Share via

Vytvoření streamování auditu

  • Článek

Služby Azure DevOps

Poznámka:

Auditování je stále ve verzi Public Preview.

Zjistěte, jak vytvořit stream auditu , který odesílá data do jiných umístění pro další zpracování. Odešlete data auditování do jiných nástrojů siEM (Security Incident and Event Management) a otevřete nové možnosti, jako je schopnost aktivovat výstrahy pro konkrétní události, vytvářet zobrazení dat auditování a provádět detekci anomálií. Nastavení datového proudu také umožňuje ukládat data auditování za více než 90 dnů, což je maximální množství dat, která Azure DevOps uchovává pro vaše organizace.

Důležité

Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizaci do Microsoft Entra ID.

Streamy auditu představují kanál, který proudí události auditu z vaší organizace Azure DevOps do cíle streamu. Každou půlhodinu nebo méně se nové události auditu zkompilují a streamují do vašich cílů. Pro konfiguraci jsou k dispozici následující cíle streamu.

Soukromé propojené pracovní prostory se dnes nepodporují.

Poznámka:

Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditu je možné připojit k místní nebo cloudové instanci splunku, ale ujistěte se, že povolujete rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.

Předpoklady

Ve výchozím nastavení jsou kolekce projektů Správa istrátory (PCA) jedinou skupinou, která má přístup k funkci auditování. Musíte mít následující oprávnění:

  • Správa streamů auditu

  • Zobrazení protokolu auditu

    Set audit permissions to Allow

Tato oprávnění se dají udělit všem uživatelům nebo skupinám, které chcete mít ke správě streamů vaší organizace. Kromě toho existuje také oprávnění k odstranění streamů auditu, které můžete přidat pro uživatele nebo skupiny.

Vytvoření datového proudu

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte gear iconNastavení organizace.

    Screenshot showing highlighted Organization settings button.

  3. Vyberte Auditování.

    Select Auditing in Organization settings

Poznámka:

Pokud v organizačním Nastavení nevidíte auditování, auditování v současné době není pro vaši organizaci povolené. Někdo ve skupině vlastníka organizace nebo kolekce projektů Správa istrátory (PCA) musí povolit auditování v zásadách organizace. Události pak uvidíte na stránce Auditování, pokud máte příslušná oprávnění.

  1. Přejděte na kartu Toky a pak vyberte Nový datový proud.

    Select New stream to create your new auditing stream.

  2. Vyberte cíl datového proudu, který chcete nakonfigurovat, a pak podle následujících pokynů nastavte cílový typ streamu.

Poznámka:

V tuto chvíli můžete mít pouze 2 datové proudy pro každý cílový typ.

Create your stream dialog pop out

Nastavení streamu Splunk

Toky odesílat data do splunku přes koncový bod kolektoru událostí HTTP.

  1. Tuto funkci povolte ve Splunku. Další informace najdete v této dokumentaci k splunku.

    Po povolení byste měli mít token kolektoru událostí HTTP a adresu URL vaší instance Splunk. K vytvoření datového proudu Splunk potřebujete token i adresu URL.

    Poznámka:

    Při vytváření nového tokenu kolekce událostí ve Splunku nezaškrtávejte políčko Povolit potvrzení indexeru. Pokud je zaškrtnuté, do Splunku neprotékají žádné události. Token v splunku můžete upravit, abyste toto nastavení odebrali.

  2. Zadejte adresu URL splunku, což je ukazatel na instanci Splunk. Ujistěte se, že jste na konci adresy URL zadali port. Výchozí port je 8088, takže vaše adresa URL by byla podobná https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 nebo https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Zadejte token kolektoru událostí, který jste vytvořili, do pole tokenu. Token se bezpečně ukládá v Rámci Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Doporučujeme token pravidelně otáčet, což můžete udělat získáním nového tokenu ze splunku a úpravou datového proudu.

    Enter topic endpoint and access key that you noted earlier

  4. Vyberte Nastavit a nakonfigurovaný datový proud.

Události začínají dojet na Splunk do půl hodiny nebo méně.

Nastavení streamu Event Gridu

  1. Vytvořte téma Event Gridu v Azure.

  2. Poznamenejte si koncový bod tématu a jeden ze dvou přístupových klíčů. Tyto informace použijte k vytvoření připojení Event Gridu.

    Azure Event Grid information

  3. Zadejte koncový bod tématu a jeden z přístupových klíčů. Přístupový klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Pravidelně obměňujte přístupový klíč, který můžete udělat tak, že získáte nový klíč z Azure Event Gridu a upravíte stream.

    Enter workspace ID and primary key to create

Jakmile máte nakonfigurovaný datový proud Event Gridu, můžete v Event Gridu nastavit odběry tak, aby odesílaly data téměř kdekoli v Azure.

Nastavení streamu protokolů služby Azure Monitor

  1. Vytvořte pracovní prostor služby Log Analytics.

  2. Otevřete pracovní prostor a vyberte Agenti.

  3. Výběrem pokynů k agentu Log Analytics zobrazíte ID pracovního prostoru a primární klíč.

  4. Poznamenejte si ID pracovního prostoru a primární klíč.

    Make note of workspace ID and primary key

  5. Nastavte stream protokolů služby Azure Monitor tak, že budete pokračovat stejnými počátečními kroky, jak vytvořit stream.

  6. Pro možnosti cíle vyberte protokoly služby Azure Monitor.

  7. Zadejte ID pracovního prostoru a primární klíč a pak vyberte Nastavit. Primární klíč je bezpečně uložený v Azure DevOps a nikdy se v uživatelském rozhraní znovu nezobrazí. Klíč můžete pravidelně otáčet tím, že získáte nový klíč z protokolu služby Azure Monitor a upravíte stream.

    Enter workspace ID and primary key and then select Set up.

Stream je povolený a nové události začnou proudit do půl hodiny nebo méně. Na tabulku AzureDevOpsAuditing můžete odkazovat.

Poznámka:

Výchozí doba uchovávání protokolů služby Azure Monitor je pouze 30 dnů. Pokud v nastavení pracovního prostoru vyberete možnost Uchovávání dat v části Využití a odhadované náklady, můžete nakonfigurovat a zvolit delší uchovávání. Za to se účtují další poplatky. Další podrobnosti najdete v dokumentaci ke správě využití a nákladů pomocí protokolů služby Azure Monitor.

Úprava datového proudu

Podrobnosti o cíli streamu se můžou v průběhu času měnit. Pokud chcete tyto změny v streamech odrážet, můžete je upravit. Pokud chcete stream upravit, ujistěte se, že máte oprávnění Spravovat streamy auditu.

  1. Vedle datového proudu, který chcete upravit, vyberte svislé tři tečky úplně vpravo a pak vyberte Upravit stream.

    Select Edit stream

  2. Zvolte Uložit.

Parametry dostupné pro úpravy se liší podle typu datového proudu.

Zakázání datového proudu

  1. Vedle datového proudu, který chcete zakázat, přesuňte přepínač Povoleno z Zapnuto na Vypnuto.
    Když dojde k selhání datových proudů, můžou se zakázat. Podrobnosti o selhání můžete získat ze stavu zobrazeného vedle streamu nebo výběrem možnosti Upravit stream. Stream můžete také zakázat ručně a později ho znovu povolit.

    Move toggle to Off to disable stream

  2. Zvolte Uložit.

Zakázaný stream můžete znovu povolit. Zachytí všechny události auditu, které se zmeškaly až do předchozích sedmi dnů. Tímto způsobem nezmeškáte žádné události z doby, po kterou byl stream zakázán.

Poznámka:

Pokud je stream zakázaný po dobu delší než 7 dnů, události starší než 7 dnů se do zachytávání nezahrnou.

Odstranění datového proudu

Pokud chcete stream odstranit, ujistěte se, že máte oprávnění Odstranit streamy auditu.

Důležité

Jakmile odstraníte stream, nemůžete ho získat zpět.

  1. Najeďte myší na datový proud, který chcete odstranit, a vyberte svislé tři tečky úplně vpravo.

  2. Vyberte Odstranit stream.

    Select Delete stream and it's removed

  3. Vyberte Potvrdit.

Váš datový proud se odebere. Všechny události, které nebyly odeslány před odstraněním, se neodesílají.