Créer un streaming d’audit

Azure DevOps Services

Notes

L’audit est toujours en préversion publique.

Découvrez comment créer un flux d’audit, qui envoie des données à d’autres emplacements pour un traitement ultérieur. Envoyez des données d’audit à d’autres outils SIEM (Security Incident and Event Management) et ouvrez de nouvelles possibilités, telles que la possibilité de déclencher des alertes pour des événements spécifiques, de créer des vues sur les données d’audit et d’effectuer la détection des anomalies. La configuration d’un flux vous permet également de stocker plus de 90 jours de données d’audit, c’est-à-dire la quantité maximale de données conservées par Azure DevOps pour vos organisations.

Important

L’audit est disponible seulement pour les organisations qui s’appuient sur Microsoft Entra ID. Si vous souhaitez obtenir plus d’informations, consultez Connecter votre organisation à Microsoft Entra ID.

Les flux d’audit représentent un pipeline qui transfère les événements d’audit de votre organisation Azure DevOps vers une cible de flux. Chaque demi-heure ou moins, les nouveaux événements d’audit sont regroupés et diffusés en continu vers vos cibles. Les cibles de flux suivantes sont disponibles pour la configuration.

  • Splunk : se connecter à Splunk local ou cloud.
  • Journaux Azure Monitor : envoyez des journaux d’audit aux journaux Azure Monitor. Les journaux stockés dans les journaux Azure Monitor peuvent être interrogés et les alertes sont configurées. Recherchez la table nommée AzureDevOpsAuditing. Vous pouvez également connecter Microsoft Sentinel à votre espace de travail.
  • Azure Event Grid : pour les scénarios où vous souhaitez que vos journaux d’audit soient envoyés ailleurs, qu’ils se trouvent à l’intérieur ou à l’extérieur d’Azure, vous pouvez configurer une connexion Azure Event Grid .

Les espaces de travail liés privés ne sont pas pris en charge aujourd’hui.

Remarque

L’audit n’est pas disponible pour les déploiements locaux de Azure DevOps Server. Il est possible de connecter un flux d’audit à une instance locale ou cloud de Splunk, mais veillez à autoriser les plages d’adresses IP pour les connexions entrantes. Pour plus d’informations, consultez Listes d’adresses et connexions réseau autorisées, Adresses IP et restrictions de plage.

Prérequis

Par défaut, les administrateurs de collection de projets (PCA) sont le seul groupe qui a accès à la fonctionnalité d’audit. Vous devez disposer des autorisations suivantes :

  • Gérer les flux d’audit

  • Afficher les journaux d’audit

    Définir les autorisations d’audit sur Autoriser

Ces autorisations peuvent être accordées à tous les utilisateurs ou groupes que vous souhaitez gérer les flux de votre organisation. En outre, il existe également une autorisation Supprimer les flux d’audit que vous pouvez ajouter pour les utilisateurs ou les groupes.

Créer un flux

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Audit.

    Sélectionner l’audit dans les paramètres de l’organisation

Remarque

Si vous ne voyez pas l’audit dans les paramètres de l’organisation, l’audit n’est actuellement pas activé pour votre organisation. Une personne du groupe administrateurs de regroupements de projets ou de propriétaire d’organisation doit activer l’audit dans les stratégies d’organisation. Vous serez alors en mesure de voir les événements sur la page Audit si vous disposez des autorisations appropriées.

  1. Accédez à l’onglet Flux , puis sélectionnez Nouveau flux.

    Sélectionnez Nouveau flux pour créer votre nouveau flux d’audit.

  2. Sélectionnez la cible de flux que vous souhaitez configurer, puis sélectionnez-la dans les instructions suivantes pour configurer votre type de cible de flux.

Remarque

À ce stade, vous ne pouvez avoir que 2 flux pour chaque type cible.

La boîte de dialogue Créer votre flux s’affiche

Configurer un flux Splunk

Les flux envoient des données à Splunk via le point de terminaison du collecteur d’événements HTTP.

  1. Activez cette fonctionnalité dans Splunk. Pour plus d’informations, consultez cette documentation Splunk.

    Une fois activé, vous devez disposer d’un jeton du collecteur d’événements HTTP et de l’URL de votre instance Splunk. Vous avez besoin du jeton et de l’URL pour créer un flux Splunk.

    Remarque

    Lorsque vous créez un jeton Event Collector dans Splunk, ne cochez pas « Activer l’accusé de réception de l’indexeur ». Si elle est cochée, aucun événement n’est acheminé vers Splunk. Vous pouvez modifier le jeton dans Splunk pour supprimer ce paramètre.

  2. Entrez votre URL Splunk, qui est le pointeur vers votre instance Splunk. Vérifiez que vous spécifiez un port à la fin de l’URL. Le port par défaut est 8088, de sorte que votre URL serait similaire à https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 ou https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Entrez le jeton du collecteur d’événements que vous avez créé dans le champ de jeton. Le jeton est stocké en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Nous vous recommandons de faire pivoter régulièrement le jeton, que vous pouvez faire en obtenant un nouveau jeton à partir de Splunk et en modifiant le flux.

    Entrer le point de terminaison de rubrique et la clé d’accès que vous avez notés précédemment

  4. Sélectionnez Configurer et configurer votre flux.

Les événements commencent à arriver sur Splunk dans un délai d’une demi-heure ou moins.

Configurer un flux Event Grid

  1. Créez une rubrique Event Grid sur Azure.

Remarque

Lorsque vous créez la rubrique Event Grid, accédez à l’onglet Avancé et vérifiez que le schéma d’événement est défini sur Event Grid Schema. D’autres schémas ne sont pas pris en charge par Azure DevOps. 2. Notez le « point de terminaison de rubrique » et l’une des deux « clés d’accès ». Utilisez ces informations pour créer la connexion Event Grid.

Informations Sur Azure Event Grid

  1. Entrez le point de terminaison de la rubrique et l’une des clés d’accès. La clé d’accès est stockée en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Faire pivoter régulièrement la clé d’accès, que vous pouvez faire en obtenant une nouvelle clé à partir d’Azure Event Grid et en modifiant le flux

    Entrez l’ID de l’espace de travail et la clé primaire à créer

Une fois que votre flux Event Grid est configuré, vous pouvez configurer des abonnements sur Event Grid pour envoyer les données presque n’importe où dans Azure.

Configurer un flux de journal Azure Monitor

  1. Créer un espace de travail Log Analytics.

  2. Ouvrez l’espace de travail et sélectionnez Agents.

  3. Sélectionnez les instructions de l’agent Log Analytics pour afficher l’ID de l’espace de travail et la clé primaire.

  4. Notez l’ID de l’espace de travail et la clé primaire.

    Notez l’ID de l’espace de travail et la clé primaire

  5. Configurez votre flux de journal Azure Monitor en effectuant les mêmes étapes initiales pour créer un flux.

  6. Pour les options cibles, sélectionnez Journaux Azure Monitor.

  7. Entrez l’ID de l’espace de travail et la clé primaire, puis sélectionnez Configurer. La clé primaire est stockée en toute sécurité dans Azure DevOps et ne s’affiche plus jamais dans l’interface utilisateur. Faites pivoter régulièrement la clé, que vous pouvez faire en obtenant une nouvelle clé à partir du journal Azure Monitor et en modifiant le flux.

    Entrez l’ID de l’espace de travail et la clé primaire, puis sélectionnez Configurer.

Le flux est activé et les nouveaux événements commencent à circuler dans un délai d’une demi-heure ou moins. Vous pouvez référencer la table AzureDevOpsAuditing.

Remarque

La durée de rétention par défaut des journaux Azure Monitor est de 30 jours uniquement. Vous pouvez configurer et choisir une rétention plus longue en sélectionnant Rétention des données sous Utilisation et coûts estimés dans les paramètres de votre espace de travail. Cela entraîne des frais supplémentaires. Pour plus d’informations, consultez la documentation pour gérer l’utilisation et les coûts avec les journaux Azure Monitor.

Modifier un flux

Les détails de votre cible de flux peuvent changer au fil du temps. Pour refléter ces modifications dans vos flux, vous pouvez les modifier. Pour modifier un flux, vérifiez que vous disposez de l’autorisation Gérer les flux d’audit.

  1. En regard du flux que vous souhaitez modifier, sélectionnez les trois points verticaux à l’extrême droite, puis sélectionnez Modifier le flux.

    Sélectionner Modifier le flux

  2. Cliquez sur Enregistrer.

Les paramètres disponibles pour la modification diffèrent par type de flux.

Désactiver un flux

  1. En regard du flux que vous souhaitez désactiver, déplacez le bouton bascule Activé de Activé vers Désactivé.
    Lorsque des flux rencontrent un échec, ils peuvent être désactivés. Vous pouvez obtenir des détails sur l’échec à partir de l’état affiché en regard du flux, ou en sélectionnant Modifier le flux. Vous pouvez également désactiver un flux manuellement, puis le réactiver ultérieurement.

    Basculer vers Désactiver pour désactiver le flux

  2. Cliquez sur Enregistrer.

Vous pouvez réactiver un flux désactivé. Il rattrape les événements d’audit qui ont été manqués jusqu’aux sept jours précédents. De cette façon, vous ne manquez aucun événement de la durée pendant laquelle le flux a été désactivé.

Remarque

Si un flux est désactivé pendant plus de 7 jours, les événements de plus de 7 jours ne sont pas inclus dans le rattrapage.

Supprimer un flux

Pour supprimer un flux, vérifiez que vous disposez de l’autorisation Supprimer les flux d’audit.

Important

Une fois que vous avez supprimé un flux, vous ne pouvez pas le récupérer.

  1. Pointez sur le flux que vous souhaitez supprimer et sélectionnez les trois points verticaux sur l’extrême droite.

  2. Sélectionnez Supprimer le flux.

    Sélectionnez Supprimer le flux et il est supprimé

  3. Cliquez sur Confirmer.

Votre flux est supprimé. Tous les événements qui n’ont pas été envoyés avant la suppression ne sont pas envoyés.