Denetim akışı oluşturma

  • Makale

Azure DevOps Services

Dekont

Denetim hala genel önizleme aşamasındadır.

Daha fazla işlem için verileri diğer konumlara gönderen bir denetim akışı oluşturmayı öğrenin. Denetim verilerini diğer Güvenlik Olayı ve Olay Yönetimi (SIEM) araçlarına gönderin ve belirli olaylar için uyarıları tetikleme, denetim verileri üzerinde görünüm oluşturma ve anomali algılama gerçekleştirme gibi yeni olasılıklar açın. Akış ayarlamak, Azure DevOps'un kuruluşunuz için sakladığı maksimum veri miktarı olan 90 günden fazla denetim verilerini depolamanıza da olanak tanır.

Önemli

Denetim yalnızca Microsoft Entra Id tarafından yedeklenen kuruluşlarda kullanılabilir. Daha fazla bilgi için bkz. Kuruluşunuzu Microsoft Entra Id'ye Bağlan.

Denetim akışları, denetim olaylarını Azure DevOps kuruluşunuzdan bir akış hedefine aktaran bir işlem hattını temsil eder. Yarım saatte bir veya daha kısa bir sürede yeni denetim olayları paketlenir ve hedeflerinize akışla aktarılır. Yapılandırma için aşağıdaki akış hedefleri kullanılabilir.

  • Splunk : Şirket içi veya bulut tabanlı Splunk'a Bağlan.
  • Azure İzleyici Günlükleri - Denetim günlüklerini Azure İzleyici Günlüklerine gönderin. Azure İzleyici Günlüklerinde depolanan günlükler sorgulanabilir ve uyarıların yapılandırılması gerekir. AzureDevOpsAuditing adlı tabloyu arayın. Microsoft Sentinel'i çalışma alanınıza da bağlayabilirsiniz.
  • Azure Event Grid – Denetim günlüklerinizin Azure'ın içinde veya dışında başka bir yere gönderilmesini istediğiniz senaryolar için bir Azure Event Grid bağlantısı ayarlayabilirsiniz.

Özel bağlantılı çalışma alanları bugün desteklenmemektedir.

Dekont

Azure DevOps Server'ın şirket içi dağıtımlarında denetim kullanılamaz. Bir denetim akışını şirket içi veya bulut tabanlı splunk örneğine bağlamak mümkündür, ancak gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olun. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.

Ön koşullar

Varsayılan olarak, denetim özelliğine erişimi olan tek grup Project Collection Yönetici istrators (PCAs). Aşağıdaki izinlere sahip olmanız gerekir:

  • Denetim akışlarını yönetme

  • Denetim günlüğünü görüntüleme

    Set audit permissions to Allow

Bu izinler, kuruluşunuzun akışlarını yönetmek istediğiniz tüm kullanıcılara veya gruplara verilebilir. Ayrıca, kullanıcılar veya gruplar için ekleyebileceğiniz denetim akışlarını silme izni de vardır.

Akış oluşturma

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. gear iconKuruluş ayarları'nı seçin.

    Screenshot showing highlighted Organization settings button.

  3. Denetim'i seçin.

    Select Auditing in Organization settings

Dekont

Kuruluş Ayarlar'nde Denetim seçeneğini görmüyorsanız, kuruluşunuz için denetim şu anda etkin değildir. Kuruluş sahibi veya Proje Koleksiyonu Yönetici istrators (PCA) grubundaki birinin Kuruluş İlkelerinde Denetimi etkinleştirmesi gerekir. Daha sonra uygun izinlere sahipseniz Denetim sayfasında olayları görebilirsiniz.

  1. Akışlar sekmesine gidip Yeni akış'ı seçin.

    Select New stream to create your new auditing stream.

  2. Yapılandırmak istediğiniz akış hedefini seçin ve ardından akış hedef türünüzü ayarlamak için aşağıdaki yönergelerden birini seçin.

Dekont

Şu anda her hedef türü için yalnızca 2 akışınız olabilir.

Create your stream dialog pop out

Splunk akışı ayarlama

Akışlar HTTP Olay Toplayıcısı uç noktası aracılığıyla Splunk'a veri gönderin.

  1. Splunk'ta bu özelliği etkinleştirin. Daha fazla bilgi için bu Splunk belgelerine bakın.

    Etkinleştirildikten sonra bir HTTP Olay Toplayıcı belirtecine ve Splunk örneğinizin URL'sine sahip olmanız gerekir. Splunk akışı oluşturmak için hem belirteç hem de URL gerekir.

    Dekont

    Splunk'ta yeni bir Olay Toplayıcı belirteci oluştururken "Dizin oluşturucu onaylarını etkinleştir" seçeneğini işaretlemeyin. İşaretlenirse Splunk'a hiçbir olay akışı yapılmaz. Splunk'ta belirteci düzenleyerek bu ayarı kaldırabilirsiniz.

  2. Splunk örneğinizin işaretçisi olan Splunk URL'nizi girin. URL'nin sonunda bir bağlantı noktası belirttiğinizden emin olun. Varsayılan bağlantı noktası şeklindedir, 8088dolayısıyla URL'niz veya https://prd-p-2k3mp2xhznbs.splunkcloud.comile https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 benzer olur.

  3. Oluşturduğunuz olay toplayıcı belirtecini belirteç alanına girin. Belirteç Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Splunk'tan yeni bir belirteç alıp akışı düzenleyerek yapabileceğiniz belirteci düzenli olarak döndürmenizi öneririz.

    Enter topic endpoint and access key that you noted earlier

  4. Ayarla'yı seçin ve akışınız yapılandırıldı.

Olaylar yarım saat veya daha kısa bir sürede Splunk'a gelmeye başlar.

Event Grid akışı ayarlama

  1. Azure'da bir Event Grid konusu oluşturun.

  2. "Konu Uç Noktası"nı ve iki "Erişim Anahtarı"nın birini not edin. Event Grid bağlantısını oluşturmak için bu bilgileri kullanın.

    Azure Event Grid information

  3. Konu uç noktasını ve erişim anahtarlarından birini girin. Erişim anahtarı Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Azure Event Grid'den yeni bir anahtar alıp akışı düzenleyerek yapabileceğiniz erişim anahtarını düzenli olarak döndürün

    Enter workspace ID and primary key to create

Event Grid akışınızı yapılandırdıktan sonra Event Grid'de abonelikleri ayarlayarak verileri Azure'ın hemen her yerinde gönderebilirsiniz.

Azure İzleyici Günlük akışı ayarlama

  1. Log Analytics çalışma alanı oluşturun.

  2. Çalışma alanını açın ve Aracılar'ı seçin.

  3. Çalışma alanı kimliğini ve birincil anahtarı görüntülemek için Log Analytics aracısı yönergeleri'ni seçin.

  4. Çalışma alanı kimliğini ve birincil anahtarı not edin.

    Make note of workspace ID and primary key

  5. Akış oluşturmak için aynı başlangıç adımlarını izleyerek Azure İzleyici günlük akışınızı ayarlayın.

  6. Hedef seçenekler için Azure İzleyici Günlükleri'ni seçin.

  7. Çalışma alanı kimliğini ve birincil anahtarı girip Ayarla'yı seçin. Birincil anahtar Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Anahtarı düzenli olarak döndürün; bunu Azure İzleyici Günlüğü'nden yeni bir anahtar alıp akışı düzenleyerek yapabilirsiniz.

    Enter workspace ID and primary key and then select Set up.

Akış etkinleştirilir ve yeni olaylar yarım saat veya daha kısa bir sürede akmaya başlar. AzureDevOpsAuditing tablosuna başvurabilirsiniz.

Dekont

Azure İzleyici Günlükleri için varsayılan saklama süresi yalnızca 30 gündür. Çalışma alanı ayarlarınızda Kullanım ve tahmini maliyetler'in altında Veri Saklama'yı seçerek daha uzun saklamayı yapılandırabilir ve seçebilirsiniz. Bu ek ücrete neden olabilir. Daha fazla ayrıntı için Azure İzleyici Günlükleri ile kullanımı ve maliyetleri yönetmek için belgelere bakın.

Akışı düzenleme

Akış hedefinizle ilgili ayrıntılar zaman içinde değişebilir. Bu değişiklikleri akışlarınızda yansıtmak için bunları düzenleyebilirsiniz. Bir akışı düzenlemek için Denetim akışlarını yönetme iznine sahip olduğunuzdan emin olun.

  1. Düzenlemek istediğiniz akışın yanında en sağdaki dikey üç noktayı seçin ve ardından Akışı düzenle'yi seçin.

    Select Edit stream

  2. Kaydet'i seçin.

Düzenleme için kullanılabilen parametreler akış türüne göre farklılık gösterir.

Akışı devre dışı bırakma

  1. Devre dışı bırakmak istediğiniz akışın yanında Etkin iki durumlu düğmesini Açık'tan Kapalı'ya taşıyın.
    Akışlar bir hatayla karşılaştığında devre dışı bırakılabilir. Hatanın ayrıntılarını akışın yanında gösterilen durumdan veya Akışı düzenle'yi seçerek alabilirsiniz. Ayrıca bir akışı el ile devre dışı bırakabilir ve daha sonra yeniden etkinleştirebilirsiniz.

    Move toggle to Off to disable stream

  2. Kaydet'i seçin.

Devre dışı bırakılmış bir akışı yeniden etkinleştirebilirsiniz. Son yedi güne kadar kaçırılan tüm denetim olaylarını yakalar. Böylece akışın devre dışı bırakıldığı süre boyunca hiçbir olayı kaçırmazsınız.

Dekont

Bir akış 7 günden uzun süre devre dışı bırakılırsa, 7 günden eski olaylar yakalamaya dahil değildir.

Akışı silme

Bir akışı silmek için Denetim akışlarını sil iznine sahip olduğunuzdan emin olun.

Önemli

Bir akışı sildiğinizde akışı geri alamazsınız.

  1. Silmek istediğiniz akışın üzerine gelin ve en sağdaki dikey üç noktayı seçin.

  2. Akışı sil'i seçin.

    Select Delete stream and it's removed

  3. Onayla'yı seçin.

Akışınız kaldırılır. Silme işleminden önce gönderilmemiş olan olaylar gönderilmez.