共用方式為

建立稽核串流

Azure DevOps 服務

注意

稽核仍處於公開預覽狀態。

瞭解如何建立 稽核 數據流,以將數據傳送至其他位置以進行進一步處理。 將稽核數據傳送至其他安全性事件和事件管理 (SIEM) 工具,並開啟新的可能性,例如能夠觸發特定事件的警示、建立稽核數據的檢視,以及執行異常偵測。 設定數據流也可讓您儲存超過 90 天的稽核數據,這是 Azure DevOps 為組織保留的最大數據量。

重要

稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.

稽核數據流代表將稽核事件從 Azure DevOps 組織流至串流目標的管線。 每半小時或更少一次,新的稽核事件會組合並串流至您的目標。 下列數據流目標可用於設定。

  • Splunk – 連線到內部部署或雲端式 Splunk。
  • Azure 監視器記錄 - 將稽核記錄傳送至 Azure 監視器記錄。 您可以查詢儲存在 Azure 監視器記錄中的記錄,並設定警示。 尋找名為 AzureDevOpsAuditing 的數據表。 您也可以將Microsoft Sentinel 連線至工作區。
  • Azure 事件方格 – 如果您想要將稽核記錄傳送到其他位置的案例,無論是在 Azure 內部還是外部,您都可以設定 Azure 事件方格 連線。

目前不支援私人連結工作區。

注意

本地端部署不提供稽核功能。 你可以將稽核串流連接到本地或雲端的 Splunk 實例,但請確保你允許 IP 範圍用於入站連線。 如需詳細資訊,請參閱 允許的位址清單和網路連線、IP 位址和範圍限制

必要條件

所有 Azure DevOps Services 組織預設都會關閉稽核。 請確定只有獲授權的人員可以存取敏感性稽核資訊。

類別 要求
權限 專案集合系統管理員群組的成員。 組織擁有者自動成為這個群組的成員。 或者,將每個使用者或群組的下列稽核許可權設定為 允許
- 管理稽核流程
- 檢視稽核記錄
PCA 可以將這些權限授與任何使用者或群組來管理組織資料流,包括 刪除稽核資料流

注意

如果已為組織啟用 [限制使用者可見度和共同作業至特定專案預覽功能],則 [專案範圍使用者] 群組中的使用者無法檢視稽核,且對 [組織設定] 頁面的可見性有限。 如需詳細資訊和重要的安全性相關詳細數據,請參閱 限制專案的用戶可見度等等

建立數據流

  1. 登入您的組織 (https://dev.azure.com/{Your_Organization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示醒目提示 [組織設定] 按鈕的螢幕快照。

  3. 選取 [ 稽核]。

    在 [組織設定] 中選取 [稽核]

注意

如果你在組織設定中沒有看到 審計 ,代表你的組織目前沒有啟用審計功能。 組織擁有者或專案集合系統管理員 (PCA) 群組中的某人必須在 組織原則中啟用稽核 。 如果你擁有適當的權限,可以在審計頁面查看事件。

  1. 移至 [ 串流] 索引 標籤,然後選取 [ 新增數據流]。

    選取 [新增數據流] 以建立新的稽核數據流。

  2. 選取您想要設定的數據流目標,然後從下列指示中選取以設定數據流目標類型。

注意

目前,您可以為每種目標類型設置兩個串流。

建立串流對話框快顯

設定 Splunk 數據流

數據流會透過 HTTP 事件收集器端點將數據傳送至 Splunk。

  1. 在Splunk中啟用此功能。 如需詳細資訊,請參閱此 Splunk檔

    啟用之後,您應該會有 HTTP 事件收集器令牌和 Splunk 實例的 URL。 您需要令牌和 URL 才能建立 Splunk 數據流。

    注意

    當你在 Splunk 建立新的事件收集者代幣時,不要勾選「啟用索引器確認」。 如果已核取,則不會有任何事件流入 Splunk。 您可以在 Splunk 中編輯令牌,以移除該設定。

  2. 輸入您的Splunk URL,這是Splunk實例的指標。 請確定您在 URL 結尾指定埠。 預設埠為 8088,因此您的網址會類似於 https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088https://prd-p-2k3mp2xhznbs.splunkcloud.com

  3. 輸入您在令牌欄位中建立的事件收集器令牌。 令牌會安全地儲存在 Azure DevOps 中,且永遠不會在 UI 中再次顯示。 建議您定期輪替令牌,方法是從Splunk取得新的令牌並編輯數據流。

    輸入您稍早注意到的主題端點和存取金鑰

  4. 選取 [設定]

您的數據流已設定,且事件會在半小時內開始抵達 Splunk。

設定事件方格數據流

  1. 在 Azure 上建立事件方格主題。

注意

移至 [ 進階 ] 索引標籤,並確定 [事件架構] 已設定為 [事件方格架構]。 Azure DevOps 不支援其他架構。

  1. 注意「主題端點」和兩個「存取金鑰」之一。利用這些資訊建立事件網格連線。

    Azure 事件方格資訊

  2. 輸入主題端點和其中一個存取金鑰。 存取金鑰會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替存取金鑰,您可以從 Azure 事件方格 取得新的金鑰並編輯數據流,以執行此動作

    輸入要建立的工作區標識碼和主鍵

設定事件方格數據流之後,您可以在事件方格上設定訂用帳戶,以在 Azure 中幾乎任何地方傳送數據。

設定 Azure 監視器記錄數據流

  1. 建立 Log Analytics 工作區
  2. 打開工作區並選擇 概覽
  3. 記錄工作區 ID、資源群組和工作區名稱。
  4. 可透過以下方法之一取得共享金鑰:
  • 使用 PowerShell 與 Az.OperationalInsights 模組: 
    Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName <Resource group> -Name <Workspace name>
  • 使用 Azure CLI: 
    az monitor log-analytics workspace get-shared-keys --resource-group <Resource group> --workspace-name <Workspace name>
  • 使用 REST API: 呼叫 Get Shared Keys API

注意

透過 Azure 入口網站直接存取工作區金鑰的功能已被淘汰。 使用 PowerShell、Azure CLI 或 REST API 方法來程式化取得共享金鑰。

  1. 請繼續執行相同的初始步驟來建立數據流,以設定您的 Azure 監視器記錄數據流。

  2. 針對目標選項,選取 [Azure 監視器記錄]。

  3. 輸入工作區標識碼和主鍵,然後選取 [ 設定]。 主鍵會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替金鑰,您可以從 Azure 監視器記錄取得新的金鑰並編輯串流來執行此動作。

    輸入工作區標識碼和主鍵,然後選取 [設定]。

數據流已啟用,新的事件會在半小時內開始流動。 您可以參考 AzureDevOpsAuditing 數據表。

注意

Azure 監視器記錄的預設保留時間為 30 天。 您可以在工作區設定中選取 [使用量] 底下的 [數據保留] 和 [預估成本],來設定並選擇較長的保留期。 此行為會引發更多指控。 如需詳細資訊,請參閱檔以使用 Azure 監視器記錄來管理使用量和成本。

編輯數據流

串流目標的詳細數據可能會隨著時間而變更。 若要在數據流中反映這些變更,您可以編輯這些變更。 若要編輯數據流,請確定您具有 管理稽核 數據流許可權。

  1. 在您想要編輯的數據流旁邊,選取最右邊的垂直三個點,然後選取 [ 編輯數據流]。

    選取[編輯資料流]

  2. 選取儲存

可用於編輯的參數會因數據流類型而異。

停用數據流

  1. 在您要停用的數據流旁邊,將 [已啟用] 切換開關從 [開啟] 移至 [關閉]。
    當數據流發生失敗時,它們可能會停用。 您可以從數據流旁顯示的狀態,或選取 [編輯數據流] 來取得失敗的詳細數據。 您也可以手動停用數據流,然後稍後重新啟用。

    將切換切換至 [關閉] 以停用數據流

  2. 選取儲存

您可以重新啟用已停用的數據流。 它會趕上過去七天錯過的任何稽核事件。 如此一來,您就不會錯過數據流停用期間的任何事件。

注意

若串流停用超過七天,超過七天的事件將不會被納入補回範圍。

刪除數據流

若要刪除數據流,請確定您具有 [刪除稽核 數據流] 許可權。

重要

一旦你刪除了串流,就無法再找回它。

  1. 將滑鼠停留在您想要刪除的數據流上,然後選取最右邊的垂直三個點。

  2. 選取 [ 刪除數據流]。

    選取 [刪除數據流],並將其移除

  3. 選取確認

系統會移除您的數據流。 刪除前的任何未傳送事件不會傳送。

相關內容

  • Last updated on