Partilhar via

Criar streaming de auditoria

Serviços de DevOps do Azure

Nota

A auditoria ainda está em fase de pré-visualização pública.

Saiba como criar um fluxo de auditoria , que envia dados para outros locais para processamento posterior. Envie dados de auditoria para outras ferramentas de Gerenciamento de Incidentes e Eventos de Segurança (SIEM) e abra novas possibilidades, como a capacidade de disparar alertas para eventos específicos, criar exibições em dados de auditoria e executar a deteção de anomalias. A configuração de um fluxo também permite armazenar mais de 90 dias de dados de auditoria, que é a quantidade máxima de dados que o Azure DevOps mantém para suas organizações.

Importante

A auditoria só está disponível para organizações apoiadas pelo Microsoft Entra ID. Para obter mais informações, consulte Conectar sua organização ao Microsoft Entra ID.

Os fluxos de auditoria representam um pipeline que flui eventos de auditoria da sua organização do Azure DevOps para um destino de fluxo. A cada meia hora ou menos, novos eventos de auditoria são agrupados e transmitidos para seus alvos. Os seguintes destinos de fluxo estão disponíveis para configuração.

Atualmente, não há suporte para espaços de trabalho vinculados privados.

Nota

A auditoria não está disponível para implementações on-premises. É possível ligar um fluxo de auditoria a uma instância local ou baseada na cloud do Splunk, mas certifique-se de permitir intervalos de IP para ligações de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.

Pré-requisitos

A auditoria está desativada por padrão para todas as organizações dos Serviços de DevOps do Azure. Certifique-se de que apenas o pessoal autorizado tenha acesso a informações confidenciais de auditoria.

Categoria Requerimentos
Permissões Membro do grupo Administradores da Coleção de Projetos . Os proprietários da organização são automaticamente membros deste grupo. Ou as seguintes permissões de auditoria por usuário ou grupo, definidas como Permitir:
- Gerenciar fluxos de auditoria
- Ver registo de auditoria
Os PCAs podem conceder essas permissões a quaisquer usuários ou grupos para gerenciar fluxos da organização, incluindo Excluir fluxos de auditoria.

Nota

Se o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos estiver habilitado para a organização, os usuários do grupo Usuários com escopo do projeto não poderão exibir Auditoria e terão visibilidade limitada para as páginas de configurações da organização. Para obter mais informações e detalhes importantes relacionados à segurança, consulte Limitar a visibilidade do usuário para projetos e muito mais.

Criar um fluxo

  1. Inicie sessão na sua organização (https://dev.azure.com/{Your_Organization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

    Captura de ecrã a mostrar o botão Definições da organização realçado.

  3. Selecione Auditoria.

    Selecione Auditoria nas configurações da organização

Nota

Se não vir Auditoria nas Definições da Organização, então a auditoria não está atualmente ativada para a sua organização. Alguém no proprietário da organização ou no grupo Administradores de Coleção de Projetos (PCAs) deve habilitar a Auditoria nas Políticas da Organização. Pode ver os eventos na página de Auditoria se tiver as permissões adequadas.

  1. Vá para a guia Fluxos e selecione Novo fluxo.

    Selecione Novo fluxo para criar seu novo fluxo de auditoria.

  2. Selecione o destino de fluxo que você deseja configurar e, em seguida, selecione uma das instruções a seguir para configurar seu tipo de destino de fluxo.

Nota

Neste momento, só podes ter dois fluxos para cada tipo de alvo.

Criar pop-out da caixa de diálogo de fluxo

Configurar um fluxo do Splunk

Os fluxos enviam dados para o Splunk por meio do ponto de extremidade HTTP Event Collector.

  1. Habilite esse recurso no Splunk. Para obter mais informações, consulte esta documentação do Splunk.

    Uma vez habilitado, você deve ter um token HTTP Event Collector e a URL para sua instância Splunk. Você precisa do token e da URL para criar um fluxo Splunk.

    Nota

    Quando estiver a criar um novo token Event Collector no Splunk, não marque "Ativar reconhecimento do indexador." Se estiver marcada, nenhum evento fluirá para o Splunk. Você pode editar o token no Splunk para remover essa configuração.

  2. Insira o URL do Splunk, que é o ponteiro para a instância do Splunk. Certifique-se de especificar uma porta no final da URL. A porta padrão é 8088, portanto, sua URL seria semelhante a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 ou https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Insira o token de coletor de eventos que você criou no campo de token. O token é armazenado com segurança no Azure DevOps e nunca mais exibido na interface do usuário. Recomendamos girar o token regularmente, o que você pode fazer obtendo um novo token do Splunk e editando o fluxo.

    Insira o tópico, o ponto de extremidade e a chave de acesso que você anotou anteriormente

  4. Selecione Configurar.

Seu fluxo é configurado e os eventos começam a chegar ao Splunk em meia hora ou menos.

Configurar um fluxo de Grade de Eventos

  1. Crie um tópico de Grade de Eventos no Azure.

Nota

Vá para a guia Avançado e verifique se o Esquema de Eventos está definido como Esquema de Grade de Eventos. Outros esquemas não são suportados pelo Azure DevOps.

  1. Anote o "Ponto Final do Tópico" e uma das duas "Chaves de Acesso". Use esta informação para criar a ligação Event Grid.

    Informações da Grade de Eventos do Azure

  2. Insira o tópico endpoint e uma das chaves de acesso. A chave de acesso é armazenada com segurança no Azure DevOps e nunca mais exibida na interface do usuário. Gire a chave de acesso regularmente, o que você pode fazer obtendo uma nova chave da Grade de Eventos do Azure e editando o fluxo

    Insira o ID do espaço de trabalho e a chave primária para criar

Depois de configurar o fluxo da Grade de Eventos, você pode configurar assinaturas na Grade de Eventos para enviar os dados para praticamente qualquer lugar no Azure.

Configurar um fluxo de Log do Azure Monitor

  1. Crie um espaço de trabalho do Log Analytics.
  2. Abra o espaço de trabalho e selecione Visão Geral.
  3. Anote o ID do espaço de trabalho, o grupo de recursos e o nome do espaço de trabalho.
  4. Obtenha a chave partilhada usando um dos seguintes métodos:
  • Usando o PowerShell e o módulo Az.OperationalInsights: 
    Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName <Resource group> -Name <Workspace name>
  • Com a CLI do Azure: 
    az monitor log-analytics workspace get-shared-keys --resource-group <Resource group> --workspace-name <Workspace name>
  • Usando a API REST: Chame a API Get Shared Keys

Nota

O acesso direto às chaves do espaço de trabalho através do portal Azure está obsoleto. Use métodos de PowerShell, Azure CLI ou API REST para recuperar chaves partilhadas de forma programática.

  1. Configure seu fluxo de log do Azure Monitor seguindo as mesmas etapas iniciais para criar um fluxo.

  2. Para opções de destino, selecione Azure Monitor Logs.

  3. Insira o ID do espaço de trabalho e a chave primária e selecione Configurar. A chave primária é armazenada com segurança no Azure DevOps e nunca mais exibida na interface do usuário. Gire a chave regularmente, o que você pode fazer obtendo uma nova chave do Log do Azure Monitor e editando o fluxo.

    Insira o ID do espaço de trabalho e a chave primária e selecione Configurar.

O fluxo é ativado e novos eventos começam a fluir dentro de meia hora ou menos. Você pode fazer referência à tabela AzureDevOpsAuditing.

Nota

O tempo de retenção padrão para os Logs do Azure Monitor é de apenas 30 dias. Você pode configurar e escolher uma retenção mais longa selecionando Retenção de dados em Uso e custos estimados nas configurações do espaço de trabalho. Esta ação acarreta mais acusações. Consulte a documentação para gerir a utilização e os custos com os Registos do Azure Monitor para obter mais detalhes.

Editar um fluxo

Os detalhes sobre o seu alvo de fluxo podem mudar ao longo do tempo. Para refletir essas alterações em seus streams, você pode editá-las. Para editar um fluxo, verifique se você tem a permissão Gerenciar fluxos de auditoria.

  1. Ao lado do fluxo que você deseja editar, selecione os três pontos verticais à direita e, em seguida, selecione Editar fluxo.

    Selecione Editar fluxo

  2. Selecione Guardar.

Os parâmetros disponíveis para edição diferem de acordo com o tipo de fluxo.

Desativar um fluxo

  1. Ao lado do fluxo que você deseja desabilitar, mova a alternância Ativado de Ativadopara Desativado.
    Quando os fluxos encontram uma falha, eles podem ser desativados. Você pode obter detalhes sobre a falha no status mostrado ao lado do fluxo ou selecionando Editar fluxo. Você também pode desativar um fluxo manualmente e, em seguida, reativá-lo mais tarde.

    Mover alternância para Desativado para desativar o fluxo

  2. Selecione Guardar.

Você pode reativar um fluxo desativado. Ele recupera todos os eventos de auditoria que foram perdidos nos sete dias anteriores. Dessa forma, você não perde nenhum evento da duração em que o fluxo foi desativado.

Nota

Eventos com mais de sete dias não são incluídos no acompanhamento se uma transmissão estiver desativada por mais de sete dias.

Excluir um fluxo

Para excluir um fluxo, verifique se você tem a permissão Excluir fluxos de auditoria.

Importante

Depois de apagares uma transmissão, não podes recuperá-la.

  1. Passe o cursor sobre o fluxo que deseja excluir e selecione os três pontos verticais à direita.

  2. Selecione Excluir fluxo.

    Selecione Excluir fluxo e ele será removido

  3. Selecione Confirmar.

O sistema remove o seu fluxo. Quaisquer eventos não enviados antes da exclusão não serão enviados.

Conteúdo relacionado

  • Last updated on