Compartilhar via

Criar streaming de auditoria

Azure DevOps Services

Observação

A auditoria ainda está em versão prévia pública.

Saiba como criar um fluxo de auditoria, que envia dados para outros locais para processamento adicional. Envie dados de auditoria para outras ferramentas de SIEM (Gerenciamento de Evento e Incidentes de Segurança) e abra novas possibilidades, como a possibilidade de acionar alertas para eventos específicos, criar exibições sobre os dados de auditoria e executar a detecção de anomalias. A configuração de um fluxo também permite que você armazene mais de 90 dias de dados de auditoria, que é a quantidade máxima de dados que o Azure DevOps mantém para suas organizações.

Importante

A auditoria só está disponível para organizações apoiadas pelo Microsoft Entra ID. Para obter mais informações, confira Conectar sua organização ao Microsoft Entra ID.

Os fluxos de auditoria representam um pipeline que flui eventos de auditoria da sua organização do Azure DevOps para um destino de fluxo. A cada meia hora ou menos, novos eventos de auditoria são agrupados e transmitidos para seus destinos. Os destinos de fluxo a seguir estão disponíveis para configuração.

No momento, não há suporte a workspaces vinculados privados.

Observação

A auditoria não está disponível para implantações locais de Azure DevOps Server. É possível conectar um fluxo de auditoria a uma instância local ou baseada em nuvem do Splunk, mas certifique-se de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.

Pré-requisitos

A auditoria é desativada por padrão para todas as organizações do Azure DevOps Services. Certifique-se de que somente pessoal autorizado tenha acesso a informações confidenciais de auditoria.

Categoria Requisitos
Permissões Membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo. Ou as seguintes permissões de auditoria por usuário ou grupo, definidas como Permitir:
– Gerenciar fluxos de auditoria
- Exibir log de auditoria
Os PCAs podem conceder essas permissões a qualquer usuário ou grupo para gerenciar fluxos da organização, incluindo Excluir fluxos de auditoria.

Observação

Se a versão prévia do recurso o recurso Limitar visibilidade e colaboração do usuário com projetos específicos estiver habilitada para a organização, os usuários no grupo Usuários no Escopo do Projeto não poderão exibir a Auditoria e terão visibilidade limitada das páginas Configurações da organização. Para obter mais informações e detalhes importantes relacionados à segurança, consulte Limitar a visibilidade do usuário para projetos e muito mais.

Criar um fluxo

  1. Entre em sua organização (https://dev.azure.com/{Your_Organization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

    Captura de tela mostrando o botão configurações da organização realçado.

  3. Selecione Auditoria.

    Selecione Auditoria em Configurações da organização

Observação

Se você não vir Auditoria em Configurações da organização, a auditoria não está habilitada para sua organização no momento. Alguém no proprietário da organização ou no grupo de PCAs (Administradores da Coleção de Projetos) deve habilitar a Auditoria nas Políticas da Organização. Você poderá então ver os eventos na página Auditoria se tiver as permissões apropriadas.

  1. Acesse a guia Fluxos e selecione Novo fluxo.

    Selecione Novo fluxo para criar seu fluxo de auditoria.

  2. Selecione o destino de fluxo que deseja configurar e, em seguida, selecione as instruções a seguir para configurar o tipo de destino de fluxo.

Observação

No momento, você só pode ter dois fluxos para cada tipo de destino.

Criar sua caixa de diálogo de pop-out do fluxo

Configurar um fluxo do Splunk

Os fluxos enviam dados para o Splunk por meio do ponto de extremidade do Coletor de Eventos HTTP.

  1. Habilite esse recurso no Splunk. Para obter mais informações, consulte esta documentação do Splunk.

    Depois de habilitado, você deve ter um token do Coletor de Eventos HTTP e a URL para sua instância do Splunk. Você precisa do token e da URL para criar um fluxo do Splunk.

    Observação

    Ao criar um token do Coletor de Eventos no Splunk, não marque "Habilitar a confirmação do indexador". Se estiver marcada, nenhum evento fluirá para o Splunk. Você pode editar o token no Splunk para remover essa configuração.

  2. Insira a URL do Splunk, que é o ponteiro para sua instância do Splunk. Certifique-se de especificar uma porta no final da URL. A porta padrão é 8088, portanto, a URL deve ser semelhante a https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 ou a https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Insira o token do coletor de eventos que você criou no campo de token. O token é armazenado com segurança no Azure DevOps e nunca mais é exibido na interface do usuário. É recomendável fazer a rotação do token regularmente, que pode ser feita obtendo um novo token do Splunk e editando o fluxo.

    Insira o ponto de extremidade do tópico e a chave de acesso que você anotou anteriormente

  4. Selecione Configurar.

Seu fluxo é configurado e os eventos começam a chegar ao Splunk dentro de meia hora ou menos.

Configurar um fluxo da Grade de Eventos

  1. Crie um tópico da Grade de Eventos no Azure.

Observação

Acesse a guia Avançado e verifique se o Esquema do Evento está definido como o Esquema da Grade de Eventos. Não há suporte a outros esquemas no Azure DevOps.

  1. Anote o "Ponto de extremidade do tópico" e uma das duas "Chaves de acesso". Use essas informações para criar a conexão da Grade de Eventos.

    Informações da Grade de Eventos do Azure

  2. Insira o ponto de extremidade do tópico e uma das chaves de acesso. A chave de acesso é armazenada com segurança no Azure DevOps e nunca mais é exibida na interface do usuário. Faça a rotação da chave de acesso regularmente, que pode ser feita obtendo uma nova chave da Grade de Eventos do Azure e editando o fluxo

    Insira a ID do workspace e a chave primária para criar

Depois de configurar o fluxo da Grade de Eventos, você pode configurar assinaturas na Grade de Eventos para enviar os dados para praticamente qualquer lugar no Azure.

Configurar um fluxo de logs do Azure Monitor

  1. Crie um workspace do Log Analytics.

  2. Abra o workspace e selecione Agentes.

  3. Selecione Instruções do agente do Log Analytics para exibir a ID do workspace e a chave primária.

  4. Anote a ID do workspace e a chave primária.

    Anotar a ID do workspace e a chave primária

  5. Configure o fluxo de logs do Azure Monitor seguindo as mesmas etapas iniciais para criar um fluxo.

  6. Para as opções de destino, selecione Logs do Azure Monitor.

  7. Insira a ID do workspace e a chave primária e selecione Configurar. A chave primária é armazenada com segurança no Azure DevOps e nunca mais é exibida na interface do usuário. Faça a rotação da chave regularmente, que pode ser feita obtendo uma nova chave do Log do Azure Monitor e editando o fluxo.

    Insira a ID do workspace e a chave primária e selecione Configurar.

O fluxo é habilitado e novos eventos começam a fluir dentro de meia hora ou menos. É possível referenciar a tabela AzureDevOpsAuditing.

Observação

O tempo de retenção padrão para Logs do Azure Monitor é de somente 30 dias. Você pode configurar e escolher uma retenção mais longa selecionando Retenção de Dados em Uso e custos estimados nas configurações do workspace. Isso incorre em cobranças adicionais. Confira a documentação para gerenciar o uso e os custos com os Logs do Azure Monitor para obter mais detalhes.

Editar um fluxo

Os detalhes sobre o destino do fluxo podem mudar com o tempo. Para refletir essas alterações em seus fluxos, você pode editá-los. Para editar um fluxo, certifique-se de ter a permissão Gerenciar fluxos de auditoria.

  1. Ao lado do fluxo que você deseja editar, selecione os três pontos verticais mais à direita e, em seguida, selecione Editar fluxo.

    Selecionar Editar fluxo

  2. Clique em Salvar.

Os parâmetros disponíveis para edição diferem por tipo de fluxo.

Desabilitar um fluxo

  1. Ao lado do fluxo que você deseja desabilitar, mova o botão de alternância de Habilitado de Ativado para Desativado.
    Quando houver uma falha nos fluxos, eles poderão ser desabilitados. Você pode obter detalhes sobre a falha no status mostrado ao lado do fluxo ou selecionando Editar fluxo. Você também pode desabilitar um fluxo manualmente e reabilitá-lo posteriormente.

    Mover a alternância para Desativado para desabilitar o fluxo

  2. Clique em Salvar.

Você pode reabilitar um fluxo desabilitado. Ele atualiza todos os eventos de auditoria que foram perdidos nos sete dias anteriores. Dessa forma, você não perde nenhum evento da duração pela qual o fluxo ficou desabilitado.

Observação

Eventos com mais de sete dias não serão incluídos na atualização se um fluxo ficar desativado por mais de sete dias.

Excluir um fluxo

Para excluir um fluxo, certifique-se de ter a permissão Excluir fluxos de auditoria.

Importante

Depois de excluir um fluxo, você não poderá recuperá-lo.

  1. Passe o mouse sobre o fluxo que deseja excluir e selecione os três pontos verticais mais à direita.

  2. Selecione Excluir fluxo.

    Selecione Excluir fluxo e ele será removido

  3. Selecione Confirmar.

O sistema remove seu fluxo. Quaisquer eventos não enviados antes da exclusão não serão enviados.

Conteúdo relacionado