Sdílet prostřednictvím


Přístup k protokolům auditu, jejich export a filtrování

Služby Azure DevOps

Poznámka:

Auditování je stále ve verzi Public Preview.

Sledování aktivit v prostředí Azure DevOps je zásadní pro zabezpečení a dodržování předpisů. Auditování pomáhá monitorovat a protokolovat tyto aktivity a poskytovat transparentnost a odpovědnost. Tento článek vysvětluje funkce auditování a ukazuje, jak ho nastavit a efektivně používat.

Důležité

Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizace k Microsoft Entra ID.

Ke změnám auditu dochází vždy, když identita uživatele nebo služby v organizaci upraví stav artefaktu. Mezi události, které se můžou protokolovat, patří:

  • Změny oprávnění
  • Odstraněné prostředky
  • Změny zásad větví
  • Protokolování přístupu a stahování
  • Mnoho dalších typů změn

Tyto protokoly poskytují komplexní záznam o aktivitách, které pomáhají monitorovat a spravovat zabezpečení a dodržování předpisů vaší organizace Azure DevOps.

Události auditu se ukládají po dobu 90 dnů před jejich odstraněním. Pokud chcete uchovávat data delší dobu, můžete události auditu zálohovat do externího umístění.

Poznámka:

Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditování z instance Azure DevOps Services ale můžete připojit k místní nebo cloudové instanci Splunku. Ujistěte se, že povolíte rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.

Požadavky

Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services. Ujistěte se, že k citlivým informacím auditování mají přístup jenom autorizovaní pracovníci.

Oprávnění: Být členem skupiny Správci kolekcí projektů (PCA). Vlastníci organizace jsou automaticky členy této skupiny. Nebo mají pro uživatele nebo skupinu následující oprávnění auditování:

  • Správa streamů auditu
  • Zobrazení protokolu auditu

Snímek obrazovky s oprávněními auditování nastavení pro povolení

PcA můžou tato oprávnění udělit všem uživatelům nebo skupinám pro správu datových proudů organizace prostřednictvím oprávnění zabezpečení > nastavení>organizace. Certifikační autority (PCA) můžou také přiřadit oprávnění k odstranění streamů auditu.

Poznámka:

Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé ve skupině Uživatelé s oborem projektu nemůžou zobrazit auditování a mají omezenou viditelnost na stránkách nastavení organizace. Další informace a důležité podrobnosti související se zabezpečením najdete v tématu Omezení viditelnosti uživatelů pro projekty a další.

Povolení a zakázání auditování

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

  3. V záhlaví Zabezpečení vyberte zásady.

  4. Přepněte tlačítko Události auditu protokolu na ZAPNUTO.

    Snímek obrazovky s povolenými zásadami auditování

    Auditování je pro organizaci povolené. Aktualizujte stránku, aby se na bočním panelu zobrazilo auditování . Události auditu se začnou zobrazovat v protokolech auditování a prostřednictvím všech nakonfigurovaných streamů auditu.

  5. Pokud už nechcete přijímat události auditování, přepněte tlačítko Povolit auditování na VYPNUTO. Tato akce odebere stránku Auditování z bočního panelu a znepřístupní stránku Protokoly auditování. Všechny streamy auditu přestanou přijímat události.

Auditování přístupu

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

    Snímek obrazovky se zvýrazněným tlačítkem Nastavení organizace

  3. Vyberte Auditování.

    Stránka Auditování náhledu

  4. Pokud v nastavení organizace nevidíte auditování, nemáte přístup k zobrazení událostí auditu. Skupina Správci kolekcí projektů můžou udělit oprávnění ostatním uživatelům a skupinám, aby mohli zobrazit stránky auditování. Uděláte to tak, že vyberete Oprávnění a pak skupinu nebo uživatele vyhledáte, abyste mohli poskytnout přístup k auditování.

    Snímek obrazovky se zvýrazněnou kartou Oprávnění

  5. Nastavte možnost Zobrazit protokol auditu, který chcete povolit, a pak vyberte Uložit změny.

    Snímek obrazovky s náhledem oprávnění k auditování přístupu

    Uživatelé nebo členové skupiny mají přístup k zobrazení událostí auditu vaší organizace.

Kontrola protokolu auditu

Stránka Auditování poskytuje jednoduché zobrazení událostí auditu zaznamenaných pro vaši organizaci. Podívejte se na následující popis informací, které jsou viditelné na stránce auditování:

Auditovat informace a podrobnosti o událostech

Informace Detaily
Actor (Herec/herečka) Zobrazovaný název jednotlivce, který aktivoval událost auditu.
IP IP adresa jednotlivce, který aktivoval událost auditu.
Časové razítko Čas, kdy k aktivované události došlo. Čas je lokalizovaný do vašeho časového pásma.
Plocha Oblast produktu v Azure DevOps, kde k události došlo.
Kategorie Popis typu akce, ke které došlo (například úprava, přejmenování, vytvoření, odstranění, odebrání, spuštění a událost přístupu).
Detaily Stručný popis toho, co se během události stalo.

Každá událost auditu také zaznamenává další informace o tom, co je možné zobrazit na stránce auditování. Tyto informace zahrnují mechanismus ověřování, ID korelace pro propojení podobných událostí, uživatelského agenta a další data v závislosti na typu události auditu. Tyto informace je možné zobrazit pouze exportem událostí auditování prostřednictvím CSV nebo JSON.

ID a ID korelace

Každá událost auditu má jedinečné identifikátory, které ID se nazývají a CorrelationID. ID korelace je užitečné pro vyhledání souvisejících událostí auditu. Vytvoření projektu může například vygenerovat několik desítek událostí auditu, které jsou propojené stejným ID korelace.

Když ID události auditu odpovídá ID korelace, znamená to, že událost auditu je nadřazená nebo původní událost. Pokud chcete zobrazit pouze původní události, vyhledejte události, ve kterých se ID Correlation IDrovná . Pokud chcete prozkoumat událost a související události, vyhledejte všechny události s ID korelace, které odpovídá ID původní události. Ne všechny události mají související události.

Hromadné události

Některé události auditu, označované jako události hromadného auditu, můžou obsahovat několik akcí, které proběhly současně. Tyto události můžete identifikovat pomocí ikony Informace na pravé straně události. Pokud chcete zobrazit jednotlivé podrobnosti o akcích zahrnutých v událostech hromadného auditu, projděte si stažená data auditu.

Snímek obrazovky znázorňující ikonu auditování dalších informací

Výběrem ikony informací se zobrazí další podrobnosti o události auditu.

Při kontrole událostí auditu vám sloupce Kategorie a Oblast můžou pomoct filtrovat a vyhledávat konkrétní typy událostí. Následující tabulky uvádějí kategorie a oblasti spolu s jejich popisy:

Seznam událostí

Snažíme se přidávat nové události auditování měsíčně. Pokud byste chtěli vidět sledované události, které momentálně nejsou dostupné, sdílejte svůj návrh s námi v komunitě vývojářů.

Úplný seznam všech událostí, které je možné vysílat prostřednictvím funkce Auditování, najdete v seznamu událostí auditování.

Poznámka:

Chcete zjistit, které oblasti událostí vaše organizace protokoluje? Nezapomeňte si prohlédnout rozhraní API pro dotazování protokolu auditu: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsnahraďte {YOUR_ORGANIZATION} názvem vaší organizace. Toto rozhraní API vrátí seznam všech událostí auditu (nebo akcí), které může vaše organizace generovat.

Filtrování protokolu auditu podle data a času

V aktuálním uživatelském rozhraní auditování můžete filtrovat události pouze podle data nebo časového rozsahu.

  1. Pokud chcete zúžit zobrazitelné události auditu, vyberte filtr času.

    Snímek obrazovky znázorňující filtr položek auditování podle data a času

  2. Filtry slouží k výběru libovolného časového rozsahu za posledních 90 dnů a rozsahu až do minuty.

  3. Vyberte Použít u selektoru časového rozsahu a spusťte hledání. Ve výchozím nastavení se prvních 200 výsledků vrátí pro tento výběr času. Pokud jsou k dispozici další výsledky, můžete se posunout dolů a načíst na stránku více položek.

Export událostí auditu

Pokud chcete provést podrobnější vyhledávání dat auditování nebo ukládat data po dobu delší než 90 dnů, exportujte existující události auditu. Exportovaná data můžete uložit do jiného umístění nebo služby.

Pokud chcete exportovat události auditování, vyberte tlačítko Stáhnout . Data si můžete stáhnout jako soubor CSV nebo JSON.

Stahování zahrnuje události na základě časového rozsahu, který vyberete ve filtru. Pokud například vyberete jeden den, získáte data za jeden den. Pokud chcete získat všech 90 dní, vyberte 90 dní z filtru časového rozsahu a spusťte stahování.

Poznámka:

V případě dlouhodobého ukládání a analýzy událostí auditování zvažte použití funkce Streamování auditu k odesílání událostí do nástroje SiEM (Security Information and Event Management). Doporučujeme exportovat protokoly auditování pro kurzorové analýzy dat.

  • Pokud chcete filtrovat data nad rámec data a časového rozsahu, stáhněte si protokoly jako soubory CSV a naimportujte je do Microsoft Excelu nebo jiných analyzátorů CSV, abyste si prošli sloupce Oblast a Kategorie.
  • Pokud chcete analyzovat větší datové sady, nahrajte exportované události auditu do nástroje Pro správu událostí a incidentů zabezpečení (SIEM) pomocí funkce Audit Streaming. Nástroje SIEM umožňují uchovávat více než 90 dnů událostí, provádět vyhledávání, generovat sestavy a konfigurovat výstrahy na základě událostí auditu.

Omezení

Na to, co je možné auditovat, platí následující omezení:

  • Změny členství ve skupinách Microsoft Entra: Protokoly auditování zahrnují aktualizace skupin Azure DevOps a členství ve skupinách, pokud je Groupsoblast události . Pokud ale spravujete členství prostřednictvím skupin Microsoft Entra, nebudou do těchto protokolů zahrnuté doplňky a odebrání uživatelů z těchto skupin Microsoft Entra. Zkontrolujte protokoly auditu Microsoft Entra a zjistěte, kdy byl uživatel nebo skupina přidány nebo odebrány ze skupiny Microsoft Entra.
  • Události přihlášení: Azure DevOps nesleduje události přihlášení. Pokud chcete zkontrolovat události přihlášení k vašemu ID Microsoft Entra, podívejte se na protokoly auditu Microsoft Entra.
  • Přidání nepřímých uživatelů: V některých případech se uživatelé můžou do vaší organizace přidat nepřímo a zobrazit v protokolu auditu přidaném službou Azure DevOps Services. Pokud je například uživatel přiřazen k pracovní položce, může se automaticky přidat do organizace. Zatímco se pro přidání uživatele vygeneruje událost auditu, neexistuje odpovídající událost auditu pro přiřazení pracovní položky, která aktivovala přidání uživatele. Pokud chcete tyto události sledovat, zvažte následující akce:
    • Zkontrolujte historii pracovních položek odpovídajících časových razítek a zjistěte, jestli byl tento uživatel přiřazený k nějakým pracovním položkám.
    • V protokolu auditu zkontrolujte všechny související události, které můžou poskytnout kontext.

Nejčastější dotazy

Otázka: Co je skupina DirectoryServiceAddMember a proč se zobrazuje v protokolu auditu?

A: Tato DirectoryServiceAddMember skupina pomáhá spravovat členství ve vaší organizaci. Mnoho systémových, uživatelských a administrativních akcí může mít vliv na členství v této systémové skupině. Vzhledem k tomu, že se tato skupina používá pouze pro interní procesy, můžete ignorovat položky protokolu auditu, které zaznamenávají změny členství v této skupině.