Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services
Примечание.
Аудит по-прежнему находится в общедоступной предварительной версии.
Узнайте, как создать поток аудита, который отправляет данные в другие места для дальнейшей обработки. Отправьте данные аудита в другие средства управления инцидентами безопасности и событиями (SIEM) и откройте новые возможности, такие как возможность активировать оповещения для определенных событий, создавать представления об аудите данных и выполнять обнаружение аномалий. Настройка потока также позволяет хранить более чем 90-дневный объем данных аудита, что является максимальным объемом данных, которые Azure DevOps хранит для вашей организации.
Внимание
Аудит доступен только для организаций, поддерживаемых Microsoft Entra ID. Дополнительные сведения см. в разделе Connect your organization to Microsoft Entra ID.
Потоки аудита представляют конвейер, который передает события аудита из организации Azure DevOps в целевой объект потока. Новые события аудита упаковываются и передаются в целевые точки каждые полчаса или чаще. Для настройки доступны следующие целевые объекты потока.
- Splunk — Подключитесь к локальному или облачному Splunk.
- Azure Monitor Logs — отправьте журналы аудита в Azure Monitor Logs. Журналы, хранящиеся в журналах Azure Monitor, можно запрашивать и настраивать оповещения. Найдите таблицу с именем AzureDevOpsAuditing. Вы также можете подключить Microsoft Sentinel к рабочей области.
- Azure Event Grid — в сценариях, когда необходимо отправить журналы аудита в другое место, будь то внутри или вне Azure, можно настроить подключение с помощью Azure Event Grid.
Сегодня частные связанные рабочие области не поддерживаются.
Примечание.
Аудит недоступен для локальных развертываний. Можно подключить поток аудита к локальному или облачному экземпляру Splunk, но убедитесь, что разрешены диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.
Предварительные требования
Аудит отключен по умолчанию для всех организаций Azure DevOps Services. Убедитесь, что только авторизованный персонал имеет доступ к конфиденциальным сведениям аудита.
| Категория | Требования |
|---|---|
| Разрешения | — член группы администраторов коллекции проектов (владельцы организации автоматически являются членами) или — Для каждого пользователя или группы заданы следующие разрешения аудита: управление потоками аудита, просмотр журнала аудита. Администраторы коллекции проектов могут предоставлять эти разрешения любым пользователям или группам для управления потоками организации, включая удаление потоков аудита. |
Примечание.
Если для организации включена функция "Ограничить видимость пользователей и возможность работать с определенными проектами", пользователи в группе пользователи с правами на проект не могут получить доступ к Аудиту и имеют ограниченный доступ к страницам параметров организации. Дополнительные сведения и важные сведения о безопасности см. в разделе "Ограничение видимости пользователей для проектов и многое другое".
Создание потока
Войдите в свою организацию (
https://dev.azure.com/{Your_Organization}).Выберите
Настройки организации.
Выберите "Аудит".
Примечание.
Если аудит не отображается в параметрах организации, аудит в настоящее время не включен для вашей организации. Кто-либо из владельца организации или группы администраторов коллекции проектов должен включить аудит в политиках организации. События можно просмотреть на странице аудита, если у вас есть соответствующие разрешения.
Перейдите на вкладку Streams и выберите "Создать поток".
Выберите целевой объект потока, который требуется настроить, и выберите из следующих инструкций, чтобы настроить тип целевого объекта потока.
Примечание.
В настоящее время для каждого целевого типа можно использовать только два потока.
Настройка потока Splunk
Потоки отправляют данные в Splunk через конечную точку сборщика событий HTTP.
Включите эту функцию в Splunk. Дополнительные сведения см. в этой документации по Splunk.
После включения у вас должен быть токен сборщика событий HTTP и URL-адрес экземпляра Splunk. Чтобы создать поток Splunk, вам нужен как токен, так и URL-адрес.
Примечание.
При создании нового токена сборщика событий в Splunk, не отмечайте "Включить подтверждение индексатора". Если установлен флажок, события не передаются в Splunk. Вы можете изменить маркер в Splunk, чтобы удалить этот параметр.
Введите URL-адрес Splunk, который является ссылкой на ваш экземпляр Splunk. Убедитесь, что в конце URL-адреса указан порт. По умолчанию используется
8088порт, поэтому URL-адрес будет похож наhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088илиhttps://prd-p-2k3mp2xhznbs.splunkcloud.com.Введите созданный вами маркер сборщика событий в поле ввода маркера. Маркер хранится безопасно в Azure DevOps и никогда не отображается в пользовательском интерфейсе. Мы рекомендуем регулярно обновлять токен, что можно сделать, получив новый токен из Splunk и редактируя поток.
Выберите Настроить.
Поток настраивается, и в течение получаса или даже раньше события начинают поступать в Splunk.
Настройка потока сетки событий
- Создайте раздел сетки событий в Azure.
Примечание.
Перейдите на вкладку "Дополнительно " и убедитесь, что для схемы событий задана схема сетки событий. Другие схемы не поддерживаются Azure DevOps.
Запишите конечную точку раздела и один из двух ключей доступа. Используйте эти сведения для создания подключения сетки событий.
Введите конечную точку раздела и один из ключей доступа. Ключ доступа хранится безопасно в Azure DevOps и никогда не отображается снова в пользовательском интерфейсе. Регулярно поворачивайте ключ доступа, который можно сделать, получив новый ключ из Azure Event Grid и изменив поток.
После настройки потока сетки событий вы можете настроить подписки в сетке событий, чтобы отправлять данные практически в любом месте Azure.
Настройте поток журналов Azure Monitor
- Создайте рабочую область Log Analytics.
- Откройте рабочую область и выберите "Обзор".
- Запишите идентификатор рабочей области, группу ресурсов и имя рабочей области.
- Получите общий ключ с помощью одного из следующих методов:
-
Использование PowerShell и модуля Az.OperationalInsights:
Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName <Resource group> -Name <Workspace name> -
Использование Azure CLI:
az monitor log-analytics workspace get-shared-keys --resource-group <Resource group> --workspace-name <Workspace name> - Использование REST API: Вызов API получения общих ключей
Примечание.
Прямой доступ к ключам рабочей области через портал Azure не рекомендуется. Используйте методы PowerShell, Azure CLI или REST API для программного получения общих ключей.
Настройте поток журналов Azure Monitor, выполнив те же начальные шаги, чтобы создать поток.
Для целевых параметров выберите Azure Monitor Logs.
Введите идентификатор рабочей области и первичный ключ, а затем нажмите кнопку "Настройка". Первичный ключ хранится безопасно в Azure DevOps и никогда не отображается снова в пользовательском интерфейсе. Регулярно поворачивайте ключ, что можно сделать путем получения нового ключа из журнала Azure Monitor, а затем редактирования потока.
Поток включен, и новые события начинают поступать в течение получаса или раньше. Вы можете ссылаться на таблицу AzureDevOpsAuditing.
Примечание.
Время хранения по умолчанию для журналов Azure Monitor составляет только 30 дней. Вы можете настроить и выбрать более длительный срок хранения, выбрав "Хранение данных" в разделе "Использование" и предполагаемые затраты в параметрах рабочей области. Это действие приведет к дополнительным расходам. Дополнительные сведения см. в документации для управления использованием и затратами с помощью журналов Azure Monitor.
Редактировать поток
Сведения о целевом объекте потока могут меняться с течением времени. Чтобы отразить эти изменения в потоках, их можно изменить. Чтобы изменить поток, убедитесь, что у вас есть разрешение на "Управление потоками аудита".
Рядом с потоком, который требуется изменить, выберите вертикальные три точки в правом верхнем углу, а затем нажмите кнопку "Изменить поток".
Выберите Сохранить.
Параметры, доступные для редактирования, отличаются в зависимости от типа потока.
Отключение потока
Рядом с потоком, который требуется отключить, переместите переключатель "Включено" с "Вкл" на "Выкл".
При возникновении сбоя потоки могут быть отключены. Вы можете получить сведения о сбое из состояния, отображаемого рядом с потоком, или выбрав "Изменить поток". Вы также можете отключить поток вручную, а затем повторно включить его позже.
Выберите Сохранить.
Вы можете повторно включить отключенный поток. Он восполняет все события аудита, которые были пропущены за предыдущие семь дней. Таким образом, вы не пропустите никакие события, произошедшие во время отключения потока.
Примечание.
События старше семи дней не включаются в восстановление, если поток отключен более чем на семь дней.
Удалите поток
Чтобы удалить поток, убедитесь, что у вас есть разрешение на "Удаление потоков аудита".
Внимание
После удаления потока его невозможно вернуть.
Наведите указатель мыши на поток, который нужно удалить, и выберите вертикальные три точки в правом углу.
Выберите "Удалить поток".
Выберите Подтвердить.
Система удаляет поток данных. Любые неотправленные события перед удалением не отправляются.