Crear flujo de auditoría

Azure DevOps Services

Nota:

La auditoría sigue en versión preliminar pública.

Obtenga información sobre cómo crear un flujo de auditoría , que envía datos a otras ubicaciones para su posterior procesamiento. Envíe datos de auditoría a otras herramientas de administración de eventos e incidentes de seguridad (SIEM) y abra nuevas posibilidades, como la capacidad de desencadenar alertas para eventos específicos, crear vistas sobre los datos de auditoría y realizar la detección de anomalías. La configuración de una secuencia también le permite almacenar más de 90 días de datos de auditoría, que es la cantidad máxima de datos que Azure DevOps mantiene para las organizaciones.

Importante

La auditoría solo está disponible para las organizaciones respaldadas por Microsoft Entra ID. Para obtener más información, consulte Conexión de la organización a Microsoft Entra ID.

Los flujos de auditoría representan una canalización que fluye eventos de auditoría de la organización de Azure DevOps a un destino de flujo. Cada media hora o menos, los nuevos eventos de auditoría se agrupan y transmiten a los destinos. Los siguientes destinos de secuencia están disponibles para la configuración.

  • Splunk: conéctese a splunk local o basado en la nube.
  • Registros de Azure Monitor: envíe registros de auditoría a los registros de Azure Monitor. Los registros almacenados en los registros de Azure Monitor se pueden consultar y tener alertas configuradas. Busque la tabla denominada AzureDevOpsAuditing. También puede conectar Microsoft Sentinel al área de trabajo.
  • Azure Event Grid : en escenarios en los que desea que los registros de auditoría se envíen en otro lugar, ya sea dentro o fuera de Azure, puede configurar una conexión de Azure Event Grid .

Actualmente no se admiten áreas de trabajo vinculadas privadas.

Nota:

La auditoría no está disponible para implementaciones locales de Azure DevOps Server. Es posible conectar una secuencia de auditoría a una instancia local o basada en la nube de Splunk, pero asegúrese de permitir intervalos IP para las conexiones entrantes. Para más información, consulte Listas de direcciones permitidas y conexiones de red, direcciones IP y restricciones de intervalo.

Requisitos previos

De forma predeterminada, los administradores de colecciones de proyectos (PCA) son el único grupo que tiene acceso a la característica de auditoría. Debe tener estos permisos:

  • Administrar flujos de auditoría

  • Consulta del registro de auditoría

    Establecer permisos de auditoría en Permitir

Estos permisos se pueden conceder a cualquier usuario o grupo que desee administrar las secuencias de su organización. Además, también hay un permiso Eliminar flujos de auditoría que puede agregar para usuarios o grupos.

Creación de una secuencia

  1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

  2. Seleccione el icono de engranaje Configuración de organización.

    Captura de pantalla que muestra el botón Configuración de la organización resaltado.

  3. Seleccione Auditoría.

    Seleccione Auditoría en la configuración de la organización.

Nota:

Si no ve Auditoría en configuración de la organización, la auditoría no está habilitada actualmente para su organización. Alguien del propietario de la organización o del grupo Administradores de recopilación de proyectos (PCA) debe habilitar la auditoría en las directivas de la organización. Después, podrá ver eventos en la página Auditoría si tiene los permisos adecuados.

  1. Vaya a la pestaña Secuencias y seleccione Nueva secuencia.

    Seleccione Nueva secuencia para crear la nueva secuencia de auditoría.

  2. Seleccione el destino de la secuencia que desea configurar y, a continuación, seleccione entre las instrucciones siguientes para configurar el tipo de destino de la secuencia.

Nota:

En este momento, solo puede tener 2 secuencias para cada tipo de destino.

Aparece el cuadro de diálogo Crear secuencia

Configuración de una secuencia de Splunk

Los flujos envían datos a Splunk a través del punto de conexión del recopilador de eventos HTTP.

  1. Habilite esta característica en Splunk. Para obtener más información, consulte esta documentación de Splunk.

    Una vez habilitado, debe tener un token del recopilador de eventos HTTP y la dirección URL a la instancia de Splunk. Necesita el token y la dirección URL para crear una secuencia de Splunk.

    Nota:

    Al crear un nuevo token del recopilador de eventos en Splunk, no active "Habilitar confirmación del indexador". Si está activada, no hay eventos que fluyan a Splunk. Puede editar el token en Splunk para quitar esa configuración.

  2. Escriba la dirección URL de Splunk, que es el puntero a la instancia de Splunk. Asegúrese de especificar un puerto al final de la dirección URL. El puerto predeterminado es 8088, por lo que la dirección URL sería similar a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 o https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Escriba el token del recopilador de eventos que creó en el campo token. El token se almacena de forma segura en Azure DevOps y nunca se muestra de nuevo en la interfaz de usuario. Se recomienda rotar el token con regularidad, lo que puede hacer obteniendo un nuevo token de Splunk y editando la secuencia.

    Escriba el punto de conexión del tema y la clave de acceso que anotó anteriormente.

  4. Seleccione Configurar y la secuencia configurada.

Los eventos comienzan a llegar a Splunk en un plazo de media hora o menos.

Configuración de un flujo de Event Grid

  1. Cree un tema de Event Grid en Azure.

Nota:

Al crear el tema de Event Grid, vaya a la pestaña Opciones avanzadas y asegúrese de que el esquema de eventos esté establecido en Esquema de Event Grid. Azure DevOps no admite otros esquemas. 2. Tome nota del "Punto de conexión de tema" y uno de los dos "Claves de acceso". Use esta información para crear la conexión de Event Grid.

Información de Azure Event Grid

  1. Escriba el punto de conexión del tema y una de las claves de acceso. La clave de acceso se almacena de forma segura en Azure DevOps y nunca se muestra de nuevo en la interfaz de usuario. Rotar la clave de acceso con regularidad, lo que puede hacer si obtiene una nueva clave de Azure Event Grid y edita la secuencia.

    Escriba el identificador del área de trabajo y la clave principal para crear.

Una vez configurado el flujo de Event Grid, puede configurar suscripciones en Event Grid para enviar los datos casi en cualquier lugar de Azure.

Configuración de un flujo de registro de Azure Monitor

  1. Crear un área de trabajo de Log Analytics.

  2. Abra el área de trabajo y seleccione Agentes.

  3. Seleccione las instrucciones del agente de Log Analytics para ver el identificador del área de trabajo y la clave principal.

  4. Anote el identificador del área de trabajo y la clave principal.

    Anote el identificador del área de trabajo y la clave principal

  5. Configure el flujo de registro de Azure Monitor mediante los mismos pasos iniciales para crear una secuencia.

  6. Para las opciones de destino, seleccione Registros de Azure Monitor.

  7. Escriba el identificador del área de trabajo y la clave principal y, a continuación, seleccione Configurar. La clave principal se almacena de forma segura en Azure DevOps y nunca se muestra de nuevo en la interfaz de usuario. Gire la clave periódicamente, lo que puede hacer obteniendo una nueva clave del registro de Azure Monitor y editando la secuencia.

    Escriba el identificador del área de trabajo y la clave principal y, a continuación, seleccione Configurar.

La secuencia está habilitada y los nuevos eventos comienzan a fluir en un plazo de media hora o menos. Puede hacer referencia a la tabla AzureDevOpsAuditing.

Nota:

El tiempo de retención predeterminado para los registros de Azure Monitor es de solo 30 días. Para configurar y elegir una retención más larga, seleccione Retención de datos en Uso y costos estimados en la configuración del área de trabajo. Esto conlleva cargos adicionales. Consulte la documentación para administrar el uso y los costos con los registros de Azure Monitor para más información.

Edición de una secuencia

Los detalles sobre el destino de la secuencia pueden cambiar con el tiempo. Para reflejar estos cambios en las secuencias, puede editarlos. Para editar una secuencia, asegúrese de que tiene el permiso Administrar flujos de auditoría.

  1. Junto a la secuencia que desea editar, seleccione los tres puntos verticales en el extremo derecho y, a continuación, seleccione Editar secuencia.

    Seleccione Editar secuencia.

  2. Seleccione Guardar.

Los parámetros disponibles para la edición difieren por tipo de secuencia.

Deshabilitar una secuencia

  1. Junto a la secuencia que desea deshabilitar, mueva el botón de alternancia Habilitado de Activado a Desactivado.
    Cuando los flujos encuentran un error, pueden deshabilitarse. Puede obtener detalles sobre el error en el estado que se muestra junto a la secuencia o seleccionando Editar secuencia. También puede deshabilitar una secuencia manualmente y volver a habilitarla más adelante.

    Mover el botón de alternancia a Desactivado para deshabilitar la secuencia

  2. Seleccione Guardar.

Puede volver a habilitar una secuencia deshabilitada. Se detectan los eventos de auditoría que se han perdido durante hasta los siete días anteriores. De este modo, no se pierden los eventos de la duración en la que se deshabilitó la secuencia.

Nota:

Si una secuencia está deshabilitada durante más de 7 días, los eventos anteriores a 7 días no se incluyen en la actualización.

Eliminación de una secuencia

Para eliminar una secuencia, asegúrese de que tiene el permiso Eliminar flujos de auditoría.

Importante

Una vez que elimine una secuencia, no podrá recuperarla.

  1. Mantenga el puntero sobre la secuencia que desea eliminar y seleccione los tres puntos verticales en el extremo derecho.

  2. Seleccione Eliminar secuencia.

    Seleccione Eliminar secuencia y se ha quitado.

  3. Seleccione Confirmar.

La secuencia se quita. No se envían eventos que no se hayan enviado antes de que no se envíe la eliminación.