Denetim akışı oluştur

  • Makale
  • Okumak için 4 dakika

Azure DevOps Services

Not

Denetim akışı şu anda genel önizlemededir.

Başka konumlara daha fazla işlem için veri gönderen bir Denetim akışı oluşturmayı öğrenin. Belirli olaylara yönelik uyarıları tetikleyebilme, denetim verilerinde görünümler oluşturma ve anomali algılama işlemleri gibi olanakları açmak için, diğer güvenlik olayına ve olay yönetimi (SıEM) araçlarına denetim verileri gönderin. ayrıca, kuruluşunuz için Azure DevOps en yüksek veri miktarı olan denetim verilerinin 90 günden daha fazlasını depolamanıza olanak tanır.

denetim akışları Azure DevOps kuruluşunuzdan denetim olaylarını akış hedefine akan bir işlem hattını temsil eder. Her yarı saat veya daha az, yeni denetim olayları paketlenir ve hedeflerinizi akışa alınır. Yapılandırma için aşağıdaki akış hedefleri kullanılabilir.

  • splunk – şirket içi veya bulut tabanlı splunk Bağlan.
  • Azure Izleyici günlükleri -denetim günlüklerini Azure izleyici günlüklerinegönderin. Azure Izleyici günlüklerinde depolanan Günlükler sorgulanabilir ve uyarılar yapılandırılmış olabilir. AzureDevOpsAuditing adlı tabloyu arayın. Ayrıca, Azure Sentinel 'i çalışma alanınıza de bağlayabilirsiniz.
  • Azure Event Grid : denetim günlüklerinizin başka bir yere gönderilmesini istediğiniz senaryolar Için, Azure içinde veya dışında bir Azure Event Grid bağlantısı kurabilirsiniz.

Özel bağlantılı çalışma alanları bugün desteklenmez.

Önkoşullar

varsayılan olarak, Project koleksiyon yöneticileri (pcas), denetim özelliğine erişimi olan tek gruptur. Aşağıdaki izinlere sahip olmanız gerekir:

  • Denetim akışlarını Yönet

  • Denetim günlüğünü görüntüle

    Denetim izinlerini Izin ver olarak ayarla

Bu izinler, kuruluşunuzun akışlarını yönetmek istediğiniz tüm kullanıcılara veya gruplara verilebilir. Ayrıca, kullanıcılar veya gruplar için ekleyebileceğiniz Denetim akışlarını silme izni de vardır.

Akış oluşturma

  1. Kuruluşunuzda () oturum açın https://dev.azure.com/{yourorganization} .

  2. Dişli simgesikuruluş ayarları' nı seçin.

    Kuruluş ayarlarını aç

  3. Denetim' i seçin.

    Kuruluş ayarlarında denetim seçin

Not

Kuruluş ayarlarında Denetim görmüyorsanız, denetim olaylarını görüntülemek için erişiminiz yok demektir. Project koleksiyon yöneticileri (pcas) grubunun dışında, diğer kullanıcılara ve gruplara izin verebilirsiniz, bu sayede denetim sayfalarını görüntüleyebilirler.

  1. Akışlar sekmesine gidin ve ardından yeni akış' ı seçin.

    Yeni denetim akışınızı oluşturmak için yeni akış ' ı seçin.

  2. Yapılandırmak istediğiniz akış hedefini seçin ve ardından akış hedefi türünü ayarlamak için aşağıdaki yönergelerden seçim yapın.

Not

Şu anda her hedef tür için yalnızca 2 akış olabilir.

Akış iletişim kutusunu oluşturma açılan menüsü

Splunk akışı ayarlama

Akışlar HTTP olay toplayıcı uç noktası aracılığıyla splunk 'a veri gönderme.

  1. Splunk 'da bu özelliği etkinleştirin. Daha fazla bilgi için bu splunk belgelerinebakın.

    Etkinleştirildikten sonra, bir HTTP olay toplayıcı belirtecine ve splunk örneğinizin URL 'sine sahip olmanız gerekir. Splunk akışı oluşturmak için hem belirteç hem de URL gereklidir.

    Not

    Splunk içinde yeni bir olay toplayıcı belirteci oluştururken "Dizin Oluşturucu onayı etkinleştir" seçeneğini işaretleyin. İşaretliyse, hiçbir olay splunk içine akar. Bu ayarı kaldırmak için splunk içindeki belirteci düzenleyebilirsiniz.

  2. Splunk örneğinizin işaretçisi olan splunk URL 'nizi girin. Splunk URL 'nizin başlangıcında "input-" ' ın dahil olduğundan emin olun. Örneğin, splunk URL 'niz varsa https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088 , girin https://input-prd-p-2v3mp2xhznbs.cloud.splunk.com:8088 .

  3. Belirteç alanına oluşturduğunuz olay toplayıcı belirtecini girin. belirteç Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde hiç bir kez daha gösterilmez. Splunk 'dan yeni bir belirteç alarak ve akışı düzenleyerek, belirteci düzenli olarak döndürmeyi öneririz.

    Daha önce not ettiğiniz konu uç noktasını ve erişim anahtarını girin

  4. Ayarla ' yı ve akışın yapılandırılmış öğesini seçin.

Olaylar, yarım saat veya daha az bir süre içinde splunk 'a ulaşacak.

Event Grid akışı ayarlama

  1. Azure 'da bir Event Grid konu başlığı oluşturun.

  2. "Konu uç noktası" nı ve iki "erişim tuşlarından" birini unutmayın. Event Grid bağlantısını oluşturmak için bu bilgileri kullanın.

    Azure Event Grid bilgileri

  3. Konu uç noktasını ve erişim tuşlarından birini girin. erişim anahtarı Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde hiç bir kez daha gösterilmez. Azure Event Grid ve akışı düzenleyerek yeni bir anahtar alarak yapabileceğiniz şekilde erişim anahtarını düzenli olarak döndürün

    Oluşturulacak çalışma alanı KIMLIĞINI ve birincil anahtarı girin

Event Grid Stream 'i yapılandırdıktan sonra, verileri Azure 'da neredeyse her yerde göndermek için Event Grid abonelikleri ayarlayabilirsiniz.

Azure Izleyici günlük akışı ayarlama

  1. Log Analytics çalışma alanıoluşturun.

  2. Çalışma alanını açın ve aracılar yönetimi' ni seçin.

  3. Çalışma alanı KIMLIĞI ve birincil anahtarı unutmayın.

    Çalışma alanı KIMLIĞI ve birincil anahtar oluştur

  4. Bir akış oluşturmak için aynı ilk adımlarla devam ederek Azure Izleyici günlük akışınızı ayarlayın.

  5. Hedef seçenekleri için Azure Izleyici günlükleri' ni seçin.

  6. Çalışma alanı KIMLIĞI ve birincil anahtarı girip Ayarla' yı seçin. birincil anahtar Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde hiç bir kez daha gösterilmez. Anahtarı düzenli olarak döndürün, Azure Izleyici günlüğünden yeni bir anahtar alarak ve akışı düzenleyerek bunu yapabilirsiniz.

    Çalışma alanı KIMLIĞI ve birincil anahtar girip ayarla ' yı seçin.

Akış etkindir ve yeni olaylar, bir saat veya daha az bir süre içinde akışa başlayabilir. AzureDevOpsAuditing tablosuna başvurabilirsiniz.

Not

Azure Izleyici günlükleri için varsayılan saklama süresi yalnızca 30 gündür. Kullanım altında veri saklama ve çalışma alanı ayarlarınızda tahmini maliyetler ' i seçerek daha uzun bekletme 'yi yapılandırabilir ve seçebilirsiniz. Bu, ek ücretler doğurur. Daha fazla ayrıntı için Azure Izleyici günlükleriyle kullanımı ve maliyetleri yönetmek üzere belgeleri denetleyin.

Akış düzenleme

Akış Hedefinizdeki Ayrıntılar zaman içinde değişebilir. Akışlarınıza bu değişiklikleri yansıtmak için, bunları düzenleyebilirsiniz. Bir akışı düzenlemek için, "Denetim akışlarını Yönet" iznine sahip olduğunuzdan emin olun.

  1. Düzenlemek istediğiniz akışın yanında, en sağdaki dikey üç noktayı seçin ve ardından akışı Düzenle' yi seçin.

    Akışı Düzenle ' yi seçin

  2. Kaydet’i seçin.

Düzenlemede kullanılabilen parametreler, akış türü başına farklılık gösterir.

Akışı devre dışı bırakma

  1. Devre dışı bırakmak istediğiniz akışın yanında Etkin iki durumlu düğmeyi Açık'tan Kapalı'yahareket ettirin.
    Akışlar bir hatayla karşılaştığında devre dışı bırakılabilir. Hatayla ilgili ayrıntıları akışın yanında gösterilen durumdan veya Akışı düzenle'yi seçerek edinebilirsiniz. Ayrıca akışı el ile devre dışı bırakarak daha sonra yeniden etkinleştirebilirsiniz.

    Akışı devre dışı bırakmak için Kapalı'ya geçiş

  2. Kaydet’i seçin.

Devre dışı bırakılmış bir akışı yeniden etkinleştirin. Son yedi gün içinde gözden kaçırilen tüm denetim olaylarını yakalar. Bu şekilde, akışın devre dışı bırakılmıştır süresinden herhangi bir olay kaçırmaz.

Not

Bir akış 7 gün boyunca devre dışı bırakılırsa, 7 günden eski olaylar yakalama kapsamına dahil değildir.

Akışı silme

Bir akışı silmek için Denetimi Silme iznine sahip Akışlar olun.

Önemli

Bir akışı sildktan sonra geri alamz.

  1. Silmek istediğiniz akışın üzerine gelin ve en sağ uçta yer alan dikey üç noktayı seçin.

  2. Akışı sil'i seçin.

    Akışı sil'i seçin ve kaldırılır

  3. Onayla'ya seçin.

Akışınız kaldırılır. Silme işlemi öncesinde gönderilmeen olaylar gönderilmez.