Crear flujo de auditoría

  • Artículo
  • 6 minutos para leer

Azure DevOps Services

Nota

El streaming de auditoría está actualmente en versión preliminar pública.

Obtenga información sobre cómo crear un flujo de auditoría, que envía datos a otras ubicaciones para su posterior procesamiento. Envíe datos de auditoría a otras herramientas de administración de eventos y incidentes de seguridad (SIEM) para abrir posibilidades, como la capacidad de desencadenar alertas para eventos específicos, crear vistas en los datos de auditoría y realizar la detección de anomalías. También permite almacenar más de 90 días de datos de auditoría, que es la cantidad máxima de datos que Azure DevOps conserva para las organizaciones.

Los flujos de auditoría representan una canalización que fluye los eventos de auditoría Azure DevOps organización a un destino de flujo. Cada media hora o menos, los nuevos eventos de auditoría se agrupan y transmiten a los destinos. Los siguientes destinos de flujo están disponibles para la configuración.

  • Splunk: Conectar a Splunk local o basado en la nube.
  • Azure Monitor registros de auditoría: envíe registros de auditoría a Azure Monitor registros. Los registros almacenados en Azure Monitor se pueden consultar y tener alertas configuradas. Busque la tabla denominada AzureDevOpsAuditing. También puede conectarse Azure Sentinel al área de trabajo.
  • Azure Event Grid: para escenarios en los que desea que los registros de auditoría se envíen a otro lugar, ya sea dentro o fuera de Azure, puede configurar una conexión Azure Event Grid auditoría.

Las áreas de trabajo vinculadas privadas no se admiten actualmente.

Requisitos previos

De forma predeterminada, Project de recopilación de recursos (PCA) son el único grupo que tiene acceso a la característica de auditoría. Debe tener estos permisos:

  • Administración de flujos de auditoría

  • Consulta del registro de auditoría

    Establezca los permisos de auditoría en Permitir

Estos permisos se pueden conceder a los usuarios o grupos que desee que administren los flujos de la organización. Además, también hay un permiso Eliminar flujos de auditoría que puede agregar para usuarios o grupos.

Creación de una secuencia

  1. Inicie sesión en su organización ( https://dev.azure.com/{yourorganization} ).

  2. Seleccione el icono de engranajeConfiguración de laorganización.

    Abrir configuración de la organización

  3. Seleccione Auditoría.

    Seleccione Auditoría en configuración de la organización.

Nota

Si no ve Auditoría en la configuración de la organización, no tiene acceso para ver los eventos de auditoría. Fuera del grupo Project Collection Administrators (PCA), puede conceder permisos a otros usuarios y grupos para que puedan ver las páginas de auditoría.

  1. Vaya a la pestaña Secuencias y, a continuación, seleccione Nueva secuencia.

    Seleccione Nueva secuencia para crear la nueva secuencia de auditoría.

  2. Seleccione el destino de flujo que desea configurar y, a continuación, seleccione entre las siguientes instrucciones para configurar el tipo de destino de secuencia.

Nota

En este momento, solo puede tener 2 secuencias para cada tipo de destino.

Cuadro de diálogo de creación de la secuencia emergente

Configuración de una secuencia de Splunk

Secuencias enviar datos a Splunk a través del punto de conexión del recopilador de eventos HTTP.

  1. Habilite esta característica en Splunk. Para obtener más información, vea esta documentación de Splunk.

    Una vez habilitado, debe tener un token del recopilador de eventos HTTP y la dirección URL de la instancia de Splunk. Necesita el token y la dirección URL para crear una secuencia de Splunk.

    Nota

    Al crear un nuevo token del recopilador de eventos en Splunk, no marque "Habilitar la confirmación del indexador". Si está activada, no hay ningún flujo de eventos en Splunk. Puede editar el token en Splunk para quitar esa configuración.

  2. Escriba la dirección URL de Splunk, que es el puntero a la instancia de Splunk. Asegúrese de incluir "input-" al principio de la dirección URL de Splunk. Por ejemplo, si la dirección URL de Splunk era https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088 , escriba https://input-prd-p-2v3mp2xhznbs.cloud.splunk.com:8088 .

  3. Escriba el token del recopilador de eventos que creó en el campo token. El token se almacena de forma segura en Azure DevOps y nunca se vuelve a mostrar en la interfaz de usuario. Se recomienda rotar el token periódicamente, lo que puede hacer obteniendo un nuevo token de Splunk y editando la secuencia.

    Escriba el punto de conexión del tema y la clave de acceso que anotó anteriormente.

  4. Seleccione Configurar y la secuencia está configurada.

Los eventos comienzan a llegar a Splunk en una media hora o menos.

Configuración de una secuencia Event Grid datos

  1. Cree un Event Grid tema en Azure.

  2. Anote el "punto de conexión del tema" y una de las dos "claves de acceso". Use esta información para crear la Event Grid conexión.

    Azure Event Grid información

  3. Escriba el punto de conexión del tema y una de las claves de acceso. La clave de acceso se almacena de forma segura en Azure DevOps y nunca se vuelve a mostrar en la interfaz de usuario. Rote la clave de acceso con regularidad, lo que puede hacer obteniendo una nueva clave de Azure Event Grid y editando la secuencia.

    Escriba el identificador del área de trabajo y la clave principal que se crearán.

Una vez configurada la Event Grid, puede configurar suscripciones en el Event Grid para enviar los datos casi en cualquier lugar de Azure.

Configuración de una secuencia Azure Monitor registro

  1. Crear un área de trabajo de Log Analytics.

  2. Abra el área de trabajo y seleccione Administración de agentes.

  3. Anote el identificador del área de trabajo y la clave principal.

    Anote el identificador del área de trabajo y la clave principal.

  4. Configure la secuencia Azure Monitor registro mediante los mismos pasos iniciales para crear una secuencia.

  5. Para las opciones de destino, seleccione Azure Monitor registros.

  6. Escriba el identificador del área de trabajo y la clave principal y, a continuación, seleccione Configurar. La clave principal se almacena de forma segura en Azure DevOps y nunca se vuelve a mostrar en la interfaz de usuario. Rote la clave con regularidad, lo que puede hacer obteniendo una nueva clave de Azure Monitor registro y editando la secuencia.

    Escriba el identificador del área de trabajo y la clave principal y, a continuación, seleccione Configurar.

La secuencia está habilitada y los nuevos eventos comienzan a fluir en una media hora o menos. Puede hacer referencia a la tabla AzureDevOpsAuditing.

Nota

El tiempo de retención predeterminado para Azure Monitor registros es solo de 30 días. Puede configurar y elegir una retención más larga seleccionando Retención de datos en Uso y costos estimados en la configuración del área de trabajo. Esto conlleva cargos adicionales. Consulte la documentación para administrar el uso y los costos con Azure Monitor registros para obtener más detalles.

Edición de una secuencia

Los detalles sobre el destino de la secuencia pueden cambiar con el tiempo. Para reflejar estos cambios en las secuencias, puede editarlos. Para editar una secuencia, asegúrese de que tiene el permiso "Administrar flujos de auditoría".

  1. Junto a la secuencia que desea editar, seleccione los tres puntos verticales en el extremo derecho y, a continuación, seleccione Editar secuencia.

    Seleccione Editar secuencia.

  2. Seleccione Guardar.

Los parámetros disponibles para la edición difieren por tipo de secuencia.

Deshabilitación de una secuencia

  1. Junto a la secuencia que desea deshabilitar, mueva el botón de alternancia Habilitadode Activado a Desactivado.
    Cuando las secuencias detectan un error, pueden deshabilitarse. Puede obtener detalles sobre el error en el estado que se muestra junto a la secuencia o seleccionando Editar secuencia. También puede deshabilitar una secuencia manualmente y volver a habilitarla más adelante.

    Mueva el botón de alternancia a Desactivado para deshabilitar la secuencia.

  2. Seleccione Guardar.

Puede volver a habilitar una secuencia deshabilitada. Se encuentra al día con los eventos de auditoría que se perdieron durante los siete días anteriores. De este modo, no se pierde ningún evento de la duración en que se deshabilitó la secuencia.

Nota

Si una secuencia está deshabilitada durante más de 7 días, los eventos de más de 7 días no se incluyen en la versión de ponerse al día.

Eliminación de una secuencia

Para eliminar una secuencia, asegúrese de que tiene el permiso Eliminar Secuencias auditoría.

Importante

Una vez que elimine una secuencia, no podrá recuperarla.

  1. Mantenga el puntero sobre el flujo que desea eliminar y seleccione los tres puntos verticales en el extremo derecho.

  2. Seleccione Eliminar secuencia.

    Seleccione Eliminar secuencia y se quitará.

  3. Seleccione Confirmar.

La secuencia se quita. Los eventos que no se han enviado antes de la eliminación no se envían.