Přístup k protokolům auditu, jejich export a filtrování
Služby Azure DevOps
Poznámka:
Auditování je stále ve verzi Public Preview.
Sledování aktivit v prostředí Azure DevOps je zásadní pro zabezpečení a dodržování předpisů. Auditování pomáhá monitorovat a protokolovat tyto aktivity a poskytovat transparentnost a odpovědnost. Tento článek vysvětluje funkce auditování a ukazuje, jak ho nastavit a efektivně používat.
Důležité
Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizace k Microsoft Entra ID.
Ke změnám auditu dochází vždy, když identita uživatele nebo služby v organizaci upraví stav artefaktu. Mezi události, které se můžou protokolovat, patří:
- Změny oprávnění
- Odstraněné prostředky
- Změny zásad větví
- Protokolování přístupu a stahování
- Mnoho dalších typů změn
Tyto protokoly poskytují komplexní záznam o aktivitách, které pomáhají monitorovat a spravovat zabezpečení a dodržování předpisů vaší organizace Azure DevOps.
Události auditu se ukládají po dobu 90 dnů před jejich odstraněním. Pokud chcete uchovávat data delší dobu, můžete události auditu zálohovat do externího umístění.
Poznámka:
Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditování z instance Azure DevOps Services ale můžete připojit k místní nebo cloudové instanci Splunku. Ujistěte se, že povolíte rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.
Požadavky
Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services. Ujistěte se, že k citlivým informacím auditování mají přístup jenom autorizovaní pracovníci.
Oprávnění: Být členem skupiny Správci kolekcí projektů (PCA). Vlastníci organizace jsou automaticky členy této skupiny. Nebo mají pro uživatele nebo skupinu následující oprávnění auditování:
- Správa streamů auditu
- Zobrazení protokolu auditu
PcA můžou tato oprávnění udělit všem uživatelům nebo skupinám pro správu datových proudů organizace prostřednictvím oprávnění zabezpečení > nastavení>organizace. Certifikační autority (PCA) můžou také přiřadit oprávnění k odstranění streamů auditu.
Poznámka:
Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé ve skupině Uživatelé s oborem projektu nemůžou zobrazit auditování a mají omezenou viditelnost na stránkách nastavení organizace. Další informace a důležité podrobnosti související se zabezpečením najdete v tématu Omezení viditelnosti uživatelů pro projekty a další.
Povolení a zakázání auditování
Přihlaste se ke své organizaci (
https://dev.azure.com/{yourorganization}
).Vyberte nastavení organizace.
V záhlaví Zabezpečení vyberte zásady.
Přepněte tlačítko Události auditu protokolu na ZAPNUTO.
Auditování je pro organizaci povolené. Aktualizujte stránku, aby se na bočním panelu zobrazilo auditování . Události auditu se začnou zobrazovat v protokolech auditování a prostřednictvím všech nakonfigurovaných streamů auditu.
Pokud už nechcete přijímat události auditování, přepněte tlačítko Povolit auditování na VYPNUTO. Tato akce odebere stránku Auditování z bočního panelu a znepřístupní stránku Protokoly auditování. Všechny streamy auditu přestanou přijímat události.
Auditování přístupu
Přihlaste se ke své organizaci (
https://dev.azure.com/{yourorganization}
).Vyberte nastavení organizace.
Vyberte Auditování.
Pokud v nastavení organizace nevidíte auditování, nemáte přístup k zobrazení událostí auditu. Skupina Správci kolekcí projektů můžou udělit oprávnění ostatním uživatelům a skupinám, aby mohli zobrazit stránky auditování. Uděláte to tak, že vyberete Oprávnění a pak skupinu nebo uživatele vyhledáte, abyste mohli poskytnout přístup k auditování.
Nastavte možnost Zobrazit protokol auditu, který chcete povolit, a pak vyberte Uložit změny.
Uživatelé nebo členové skupiny mají přístup k zobrazení událostí auditu vaší organizace.
Kontrola protokolu auditu
Stránka Auditování poskytuje jednoduché zobrazení událostí auditu zaznamenaných pro vaši organizaci. Podívejte se na následující popis informací, které jsou viditelné na stránce auditování:
Auditovat informace a podrobnosti o událostech
Informace | Detaily |
---|---|
Actor (Herec/herečka) | Zobrazovaný název jednotlivce, který aktivoval událost auditu. |
IP | IP adresa jednotlivce, který aktivoval událost auditu. |
Časové razítko | Čas, kdy k aktivované události došlo. Čas je lokalizovaný do vašeho časového pásma. |
Plocha | Oblast produktu v Azure DevOps, kde k události došlo. |
Kategorie | Popis typu akce, ke které došlo (například úprava, přejmenování, vytvoření, odstranění, odebrání, spuštění a událost přístupu). |
Detaily | Stručný popis toho, co se během události stalo. |
Každá událost auditu také zaznamenává další informace o tom, co je možné zobrazit na stránce auditování. Tyto informace zahrnují mechanismus ověřování, ID korelace pro propojení podobných událostí, uživatelského agenta a další data v závislosti na typu události auditu. Tyto informace je možné zobrazit pouze exportem událostí auditování prostřednictvím CSV nebo JSON.
ID a ID korelace
Každá událost auditu má jedinečné identifikátory, které ID
se nazývají a CorrelationID
. ID korelace je užitečné pro vyhledání souvisejících událostí auditu. Vytvoření projektu může například vygenerovat několik desítek událostí auditu, které jsou propojené stejným ID korelace.
Když ID události auditu odpovídá ID korelace, znamená to, že událost auditu je nadřazená nebo původní událost. Pokud chcete zobrazit pouze původní události, vyhledejte události, ve kterých se ID
Correlation ID
rovná . Pokud chcete prozkoumat událost a související události, vyhledejte všechny události s ID korelace, které odpovídá ID původní události. Ne všechny události mají související události.
Hromadné události
Některé události auditu, označované jako události hromadného auditu, můžou obsahovat několik akcí, které proběhly současně. Tyto události můžete identifikovat pomocí ikony Informace na pravé straně události. Pokud chcete zobrazit jednotlivé podrobnosti o akcích zahrnutých v událostech hromadného auditu, projděte si stažená data auditu.
Výběrem ikony informací se zobrazí další podrobnosti o události auditu.
Při kontrole událostí auditu vám sloupce Kategorie a Oblast můžou pomoct filtrovat a vyhledávat konkrétní typy událostí. Následující tabulky uvádějí kategorie a oblasti spolu s jejich popisy:
Seznam událostí
Snažíme se přidávat nové události auditování měsíčně. Pokud byste chtěli vidět sledované události, které momentálně nejsou dostupné, sdílejte svůj návrh s námi v komunitě vývojářů.
Úplný seznam všech událostí, které je možné vysílat prostřednictvím funkce Auditování, najdete v seznamu událostí auditování.
Poznámka:
Chcete zjistit, které oblasti událostí vaše organizace protokoluje? Nezapomeňte si prohlédnout rozhraní API pro dotazování protokolu auditu: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions
nahraďte {YOUR_ORGANIZATION} názvem vaší organizace. Toto rozhraní API vrátí seznam všech událostí auditu (nebo akcí), které může vaše organizace generovat.
Filtrování protokolu auditu podle data a času
V aktuálním uživatelském rozhraní auditování můžete filtrovat události pouze podle data nebo časového rozsahu.
Pokud chcete zúžit zobrazitelné události auditu, vyberte filtr času.
Filtry slouží k výběru libovolného časového rozsahu za posledních 90 dnů a rozsahu až do minuty.
Vyberte Použít u selektoru časového rozsahu a spusťte hledání. Ve výchozím nastavení se prvních 200 výsledků vrátí pro tento výběr času. Pokud jsou k dispozici další výsledky, můžete se posunout dolů a načíst na stránku více položek.
Export událostí auditu
Pokud chcete provést podrobnější vyhledávání dat auditování nebo ukládat data po dobu delší než 90 dnů, exportujte existující události auditu. Exportovaná data můžete uložit do jiného umístění nebo služby.
Pokud chcete exportovat události auditování, vyberte tlačítko Stáhnout . Data si můžete stáhnout jako soubor CSV nebo JSON.
Stahování zahrnuje události na základě časového rozsahu, který vyberete ve filtru. Pokud například vyberete jeden den, získáte data za jeden den. Pokud chcete získat všech 90 dní, vyberte 90 dní z filtru časového rozsahu a spusťte stahování.
Poznámka:
V případě dlouhodobého ukládání a analýzy událostí auditování zvažte použití funkce Streamování auditu k odesílání událostí do nástroje SiEM (Security Information and Event Management). Doporučujeme exportovat protokoly auditování pro kurzorové analýzy dat.
- Pokud chcete filtrovat data nad rámec data a časového rozsahu, stáhněte si protokoly jako soubory CSV a naimportujte je do Microsoft Excelu nebo jiných analyzátorů CSV, abyste si prošli sloupce Oblast a Kategorie.
- Pokud chcete analyzovat větší datové sady, nahrajte exportované události auditu do nástroje Pro správu událostí a incidentů zabezpečení (SIEM) pomocí funkce Audit Streaming. Nástroje SIEM umožňují uchovávat více než 90 dnů událostí, provádět vyhledávání, generovat sestavy a konfigurovat výstrahy na základě událostí auditu.
Omezení
Na to, co je možné auditovat, platí následující omezení:
- Změny členství ve skupinách Microsoft Entra: Protokoly auditování zahrnují aktualizace skupin Azure DevOps a členství ve skupinách, pokud je
Groups
oblast události . Pokud ale spravujete členství prostřednictvím skupin Microsoft Entra, nebudou do těchto protokolů zahrnuté doplňky a odebrání uživatelů z těchto skupin Microsoft Entra. Zkontrolujte protokoly auditu Microsoft Entra a zjistěte, kdy byl uživatel nebo skupina přidány nebo odebrány ze skupiny Microsoft Entra. - Události přihlášení: Azure DevOps nesleduje události přihlášení. Pokud chcete zkontrolovat události přihlášení k vašemu ID Microsoft Entra, podívejte se na protokoly auditu Microsoft Entra.
- Přidání nepřímých uživatelů: V některých případech se uživatelé můžou do vaší organizace přidat nepřímo a zobrazit v protokolu auditu přidaném službou Azure DevOps Services. Pokud je například uživatel přiřazen k pracovní položce, může se automaticky přidat do organizace. Zatímco se pro přidání uživatele vygeneruje událost auditu, neexistuje odpovídající událost auditu pro přiřazení pracovní položky, která aktivovala přidání uživatele. Pokud chcete tyto události sledovat, zvažte následující akce:
- Zkontrolujte historii pracovních položek odpovídajících časových razítek a zjistěte, jestli byl tento uživatel přiřazený k nějakým pracovním položkám.
- V protokolu auditu zkontrolujte všechny související události, které můžou poskytnout kontext.
Nejčastější dotazy
Otázka: Co je skupina DirectoryServiceAddMember a proč se zobrazuje v protokolu auditu?
A: Tato DirectoryServiceAddMember
skupina pomáhá spravovat členství ve vaší organizaci. Mnoho systémových, uživatelských a administrativních akcí může mít vliv na členství v této systémové skupině. Vzhledem k tomu, že se tato skupina používá pouze pro interní procesy, můžete ignorovat položky protokolu auditu, které zaznamenávají změny členství v této skupině.