Создание потоковой передачи данных аудита
Azure DevOps Services
Примечание.
Аудит по-прежнему находится в общедоступной предварительной версии.
Узнайте, как создать поток аудита , который отправляет данные в другие расположения для дальнейшей обработки. Отправьте данные аудита в другие средства управления инцидентами безопасности и событиями (SIEM) и откройте новые возможности, такие как возможность активировать оповещения для определенных событий, создавать представления об аудите данных и выполнять обнаружение аномалий. Настройка потока также позволяет хранить более 90 дней для аудита данных, что является максимальным объемом данных, которые Azure DevOps хранит для ваших организаций.
Внимание
Аудит доступен только для организаций, поддерживаемых идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Подключение организации к идентификатору Microsoft Entra".
Потоки аудита представляют конвейер, который передает события аудита из организации Azure DevOps в целевой объект потока. Каждые полчаса или меньше новые события аудита упаковываются и передаются в целевые объекты. Для настройки доступны следующие целевые объекты потока.
- Splunk — подключение к локальной или облачной Splunk.
- Журналы Azure Monitor. Отправка журналов аудита в журналы Azure Monitor. Журналы, хранящиеся в журналах Azure Monitor, можно запрашивать и настраивать оповещения. Найдите таблицу с именем AzureDevOpsAuditing. Вы также можете подключить Microsoft Sentinel к рабочей области.
- Сетка событий Azure. Для сценариев, когда вы хотите, чтобы журналы аудита отправлялись в другое место, независимо от того, находится ли в Azure или за ее пределами, можно настроить подключение Сетка событий Azure.
Частные связанные рабочие области сегодня не поддерживаются.
Примечание.
Аудит недоступен для локальных развертываний Azure DevOps Server. Можно подключить поток аудита к локальному или облачному экземпляру Splunk, но убедитесь, что вы разрешаете диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.
Необходимые компоненты
Аудит отключен по умолчанию для всех организаций Azure DevOps Services. Убедитесь, что только авторизованный персонал имеет доступ к конфиденциальным сведениям аудита.
Разрешения. Быть членом группы администраторов коллекции проектов (PCA) (владелец организации автоматически являются членами этой группы) или иметь следующие разрешения аудита для каждого пользователя или группы:
- Управление потоками аудита
- Просмотр журнала аудита
ЦС могут предоставлять эти разрешения любым пользователям или группам для управления потоками организации с помощью параметров>безопасности >организации. ЦС также могут назначать разрешения на удаление потоков аудита.
Примечание.
Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами", пользователи в группе "Пользователи с областью проекта" не могут просматривать аудит и иметь ограниченную видимость страниц параметров организации. Дополнительные сведения и важные сведения о безопасности см. в разделе "Ограничение видимости пользователей для проектов и многое другое".
Создание потока
Войдите в свою организацию (
https://dev.azure.com/{Your_Organization}
).Выберите параметры организации.
Выберите "Аудит".
Примечание.
Если аудит не отображается в параметрах организации, аудит в настоящее время не включен для вашей организации. Кто-то в группе владелец организации или администраторов коллекции проектов (PCAs) должен включить аудит в политиках организации. Затем вы сможете просматривать события на странице аудита, если у вас есть соответствующие разрешения.
Перейдите на вкладку Streams и выберите "Создать поток".
Выберите целевой объект потока, который требуется настроить, и выберите из следующих инструкций, чтобы настроить тип целевого объекта потока.
Примечание.
В настоящее время для каждого целевого типа можно использовать только 2 потока.
Настройка потока Splunk
Потоки отправляют данные в Splunk через конечную точку сборщика событий HTTP.
Включите эту функцию в Splunk. Дополнительные сведения см. в этой документации по Splunk.
После включения у вас должен быть маркер сборщика событий HTTP и URL-адрес экземпляра Splunk. Для создания потока Splunk требуется маркер и URL-адрес.
Примечание.
При создании маркера сборщика событий в Splunk не проверьте "Включить подтверждение индексатора". Если он установлен, события не передаются в Splunk. Вы можете изменить маркер в Splunk, чтобы удалить этот параметр.
Введите URL-адрес Splunk, который является указателем на экземпляр Splunk. Убедитесь, что в конце URL-адреса указан порт. По умолчанию используется
8088
порт, поэтому URL-адрес будет похож наhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
илиhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Введите маркер сборщика событий, созданный в поле маркера. Маркер хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Мы рекомендуем регулярно поворачивать маркер, который можно сделать, получив новый маркер из Splunk и изменив поток.
Выберите Set up (Настроить).
Поток настраивается и события начинают поступать на Splunk в течение получаса или меньше.
Настройка потока сетки событий
- Создайте раздел "Сетка событий" в Azure.
Примечание.
Перейдите на вкладку "Дополнительно " и убедитесь, что для схемы событий задана схема сетки событий. Другие схемы не поддерживаются Azure DevOps.
Запишите "Конечная точка раздела" и один из двух ключей доступа. Используйте эти сведения для создания подключения сетки событий.
Введите конечную точку раздела и один из ключей доступа. Ключ доступа хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ доступа, который можно сделать, получив новый ключ из Сетка событий Azure и изменив поток.
После настройки потока сетки событий вы можете настроить подписки на сетку событий для отправки данных практически в любом месте в Azure.
Настройка потока журналов Azure Monitor
Создание рабочей области Log Analytics.
Откройте рабочую область и выберите агенты.
Выберите инструкции агента Log Analytics для просмотра идентификатора рабочей области и первичного ключа.
Запишите идентификатор рабочей области и первичный ключ.
Настройте поток журналов Azure Monitor, выполнив те же начальные шаги, чтобы создать поток.
Для целевых параметров выберите журналы Azure Monitor.
Введите идентификатор рабочей области и первичный ключ, а затем нажмите кнопку "Настройка". Первичный ключ хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Регулярно поворачивайте ключ, который можно сделать, получив новый ключ из журнала Azure Monitor и изменив поток.
Поток включен, а новые события начинаются в течение получаса или меньше. Вы можете ссылаться на таблицу AzureDevOpsAuditing.
Примечание.
Время хранения по умолчанию для журналов Azure Monitor составляет всего 30 дней. Вы можете настроить и выбрать более длительный срок хранения, выбрав "Хранение данных" в разделе "Использование" и предполагаемые затраты в параметрах рабочей области. Это взимает дополнительные расходы. Дополнительные сведения см. в документации по управлению использованием и затратами с помощью журналов Azure Monitor.
Изменение потока
Сведения о целевом объекте потока могут меняться с течением времени. Чтобы отразить эти изменения в потоках, их можно изменить. Чтобы изменить поток, убедитесь, что у вас есть разрешение "Управление потоками аудита".
Рядом с потоком, который требуется изменить, выберите вертикальные три точки в правом верхнем углу, а затем нажмите кнопку "Изменить поток".
Выберите Сохранить.
Параметры, доступные для редактирования, отличаются на тип потока.
Отключение потока
Рядом с потоком, который требуется отключить, переместите переключатель "Включено" в "Выкл.".
При возникновении сбоя потоки могут быть отключены. Вы можете получить сведения о сбое из состояния, отображаемого рядом с потоком, или выбрав "Изменить поток". Вы также можете отключить поток вручную, а затем повторно включить его позже.Выберите Сохранить.
Вы можете повторно включить отключенный поток. Он догоняет все события аудита, пропущенные до предыдущих семи дней. Таким образом, вы не пропустите какие-либо события из длительности отключения потока.
Примечание.
События старше 7 дней не включаются в перехват, если поток отключен более 7 дней.
Удаление потока
Чтобы удалить поток, убедитесь, что у вас есть разрешение "Удалить потоки аудита".
Внимание
После удаления потока вы не сможете вернуть его.
Наведите указатель мыши на поток, который нужно удалить, и выберите вертикальные три точки в правом углу.
Выберите "Удалить поток".
Выберите Подтвердить.
Система удаляет поток. Любые неотступные события перед удалением не отправляются.