kontrollerar du att du har behörigheten Hantera granskningsströmmar .

  1. Bredvid den ström som du vill redigera väljer du de tre lodräta punkterna längst till höger och väljer sedan Redigera ström.

    Select Edit stream

  2. Välj Spara.

De parametrar som är tillgängliga för redigering skiljer sig åt per strömtyp.

Inaktivera en ström

  1. Bredvid den ström som du vill inaktivera flyttar du växlingsknappen Aktiverad från till Av.
    När strömmar påträffar ett fel kan de inaktiveras. Du kan få information om felet från statusen som visas bredvid strömmen eller genom att välja Redigera ström. Du kan också inaktivera en ström manuellt och sedan återaktivera den senare.

    Move toggle to Off to disable stream

  2. Välj Spara.

Du kan återaktivera en inaktiverad ström. Den kommer ikapp alla granskningshändelser som missats i upp till de föregående sju dagarna. På så sätt missar du inte några händelser från den tid som strömmen inaktiverades.

Kommentar

Om en ström är inaktiverad i mer än 7 dagar ingår inte händelser som är äldre än 7 dagar i komma ikapp.

Ta bort en dataström

Om du vill ta bort en dataström kontrollerar du att du har behörigheten Ta bort granskningsströmmar .

Viktigt!

När du har tagit bort en ström kan du inte få tillbaka den.

  1. Hovra över strömmen som du vill ta bort och välj de tre lodräta punkterna längst till höger.

  2. Välj Ta bort ström.

    Select Delete stream and it's removed

  3. Välj Bekräfta.

Strömmen tas bort. Händelser som inte har skickats innan borttagningen skickas inte.