監査ストリーミングの作成

Azure DevOps Services

注意

監査はまだパブリック プレビュー段階です。

さらに処理するためにデータを他の場所に送信する audit ストリームを作成する方法について説明します。 監査データを他のセキュリティ インシデントおよびイベント管理 (SIEM) ツールに送信し、特定のイベントのアラートをトリガーする機能、監査データに関するビューを作成する機能、異常検出を実行する機能など、新しい可能性を開きます。 ストリームを設定すると、90 日を超える監査データを格納することもできます。これは、Azure DevOps が組織のために保持する最大データ量です。

重要

監査は、Microsoft Entra ID によって管理されている組織でのみ利用できます。 詳細については、「Microsoft Entra ID に組織を接続する」を参照してください。

監査ストリームは、Azure DevOps 組織からストリーム ターゲットに監査イベントをフローするパイプラインを表します。 30 分以下ごとに、新しい監査イベントがバンドルされ、ターゲットにストリーミングされます。 構成には、次のストリーム ターゲットを使用できます。

  • Splunk – オンプレミスまたはクラウドベースの Splunk に接続します。
  • Azure Monitor ログ - 監査ログを Azure Monitor ログに送信します。 Azure Monitor ログに格納されているログはクエリを実行でき、アラートを構成できます。 AzureDevOpsAuditing という名前のテーブルを探します。 Microsoft Sentinel ワークスペースに接続することもできます。
  • Azure Event Grid – Azure の内外を問わず、監査ログを別の場所に送信するシナリオでは、 Azure Event Grid 接続を設定できます。

プライベートのリンクされたワークスペースは、現在サポートされていません。

Note

監査は、Azure DevOps Serverのオンプレミスデプロイでは使用できません。 監査ストリームを Splunk のオンプレミスまたはクラウドベースのインスタンスに接続することはできますが、受信接続の IP 範囲を許可してください。 詳細については、「 許可されたアドレス一覧とネットワーク接続、IP アドレス、および範囲の制限」を参照してください。

前提条件

既定では、監査機能にアクセスできる唯一のグループは Project Collection Administrators (PCA) です。 次のアクセス許可を持っている必要があります。

  • 監査ストリームを管理する

  • 監査ログの表示

    監査アクセス許可を [許可] に設定する

これらのアクセス許可は、組織のストリームを管理する任意のユーザーまたはグループに付与できます。 さらに、ユーザーまたはグループに対して追加できる 削除監査ストリーム アクセス許可もあります。

ストリームを作成する

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. 歯車アイコン [設定の編集] を選択します。

    強調表示された [組織の設定] ボタンを示すスクリーンショット。

  3. [ 監査] を選択します

    [組織の設定] で [監査] を選択する

Note

[組織の設定] に Auditing が表示されない場合、組織の監査は現在有効になっていません。 組織の所有者またはプロジェクト コレクション管理者 (PCA) グループのユーザーは、組織ポリシーで監査できる必要があります。 適切なアクセス許可がある場合は、[監査] ページでイベントを表示できるようになります。

  1. [ Streams タブに移動し、新しいストリーム 選択

    [新しいストリーム] を選択して、新しい監査ストリームを作成します。

  2. 構成するストリーム ターゲットを選択し、次の手順から選択してストリーム ターゲットの種類を設定します。

Note

現時点では、ターゲットの種類ごとに 2 つのストリームのみを使用できます。

[ストリームの作成] ダイアログ ボックスが表示される

Splunk ストリームを設定する

ストリームは、HTTP イベント コレクター エンドポイントを介して Splunk にデータを送信します。

  1. Splunk でこの機能を有効にします。 詳細については、この Splunk のドキュメントを参照してください。

    有効にすると、HTTP イベント コレクター トークンと Splunk インスタンスへの URL が必要になります。 Splunk ストリームを作成するには、トークンと URL の両方が必要です。

    Note

    Splunk で新しいイベント コレクター トークンを作成する場合は、[インデクサーの確認を有効にする] をオンにしないでください。 チェックが入っている場合、Splunk にイベントは流れ込まない。 Splunk でトークンを編集して、その設定を削除できます。

  2. Splunk インスタンスへのポインターである Splunk URL を入力します。 URL の末尾にポートを指定してください。 既定のポートは 8088であるため、URL は https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 または https://prd-p-2k3mp2xhznbs.splunkcloud.com のようになります。

  3. 作成したイベント コレクター トークンをトークン フィールドに入力します。 トークンは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 定期的にトークンをローテーションすることをお勧めします。これを行うには、Splunk から新しいトークンを取得し、ストリームを編集します。

    前に説明したトピック エンドポイントとアクセス キーを入力します

  4. 設定ストリームの構成を選択します。

イベントは、30 分以内に Splunk に到着し始めます。

Event Grid ストリームを設定する

  1. Azure で Event Grid トピックを作成します。

Note

Event Grid トピックを作成するときに、[詳細設定] タブに移動し、イベント スキーマが Event Grid Schema に設定されていることを確認します。 その他のスキーマは、Azure DevOps ではサポートされていません。 2. "トピック エンドポイント" と 2 つの "アクセス キー" のいずれかをメモしておきます。 この情報を使用して、Event Grid 接続を作成します。

Azure Event Grid の情報

  1. トピック エンドポイントといずれかのアクセス キーを入力します。 アクセス キーは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 アクセス キーを定期的にローテーションします。これを行うには、Azure Event Grid から新しいキーを取得し、ストリームを編集します。

    作成するワークスペース ID と主キーを入力します

Event Grid ストリームを構成したら、Event Grid でサブスクリプションを設定して、Azure のほぼすべての場所にデータを送信できます。

Azure Monitor ログ ストリームを設定する

  1. Log Analytics ワークスペースを作成します。

  2. ワークスペースを開き、 Agents を選択します。

  3. Log Analytics エージェントの指示を選択して、ワークスペース ID と主キーを表示します。

  4. ワークスペース ID と主キーを書き留めます。

    ワークスペース ID と主キーを書き留めます

  5. 同じ初期手順に進み、ストリームを作成して Azure Monitor ログ ストリームを設定します。

  6. ターゲット オプションとして、 Azure Monitor ログを選択します。

  7. ワークスペース ID と主キーを入力し、 設定を選択します。 主キーは Azure DevOps 内に安全に格納され、UI に再び表示されることはありません。 キーを定期的にローテーションします。そのためには、Azure Monitor ログから新しいキーを取得し、ストリームを編集します。

    ワークスペース ID と主キーを入力し、[セットアップ] を選択します。

ストリームが有効になり、30 分以内に新しいイベントのフローが開始されます。 AzureDevOpsAuditing テーブルを参照できます。

Note

Azure Monitor ログの既定の保持時間は 30 日のみです。 ワークスペースの設定の [使用と推定コスト] でData Retentionを選択することで、より長いリテンション期間を構成して選択できます。 これにより、追加料金が発生します。 詳細については、 ドキュメント を参照して、Azure Monitor ログを使用して使用状況とコストを管理します。

ストリームを編集する

ストリーム ターゲットに関する詳細は、時間の経過と同時に変化する可能性があります。 これらの変更をストリームに反映するには、それらを編集します。 ストリームを編集するには、 Manage 監査ストリーム アクセス許可があることを確認します。

  1. 編集するストリームの横にある右端にある縦 3 つのドットを選択し、 編集ストリームを選択します。

    [ストリームの編集] を選択する

  2. [保存] を選択します。

編集に使用できるパラメーターは、ストリームの種類によって異なります。

ストリームを無効にする

  1. 無効にするストリームの横にある Enabled トグルを On から Off に移動します。
    ストリームで障害が発生すると、ストリームが無効になる可能性があります。 エラーの詳細は、ストリームの横に表示される状態から取得することも、 Edit stream を選択して取得することもできます。 ストリームを手動で無効にしてから、後で再度有効にすることもできます。

    [オフ] に切り替えてストリームを無効にする

  2. [保存] を選択します。

無効になっているストリームを再度有効にすることができます。 これは、過去 7 日間に見逃された監査イベントに追いつきます。 そうすることで、ストリームが無効にされた期間のイベントを見逃すことはありません。

Note

ストリームが 7 日以上無効になっている場合、7 日を超えるイベントはキャッチアップに含まれません。

ストリームを削除する

ストリームを削除するには、 削除監査ストリーム アクセス許可があることを確認します。

重要

ストリームを削除すると、元に戻すことはできません。

  1. 削除するストリームにカーソルを合わせ、右端にある垂直の 3 つのドットを選択します。

  2. [ストリームの削除] 選択

    [ストリームの削除] を選択すると削除されます

  3. 確認 を選択します。

ストリームが削除されます。 削除前に送信されていないイベントは送信されません。