Creare lo streaming di controllo

  • Articolo

Servizi di Azure DevOps

Nota

Il controllo è ancora in anteprima pubblica.

Informazioni su come creare un flusso di controllo che invia dati ad altre posizioni per un'ulteriore elaborazione. Inviare dati di controllo ad altri strumenti SIEM (Security Incident and Event Management) e aprire nuove possibilità, ad esempio la possibilità di attivare avvisi per eventi specifici, creare visualizzazioni sui dati di controllo ed eseguire il rilevamento anomalie. La configurazione di un flusso consente anche di archiviare più di 90 giorni di dati di controllo, ovvero la quantità massima di dati che Azure DevOps mantiene per le organizzazioni.

Importante

Il controllo è disponibile solo per le organizzazioni supportate da Microsoft Entra ID. Per altre informazioni, vedere Connessione'organizzazione a Microsoft Entra ID.

I flussi di controllo rappresentano una pipeline che trasmette gli eventi di controllo dall'organizzazione di Azure DevOps a una destinazione di flusso. Ogni mezz'ora o meno, i nuovi eventi di controllo vengono aggregati e trasmessi alle destinazioni. Per la configurazione sono disponibili le destinazioni di flusso seguenti.

  • Splunk: Connessione a Splunk locale o basato sul cloud.
  • Log di Monitoraggio di Azure: inviare i log di controllo ai log di Monitoraggio di Azure. I log archiviati nei log di Monitoraggio di Azure possono essere sottoposti a query e hanno avvisi configurati. Cercare la tabella denominata AzureDevOpsAuditing. È anche possibile connettere Microsoft Sentinel all'area di lavoro.
  • Griglia di eventi di Azure: per gli scenari in cui si desidera inviare i log di controllo in un'altra posizione, sia all'interno che all'esterno di Azure, è possibile configurare una connessione Griglia di eventi di Azure.

Le aree di lavoro collegate private non sono attualmente supportate.

Nota

Il controllo non è disponibile per le distribuzioni locali di Azure DevOps Server. È possibile connettere un flusso di controllo a un'istanza locale o basata sul cloud di Splunk, ma assicurarsi di consentire intervalli IP per le connessioni in ingresso. Per informazioni dettagliate, vedere Elenchi di indirizzi consentiti e connessioni di rete, indirizzi IP e restrizioni di intervallo.

Prerequisiti

Per impostazione predefinita, l'Amministrazione istrator di Project Collection (PCA) è l'unico gruppo che ha accesso alla funzionalità di controllo. È necessario disporre delle autorizzazioni seguenti:

  • Gestire i flussi di controllo

  • Visualizzare il log di controllo

    Set audit permissions to Allow

Queste autorizzazioni possono essere concesse a qualsiasi utente o gruppo che si vuole gestire i flussi dell'organizzazione. È anche disponibile un'autorizzazione Elimina flussi di controllo che è possibile aggiungere per utenti o gruppi.

Creare un flusso

  1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

  2. Seleziona gear iconImpostazioni organizzazione.

    Screenshot showing highlighted Organization settings button.

  3. Selezionare Controllo.

    Select Auditing in Organization settings

Nota

Se non viene visualizzato Auditing in Organization Impostazioni, il controllo non è attualmente abilitato per l'organizzazione. Un utente del proprietario dell'organizzazione o del gruppo di Amministrazione istrators (PCA) dell'organizzazione deve abilitare il controllo nei criteri dell'organizzazione. Sarà quindi possibile visualizzare gli eventi nella pagina Controllo se si dispone delle autorizzazioni appropriate.

  1. Passare alla scheda Flussi e quindi selezionare Nuovo flusso.

    Select New stream to create your new auditing stream.

  2. Selezionare la destinazione del flusso che si vuole configurare e quindi selezionare tra le istruzioni seguenti per configurare il tipo di destinazione del flusso.

Nota

In questo momento, è possibile avere solo 2 flussi per ogni tipo di destinazione.

Create your stream dialog pop out

Configurare un flusso Splunk

Flussi inviare dati a Splunk tramite l'endpoint dell'agente di raccolta eventi HTTP.

  1. Abilitare questa funzionalità in Splunk. Per altre informazioni, vedere questa documentazione di Splunk.

    Dopo l'abilitazione, è necessario avere un token dell'agente di raccolta eventi HTTP e l'URL dell'istanza di Splunk. Per creare un flusso Splunk, sono necessari sia il token che l'URL.

    Nota

    Quando si crea un nuovo token dell'agente di raccolta eventi in Splunk, non selezionare "Abilita riconoscimento indicizzatore". Se è selezionata, non viene eseguito alcun flusso di eventi in Splunk. È possibile modificare il token in Splunk per rimuovere tale impostazione.

  2. Immettere l'URL di Splunk, ovvero il puntatore all'istanza di Splunk. Assicurarsi di specificare una porta alla fine dell'URL. La porta predefinita è 8088, quindi l'URL sarà simile a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 o https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Immettere il token dell'agente di raccolta eventi creato nel campo del token. Il token viene archiviato in modo sicuro all'interno di Azure DevOps e non viene mai visualizzato di nuovo nell'interfaccia utente. È consigliabile ruotare regolarmente il token, che è possibile eseguire ottenendo un nuovo token da Splunk e modificando il flusso.

    Enter topic endpoint and access key that you noted earlier

  4. Selezionare Configura e configurato il flusso.

Gli eventi iniziano ad arrivare su Splunk entro mezz'ora o meno.

Configurare un flusso di Griglia di eventi

  1. Creare un argomento di Griglia di eventi in Azure.

  2. Prendere nota di "Endpoint argomento" e di una delle due "chiavi di accesso". Usare queste informazioni per creare la connessione di Griglia di eventi.

    Azure Event Grid information

  3. Immettere l'endpoint dell'argomento e una delle chiavi di accesso. La chiave di accesso viene archiviata in modo sicuro all'interno di Azure DevOps e non viene mai visualizzata di nuovo nell'interfaccia utente. Ruotare regolarmente la chiave di accesso, che è possibile eseguire ottenendo una nuova chiave da Griglia di eventi di Azure e modificando il flusso

    Enter workspace ID and primary key to create

Dopo aver configurato il flusso di Griglia di eventi, è possibile configurare le sottoscrizioni in Griglia di eventi per inviare i dati quasi ovunque in Azure.

Configurare un flusso di log di Monitoraggio di Azure

  1. Creare un'area di lavoro Log Analytics.

  2. Aprire l'area di lavoro e selezionare Agenti.

  3. Selezionare Le istruzioni dell'agente di Log Analytics per visualizzare l'ID dell'area di lavoro e la chiave primaria.

  4. Prendere nota dell'ID dell'area di lavoro e della chiave primaria.

    Make note of workspace ID and primary key

  5. Configurare il flusso di log di Monitoraggio di Azure procedendo con gli stessi passaggi iniziali per creare un flusso.

  6. Per le opzioni di destinazione selezionare Log di Monitoraggio di Azure.

  7. Immettere l'ID dell'area di lavoro e la chiave primaria e quindi selezionare Configura. La chiave primaria viene archiviata in modo sicuro all'interno di Azure DevOps e non viene mai visualizzata di nuovo nell'interfaccia utente. Ruotare regolarmente la chiave, che è possibile eseguire ottenendo una nuova chiave dal log di Monitoraggio di Azure e modificando il flusso.

    Enter workspace ID and primary key and then select Set up.

Il flusso è abilitato e i nuovi eventi iniziano a fluire entro mezz'ora o meno. È possibile fare riferimento alla tabella AzureDevOpsAuditing.

Nota

Il tempo di conservazione predefinito per i log di Monitoraggio di Azure è di soli 30 giorni. È possibile configurare e scegliere una conservazione più lunga selezionando Conservazione dati in Utilizzo e costi stimati nelle impostazioni dell'area di lavoro. Ciò comporta addebiti aggiuntivi. Per altri dettagli, vedere la documentazione per gestire l'utilizzo e i costi con i log di Monitoraggio di Azure.

Modificare un flusso

I dettagli sulla destinazione del flusso possono cambiare nel tempo. Per riflettere queste modifiche nei flussi, è possibile modificarle. Per modificare un flusso, assicurarsi di disporre dell'autorizzazione Gestisci flussi di controllo.

  1. Accanto al flusso che si vuole modificare, selezionare i tre punti verticali all'estrema destra e quindi selezionare Modifica flusso.

    Select Edit stream

  2. Seleziona Salva.

I parametri disponibili per la modifica variano in base al tipo di flusso.

Disabilitare un flusso

  1. Accanto al flusso che si vuole disabilitare, spostare l'interruttore Abilitato da Attivato a Disattivato.
    Quando i flussi riscontrano un errore, possono diventare disabilitati. È possibile ottenere dettagli sull'errore dallo stato visualizzato accanto al flusso o selezionando Modifica flusso. È anche possibile disabilitare manualmente un flusso e quindi riabilitarlo in un secondo momento.

    Move toggle to Off to disable stream

  2. Seleziona Salva.

È possibile riabilitare un flusso disabilitato. Recupera tutti gli eventi di controllo che sono stati persi fino ai sette giorni precedenti. In questo modo non si perde alcun evento dalla durata in cui il flusso è stato disabilitato.

Nota

Se un flusso è disabilitato per più di 7 giorni, gli eventi precedenti a 7 giorni non vengono inclusi nel recupero.

Eliminare un flusso

Per eliminare un flusso, assicurarsi di disporre dell'autorizzazione Elimina flussi di controllo.

Importante

Dopo aver eliminato un flusso, non è possibile recuperarlo.

  1. Passare il puntatore del mouse sul flusso che si vuole eliminare e selezionare i tre punti verticali all'estrema destra.

  2. Selezionare Elimina flusso.

    Select Delete stream and it's removed

  3. Seleziona Conferma.

Il flusso viene rimosso. Tutti gli eventi che non sono stati inviati prima dell'eliminazione non vengono inviati.