Denetim akışı oluşturma
Azure DevOps Services
Not
Denetim hala genel önizleme aşamasındadır.
Daha fazla işlem için verileri diğer konumlara gönderen bir denetim akışı oluşturmayı öğrenin. Denetim verilerini diğer Güvenlik Olayı ve Olay Yönetimi (SIEM) araçlarına gönderin ve belirli olaylar için uyarıları tetikleme, denetim verileri üzerinde görünüm oluşturma ve anomali algılama gerçekleştirme gibi yeni olasılıklar açın. Akış ayarlamak, Azure DevOps'un kuruluşunuz için sakladığı maksimum veri miktarı olan 90 günden fazla denetim verilerini depolamanıza da olanak tanır.
Önemli
Denetim yalnızca Microsoft Entra Id tarafından yedeklenen kuruluşlarda kullanılabilir. Daha fazla bilgi için bkz . Kuruluşunuzu Microsoft Entra Id'ye bağlama.
Denetim akışları, denetim olaylarını Azure DevOps kuruluşunuzdan bir akış hedefine aktaran bir işlem hattını temsil eder. Yarım saatte bir veya daha kısa bir sürede yeni denetim olayları paketlenir ve hedeflerinize akışla aktarılır. Yapılandırma için aşağıdaki akış hedefleri kullanılabilir.
- Splunk : Şirket içi veya bulut tabanlı Splunk'a bağlanın.
- Azure İzleyici Günlükleri - Denetim günlüklerini Azure İzleyici Günlüklerine gönderin. Azure İzleyici Günlüklerinde depolanan günlükler sorgulanabilir ve uyarıların yapılandırılması gerekir. AzureDevOpsAuditing adlı tabloyu arayın. Microsoft Sentinel'i çalışma alanınıza da bağlayabilirsiniz.
- Azure Event Grid – Denetim günlüklerinizin Azure'ın içinde veya dışında başka bir yere gönderilmesini istediğiniz senaryolar için bir Azure Event Grid bağlantısı ayarlayabilirsiniz.
Özel bağlantılı çalışma alanları bugün desteklenmemektedir.
Not
Azure DevOps Server'ın şirket içi dağıtımlarında denetim kullanılamaz. Bir denetim akışını şirket içi veya bulut tabanlı splunk örneğine bağlamak mümkündür, ancak gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olun. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.
Önkoşullar
Varsayılan olarak, denetim özelliğine erişimi olan tek grup Proje Koleksiyonu Yöneticileridir (PCA'lar). Aşağıdaki izinlere sahip olmanız gerekir:
Denetim akışlarını yönetme
Denetim günlüğünü görüntüleme
Bu izinler, kuruluşunuzun akışlarını yönetmek istediğiniz tüm kullanıcılara veya gruplara verilebilir. Ayrıca, kullanıcılar veya gruplar için ekleyebileceğiniz denetim akışlarını silme izni de vardır.
Akış oluşturma
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}
) oturum açın.Kuruluş ayarları'nı seçin .
Denetim'i seçin.
Not
Kuruluş Ayarları'nda Denetim'i görmüyorsanız, kuruluşunuz için denetim şu anda etkin değildir. Kuruluş sahibi veya Proje Koleksiyonu Yöneticileri (PCA) grubundaki birinin Kuruluş İlkelerinde Denetimi etkinleştirmesi gerekir. Daha sonra uygun izinlere sahipseniz Denetim sayfasında olayları görebilirsiniz.
Akışlar sekmesine gidin ve Yeni akış'ı seçin.
Yapılandırmak istediğiniz akış hedefini seçin ve ardından akış hedef türünüzü ayarlamak için aşağıdaki yönergelerden birini seçin.
Not
Şu anda her hedef türü için yalnızca 2 akışınız olabilir.
Splunk akışı ayarlama
Akışlar, HTTP Olay Toplayıcısı uç noktası aracılığıyla Splunk'a veri gönderir.
Splunk'ta bu özelliği etkinleştirin. Daha fazla bilgi için bu Splunk belgelerine bakın.
Etkinleştirildikten sonra bir HTTP Olay Toplayıcı belirtecine ve Splunk örneğinizin URL'sine sahip olmanız gerekir. Splunk akışı oluşturmak için hem belirteç hem de URL gerekir.
Not
Splunk'ta yeni bir Olay Toplayıcı belirteci oluştururken "Dizin oluşturucu onaylarını etkinleştir" seçeneğini işaretlemeyin. İşaretlenirse Splunk'a hiçbir olay akışı yapılmaz. Splunk'ta belirteci düzenleyerek bu ayarı kaldırabilirsiniz.
Splunk örneğinizin işaretçisi olan Splunk URL'nizi girin. URL'nin sonunda bir bağlantı noktası belirttiğinizden emin olun. Varsayılan bağlantı noktası şeklindedir,
8088
dolayısıyla URL'niz veyahttps://prd-p-2k3mp2xhznbs.splunkcloud.com
ilehttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
benzer olur.Oluşturduğunuz olay toplayıcı belirtecini belirteç alanına girin. Belirteç Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Splunk'tan yeni bir belirteç alıp akışı düzenleyerek yapabileceğiniz belirteci düzenli olarak döndürmenizi öneririz.
Ayarla'yı seçin ve akışınız yapılandırıldı.
Olaylar yarım saat veya daha kısa bir sürede Splunk'a gelmeye başlar.
Event Grid akışı ayarlama
- Azure'da bir Event Grid konusu oluşturun.
Not
Event Grid konusunu oluştururken Gelişmiş sekmesine gidin ve Olay Şeması'nın Event Grid Şeması olarak ayarlandığından emin olun. Diğer şemalar Azure DevOps tarafından desteklenmez. 2. "Konu Uç Noktası"nı ve iki "Erişim Anahtarı"nın birini not edin. Event Grid bağlantısını oluşturmak için bu bilgileri kullanın.
Konu uç noktasını ve erişim anahtarlarından birini girin. Erişim anahtarı Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Azure Event Grid'den yeni bir anahtar alıp akışı düzenleyerek yapabileceğiniz erişim anahtarını düzenli olarak döndürün
Event Grid akışınızı yapılandırdıktan sonra Event Grid'de abonelikleri ayarlayarak verileri Azure'ın hemen her yerinde gönderebilirsiniz.
Azure İzleyici Günlük akışı ayarlama
Log Analytics çalışma alanı oluşturun.
Çalışma alanını açın ve Aracılar'ı seçin.
Çalışma alanı kimliğini ve birincil anahtarı görüntülemek için Log Analytics aracısı yönergeleri'ni seçin.
Çalışma alanı kimliğini ve birincil anahtarı not edin.
Akış oluşturmak için aynı başlangıç adımlarını izleyerek Azure İzleyici günlük akışınızı ayarlayın.
Hedef seçenekler için Azure İzleyici Günlükleri'ni seçin.
Çalışma alanı kimliğini ve birincil anahtarı girip Ayarla'yı seçin. Birincil anahtar Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Anahtarı düzenli olarak döndürün; bunu Azure İzleyici Günlüğü'nden yeni bir anahtar alıp akışı düzenleyerek yapabilirsiniz.
Akış etkinleştirilir ve yeni olaylar yarım saat veya daha kısa bir sürede akmaya başlar. AzureDevOpsAuditing tablosuna başvurabilirsiniz.
Not
Azure İzleyici Günlükleri için varsayılan saklama süresi yalnızca 30 gündür. Çalışma alanı ayarlarınızda Kullanım ve tahmini maliyetler'in altında Veri Saklama'yı seçerek daha uzun saklamayı yapılandırabilir ve seçebilirsiniz. Bu ek ücrete neden olabilir. Daha fazla ayrıntı için Azure İzleyici Günlükleri ile kullanımı ve maliyetleri yönetmek için belgelere bakın.
Akışı düzenleme
Akış hedefinizle ilgili ayrıntılar zaman içinde değişebilir. Bu değişiklikleri akışlarınızda yansıtmak için bunları düzenleyebilirsiniz. Bir akışı düzenlemek için Denetim akışlarını yönetme iznine sahip olduğunuzdan emin olun.
Düzenlemek istediğiniz akışın yanında en sağdaki dikey üç noktayı seçin ve ardından Akışı düzenle'yi seçin.
Kaydet'i seçin.
Düzenleme için kullanılabilen parametreler akış türüne göre farklılık gösterir.
Akışı devre dışı bırakma
Devre dışı bırakmak istediğiniz akışın yanında Etkin iki durumlu düğmesini Açık'tan Kapalı'ya taşıyın.
Akışlar bir hatayla karşılaştığında devre dışı bırakılabilir. Hatanın ayrıntılarını akışın yanında gösterilen durumdan veya Akışı düzenle'yi seçerek alabilirsiniz. Ayrıca bir akışı el ile devre dışı bırakabilir ve daha sonra yeniden etkinleştirebilirsiniz.Kaydet'i seçin.
Devre dışı bırakılmış bir akışı yeniden etkinleştirebilirsiniz. Son yedi güne kadar kaçırılan tüm denetim olaylarını yakalar. Böylece akışın devre dışı bırakıldığı süre boyunca hiçbir olayı kaçırmazsınız.
Not
Bir akış 7 günden uzun süre devre dışı bırakılırsa, 7 günden eski olaylar yakalamaya dahil değildir.
Akışı silme
Bir akışı silmek için Denetim akışlarını sil iznine sahip olduğunuzdan emin olun.
Önemli
Bir akışı sildiğinizde akışı geri alamazsınız.
Silmek istediğiniz akışın üzerine gelin ve en sağdaki dikey üç noktayı seçin.
Akışı sil'i seçin.
Onayla'yı seçin.
Akışınız kaldırılır. Silme işleminden önce gönderilmemiş olan olaylar gönderilmez.