Sdílet prostřednictvím

Přístup k protokolům auditu, jejich export a filtrování

  • Článek

Služby Azure DevOps

Poznámka:

Auditování je stále ve verzi Public Preview.

Sledování aktivit v prostředí Azure DevOps je zásadní pro zabezpečení a dodržování předpisů. Auditování pomáhá monitorovat a protokolovat tyto aktivity a poskytovat transparentnost a odpovědnost. Tento článek vysvětluje funkce auditování a ukazuje, jak ho nastavit a efektivně používat.

Důležité

Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizace k Microsoft Entra ID.

Ke změnám auditu dochází vždy, když identita uživatele nebo služby v organizaci upraví stav artefaktu. Mezi události, které se můžou protokolovat, patří:

  • Změny oprávnění
  • Odstraněné prostředky
  • Změny zásad větví
  • Protokolování přístupu a stahování
  • Mnoho dalších typů změn

Tyto protokoly poskytují komplexní záznam o aktivitách, které pomáhají monitorovat a spravovat zabezpečení a dodržování předpisů vaší organizace Azure DevOps.

Události auditu se ukládají po dobu 90 dnů před jejich odstraněním. Pokud chcete uchovávat data delší dobu, můžete události auditu zálohovat do externího umístění.

Poznámka:

Auditování není k dispozici pro místní nasazení Azure DevOps. Můžete však připojit stream auditování z instance Azure DevOps Services k místní nebo cloudové instanci Splunku. Ujistěte se, že povolíte rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.

Požadavky

Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services. Ujistěte se, že k citlivým informacím auditování mají přístup jenom autorizovaní pracovníci.

Kategorie Požadavky
oprávnění Člen skupiny správců kolekce projektů . Vlastníci organizace jsou automaticky členy této skupiny. Nebo následující oprávnění auditování pro uživatele nebo skupinu, nastavte na Povolit:
– Správa streamů auditu
– Zobrazení protokolu auditu
Odpovědné certifikační autority mohou tato oprávnění udělit jakýmkoli uživatelům nebo skupinám pro správu datových proudů organizace, včetně odstranění auditních proudů.

Poznámka:

Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé ve skupině Uživatelé s rozsahem projektu nemůžou zobrazit Audit a jejich viditelnost na stránkách nastavení organizace je omezená. Další informace a důležité podrobnosti související se zabezpečením najdete v tématu Omezení viditelnosti uživatelů pro projekty a další.

Povolení a zakázání auditování

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kolanastavení organizace.

  3. V záhlaví Zabezpečení vyberte zásady.

  4. Přepněte tlačítko Protokolování událostí auditu na ZAPNUTO.

    Snímek obrazovky s povolenými zásadami auditování

    Auditování je pro organizaci povolené. Aktualizujte stránku, aby se na bočním panelu zobrazilo auditování . Události auditu se začnou zobrazovat v protokolech auditování a prostřednictvím všech nakonfigurovaných streamů auditu.

  5. Pokud už nechcete přijímat události auditování, přepněte tlačítko Povolit auditování na VYPNUTO. Tato akce odebere stránku Auditování z bočního panelu a znepřístupní stránku Protokoly auditování. Jakékoli toky auditu přestanou přijímat události.

Auditování přístupu

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kolanastavení organizace.

    Snímek obrazovky se zvýrazněným tlačítkem Nastavení organizace

  3. Vyberte Auditování.

    Kontrola náhledu stránky

  4. Pokud v nastavení organizace nevidíte auditování, nemáte přístup k zobrazení událostí auditu. Skupina Správci kolekcí projektů můžou udělit oprávnění ostatním uživatelům a skupinám, aby mohli zobrazit stránky auditování. Uděláte to tak, že vyberete Oprávnění a pak skupinu nebo uživatele vyhledáte, abyste mohli poskytnout přístup k auditování.

    Snímek obrazovky se zvýrazněnou kartou Oprávnění

  5. Nastavte Zobrazit protokol auditu na možnost Povolita pak vyberte Uložit změny.

    Snímek obrazovky s náhledem oprávnění k auditování přístupu

    Uživatelé nebo členové skupiny mají přístup k zobrazení událostí auditu vaší organizace.

Revize protokolu auditu

Stránka Auditování poskytuje jednoduché zobrazení událostí auditu zaznamenaných pro vaši organizaci. Podívejte se na následující popis informací, které jsou viditelné na stránce auditování:

Auditní informace a podrobnosti o událostech

Informace Detaily
Herec/herečka Zobrazovaný název jednotlivce, který aktivoval událost auditu.
IP IP adresa jednotlivce, který aktivoval událost auditu.
Časové razítko Čas, kdy k aktivované události došlo. Čas je lokalizovaný do vašeho časového pásma.
Plocha Oblast produktu v Azure DevOps, kde k události došlo.
Kategorie Popis typu akce, ke které došlo (například úprava, přejmenování, vytvoření, odstranění, odebrání, spuštění a událost přístupu).
Detaily Stručný popis toho, co se během události stalo.

Každá událost auditu také zaznamenává další informace o tom, co je možné zobrazit na stránce auditování. Tyto informace zahrnují mechanismus ověřování, ID korelace pro propojení podobných událostí, uživatelského agenta a další data v závislosti na typu události auditu. Tyto informace je možné zobrazit pouze exportem událostí auditování prostřednictvím CSV nebo JSON.

ID a korelační ID

Každá událost auditu má jedinečné identifikátory nazývané ID a CorrelationID. ID korelace je užitečné pro vyhledání souvisejících událostí auditu. Vytvoření projektu může například vygenerovat několik desítek událostí auditu, které jsou propojené stejným ID korelace.

Když ID události auditu odpovídá ID korelace, znamená to, že událost auditu je nadřazená nebo původní událost. Pokud chcete zobrazit pouze původní události, vyhledejte události, kde ID se rovná Correlation ID. Pokud chcete prozkoumat událost a související události, vyhledejte všechny události s ID korelace, které odpovídá ID původní události. Ne všechny události mají související události.

Hromadné události

Některé události auditu, označované jako události hromadného auditu, můžou obsahovat několik akcí, které proběhly současně. Tyto události můžete identifikovat pomocí ikony Informace na pravé straně události. Pokud chcete zobrazit jednotlivé podrobnosti o akcích zahrnutých v událostech hromadného auditu, projděte si stažená data auditu.

Snímek obrazovky zobrazuje ikonu pro další informace o auditu.

Výběrem ikony informací se zobrazí další podrobnosti o události auditu.

Při kontrole událostí auditu vám sloupce Kategorie a Oblast můžou pomoct filtrovat a vyhledávat konkrétní typy událostí. Následující tabulky uvádějí kategorie a oblasti spolu s jejich popisy:

Seznam událostí

Snažíme se přidávat nové události auditování měsíčně. Pokud existuje událost, kterou byste chtěli sledovat a která momentálně není dostupná, sdílejte svůj návrh s námi v komunitě vývojářů.

Úplný seznam všech událostí, které je možné vysílat prostřednictvím funkce Auditování, najdete v seznamu událostí auditování.

Poznámka:

Chcete zjistit, které oblasti událostí vaše organizace protokoluje? Nezapomeňte si prohlédnout rozhraní API pro dotazování protokolu auditu: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsnahraďte {YOUR_ORGANIZATION} názvem vaší organizace. Toto rozhraní API vrátí seznam všech událostí auditu (nebo akcí), které může vaše organizace generovat.

Filtrování protokolu auditu podle data a času

V aktuálním uživatelském rozhraní auditování můžete filtrovat události pouze podle data nebo časového rozsahu.

  1. Pokud chcete zúžit zobrazitelné události auditu, vyberte filtr času.

    Snímek obrazovky znázorňující filtr položek auditování podle data a času

  2. Filtry slouží k výběru libovolného časového rozsahu za posledních 90 dnů a rozsahu až do minuty.

  3. Vyberte Použít u selektoru časového rozsahu a spusťte hledání. Ve výchozím nastavení se pro tento výběr času zobrazí prvních 200 výsledků. Pokud jsou k dispozici další výsledky, můžete se posunout dolů a načíst na stránku více položek.

Export událostí auditu

Pokud chcete provést podrobnější vyhledávání dat auditování nebo ukládat data po dobu delší než 90 dnů, exportujte existující události auditu. Exportovaná data můžete uložit do jiného umístění nebo služby.

Pokud chcete exportovat události auditování, vyberte tlačítko Stáhnout . Data si můžete stáhnout jako soubor CSV nebo JSON.

Stahování zahrnuje události na základě časového rozsahu, který vyberete ve filtru. Pokud například vyberete jeden den, získáte data za jeden den. Pokud chcete získat všech 90 dní, vyberte 90 dní z filtru časového rozsahu a spusťte stahování.

Poznámka:

V případě dlouhodobého ukládání a analýzy událostí auditování zvažte použití funkce Streamování auditu k odesílání událostí do nástroje SiEM (Security Information and Event Management). Doporučujeme exportovat protokoly auditování pro kurzorové analýzy dat.

  • Pokud chcete filtrovat data nad rámec data a časového rozsahu, stáhněte si protokoly jako soubory CSV a naimportujte je do Microsoft Excelu nebo jiných analyzátorů CSV, abyste si prošli sloupce Oblast a Kategorie.
  • Pokud chcete analyzovat větší datové sady, nahrajte exportované události auditu do nástroje Pro správu událostí a incidentů zabezpečení (SIEM) pomocí funkce Audit Streaming. Nástroje SIEM umožňují uchovávat více než 90 dnů událostí, provádět vyhledávání, generovat sestavy a konfigurovat výstrahy na základě událostí auditu.

Omezení

Na to, co je možné auditovat, platí následující omezení:

  • Změny členství ve skupině Microsoft Entra: V protokolech auditu jsou zahrnuty aktualizace skupin Azure DevOps a členství ve skupinách, pokud je oblast události Groups. Pokud ale spravujete členství prostřednictvím skupin Microsoft Entra, nebudou do těchto protokolů zahrnuté doplňky a odebrání uživatelů z těchto skupin Microsoft Entra. Zkontrolujte protokoly auditu Microsoft Entra a zjistěte, kdy byl uživatel nebo skupina přidány nebo odebrány ze skupiny Microsoft Entra.
  • Události přihlášení: Azure DevOps nesleduje události přihlášení. Pokud chcete zkontrolovat události přihlášení k vašemu ID Microsoft Entra, podívejte se na protokoly auditu Microsoft Entra.
  • Přidání nepřímých uživatelů: V některých případech se uživatelé můžou do vaší organizace přidat nepřímo a zobrazit v protokolu auditu přidaném službou Azure DevOps Services. Pokud je například uživatel přiřazen k pracovní položce, může se automaticky přidat do organizace. Zatímco se pro přidání uživatele vygeneruje událost auditu, neexistuje odpovídající událost auditu pro přiřazení pracovní položky, která aktivovala přidání uživatele. Pokud chcete tyto události sledovat, zvažte následující akce:
    • Zkontrolujte historii pracovních položek podle odpovídajících časových razítek a zjistěte, jestli byl tento uživatel přiřazený k nějakým pracovním položkám.
    • V protokolu auditu zkontrolujte všechny související události, které můžou poskytnout kontext.

Nejčastější dotazy

Otázka: Co je skupina DirectoryServiceAddMember a proč se zobrazuje v protokolu auditu?

A: Tato DirectoryServiceAddMember skupina pomáhá spravovat členství ve vaší organizaci. Mnoho systémových, uživatelských a administrativních akcí může mít vliv na členství v této systémové skupině. Vzhledem k tomu, že se tato skupina používá pouze pro interní procesy, můžete ignorovat položky protokolu auditu, které zaznamenávají změny členství v této skupině.