Compartir a través de


Acceso, exportación y filtrado de registros de auditoría

Azure DevOps Services

Nota:

La auditoría sigue en versión preliminar pública.

Realizar un seguimiento de las actividades dentro del entorno de Azure DevOps es fundamental para la seguridad y el cumplimiento. La auditoría le ayuda a supervisar y registrar estas actividades, lo que proporciona transparencia y responsabilidad. En este artículo se explican las características de auditoría y se muestra cómo configurarla y usarla de forma eficaz.

Importante

La auditoría solo está disponible para las organizaciones respaldadas por Microsoft Entra ID. Para obtener más información, consulte Conexión de la organización a Microsoft Entra ID.

Los cambios de auditoría se producen cada vez que una identidad de usuario o servicio dentro de la organización edita el estado de un artefacto. Entre los eventos que podrían registrarse se incluyen:

  • Cambios de permisos
  • Recursos eliminados
  • Cambios en la directiva de rama
  • Acceso a registros y descargas
  • Muchos otros tipos de cambios

Estos registros proporcionan un registro completo de actividades, lo que le ayuda a supervisar y administrar la seguridad y el cumplimiento de su organización de Azure DevOps.

Los eventos de auditoría se almacenan durante 90 días antes de que se eliminen. Para conservar los datos durante más tiempo, puede realizar copias de seguridad de eventos de auditoría en una ubicación externa.

Nota:

La auditoría no está disponible para implementaciones locales de Azure DevOps Server. Sin embargo, puede conectar un flujo de auditoría desde una instancia de Azure DevOps Services a una instancia local o basada en la nube de Splunk. Asegúrese de permitir intervalos IP para las conexiones entrantes. Para más información, consulte Listas de direcciones permitidas y conexiones de red, direcciones IP y restricciones de intervalo.

Requisitos previos

La auditoría está desactivada de forma predeterminada para todas las organizaciones de Azure DevOps Services. Asegúrese de que solo el personal autorizado tenga acceso a información confidencial de auditoría.

Permisos: ser miembro del grupo Administradores de colecciones de proyectos (PCA) (los propietarios de la organización son automáticamente miembros de este grupo) o tienen los siguientes permisos de auditoría por usuario o grupo:

  • Administrar flujos de auditoría
  • Consulta del registro de auditoría

Captura de pantalla en la que se muestran los permisos de auditoría de configuración para Permitir.

Los PCA pueden conceder estos permisos a cualquier usuario o grupo para administrar flujos de organización mediante permisos de seguridad > de configuración de>la organización. Los PCA también pueden asignar el permiso Eliminar flujos de auditoría.

Nota:

Si la característica Limitar la visibilidad y la colaboración del usuario a proyectos específicos está habilitada para la organización, los usuarios del grupo Usuarios con ámbito de proyecto no pueden ver la auditoría y tener visibilidad limitada a las páginas de configuración de la organización. Para obtener más información y detalles importantes relacionados con la seguridad, consulte Limitar la visibilidad del usuario para proyectos y mucho más.

Habilitar y deshabilitar la auditoría

  1. Inicie sesión en una organización (https://dev.azure.com/{yourorganization}).

  2. Seleccione el icono de engranaje Configuración de organización.

  3. Seleccione Directivas en el encabezado Seguridad .

  4. Cambie el botón Registrar eventos de auditoría a ACTIVADO.

    Captura de pantalla de la directiva de auditoría habilitada.

    La auditoría está habilitada para la organización. Actualice la página para ver que la auditoría aparece en la barra lateral. Los eventos de auditoría comienzan a aparecer en Registros de auditoría y a través de los flujos de auditoría configurados.

  5. Si ya no desea recibir eventos de auditoría, cambie el botón Habilitar auditoría a DESACTIVADO. Esta acción quita la página Auditoría de la barra lateral y hace que la página Registros de auditoría no esté disponible. Cualquier flujo de auditoría deja de recibir eventos.

Auditoría de acceso

  1. Inicie sesión en una organización (https://dev.azure.com/{yourorganization}).

  2. Seleccione el icono de engranaje Configuración de organización.

    Captura de pantalla que muestra el botón Configuración de la organización resaltado.

  3. Seleccione Auditoría.

    Página de vista previa de auditoría

  4. Si no ve auditoría en la configuración de la organización, no tiene acceso para ver los eventos de auditoría. El grupo Administradores de colecciones de proyectos puede conceder permisos a otros usuarios y grupos para que puedan ver las páginas de auditoría. Para ello, seleccione Permisos y busque el grupo o los usuarios a los que proporcionar acceso de auditoría.

    Captura de pantalla de la pestaña Permisos resaltada.

  5. Establezca Ver registro de auditoría para permitir y, a continuación, seleccione Guardar cambios.

    Captura de pantalla de la vista previa del permiso de acceso de auditoría.

    Los miembros del usuario o grupo tienen acceso para ver los eventos de auditoría de la organización.

Revisión de los registros de auditoría

La página Auditoría proporciona una vista sencilla de los eventos de auditoría registrados para su organización. Consulte la siguiente descripción de la información que está visible en la página de auditoría:

Información y detalles de eventos de auditoría

Información Detalles
Actor Nombre para mostrar de la persona que desencadenó el evento de auditoría.
IP Dirección IP de la persona que desencadenó el evento de auditoría.
Timestamp Hora en que se produjo el evento desencadenado. La hora se localiza en su zona horaria.
Área Área del producto en Azure DevOps donde se produjo el evento.
Category Descripción del tipo de acción que se produjo (por ejemplo, modificar, cambiar el nombre, crear, eliminar, quitar, ejecutar y obtener acceso al evento).
Detalles Breve descripción de lo que sucedió durante el evento.

Cada evento de auditoría también registra información adicional sobre lo que se puede ver en la página de auditoría. Esta información incluye el mecanismo de autenticación, un identificador de correlación para vincular eventos similares juntos, agente de usuario y más datos en función del tipo de evento de auditoría. Esta información solo se puede ver exportando los eventos de auditoría a través de CSV o JSON.

Id. y id. de correlación

Cada evento de auditoría tiene identificadores únicos denominados y ID CorrelationID. El identificador de correlación es útil para buscar eventos de auditoría relacionados. Por ejemplo, la creación de un proyecto puede generar varias docenas de eventos de auditoría, todos vinculados por el mismo identificador de correlación.

Cuando un identificador de evento de auditoría coincide con su identificador de correlación, indica que el evento de auditoría es el evento primario o original. Para ver solo los eventos de origen, busque los eventos en los ID que es igual a Correlation ID. Si desea investigar un evento y sus eventos relacionados, busque todos los eventos con un identificador de correlación que coincida con el identificador del evento de origen. No todos los eventos tienen eventos relacionados.

Eventos masivos

Algunos eventos de auditoría, conocidos como "eventos de auditoría masiva", pueden contener varias acciones que se realizaron simultáneamente. Puede identificar estos eventos mediante el "icono de información" en el extremo derecho del evento. Para ver detalles individuales de las acciones incluidas en eventos de auditoría masiva, consulte los datos de auditoría descargados.

Captura de pantalla que muestra el icono auditar más información.

Al seleccionar el icono de información se muestran más detalles sobre el evento de auditoría.

A medida que revise los eventos de auditoría, las columnas Categoría y Área pueden ayudarle a filtrar y buscar tipos específicos de eventos. En las tablas siguientes se enumeran las categorías y áreas, junto con sus descripciones:

Lista de eventos

Nos esforzamos por agregar nuevos eventos de auditoría mensualmente. Si hay un evento que le gustaría ver que no está disponible actualmente, comparta su sugerencia con nosotros en la Comunidad de desarrolladores.

Para obtener una lista completa de todos los eventos que se pueden emitir a través de la característica Auditoría, consulte la lista de eventos de auditoría.

Nota:

¿Desea averiguar qué áreas de eventos registra su organización? Asegúrese de consultar la API de consulta de registro de auditoría: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, reemplazando {YOUR_ORGANIZATION} por el nombre de la organización. Esta API devuelve una lista de todos los eventos de auditoría (o acciones) que su organización podría emitir.

Filtrar el registro de auditoría por fecha y hora

En la interfaz de usuario de auditoría actual, solo puede filtrar los eventos por intervalo de fecha o hora.

  1. Para restringir los eventos de auditoría visibles, seleccione el filtro de tiempo.

    Captura de pantalla que muestra el filtro de entrada de auditoría por fecha y hora.

  2. Use los filtros para seleccionar cualquier intervalo de tiempo dentro de los últimos 90 días y limitarlo al minuto.

  3. Seleccione Aplicar en el selector de intervalo de tiempo para iniciar la búsqueda. De forma predeterminada, los 200 resultados principales devuelven para esa selección de tiempo. Si hay más resultados, puede desplazarse hacia abajo para cargar más entradas en la página.

Exportación de eventos de auditoría

Para realizar una búsqueda más detallada en los datos de auditoría o almacenar datos durante más de 90 días, exporte los eventos de auditoría existentes. Puede almacenar los datos exportados en otra ubicación o servicio.

Para exportar eventos de auditoría, seleccione el botón Descargar . Puede optar por descargar los datos como un archivo CSV o JSON.

La descarga incluye eventos en función del intervalo de tiempo que seleccione en el filtro. Por ejemplo, si selecciona un día, obtendrá el valor de datos de un día. Para obtener los 90 días, seleccione 90 días en el filtro de intervalo de tiempo y, a continuación, inicie la descarga.

Nota:

Para el almacenamiento a largo plazo y el análisis de los eventos de auditoría, considere la posibilidad de usar la característica Audit Streaming para enviar los eventos a una herramienta de administración de eventos e información de seguridad (SIEM). Se recomienda exportar los registros de auditoría para realizar un análisis rápido de los datos.

  • Para filtrar los datos más allá del intervalo de fecha y hora, descargue los registros como archivos CSV e impórtelos en Microsoft Excel u otros analizadores csv para examinar las columnas Área y Categoría.
  • Para analizar conjuntos de datos más grandes, cargue eventos de auditoría exportados en una herramienta de administración de eventos e incidentes de seguridad (SIEM) mediante la función Audit Streaming. Las herramientas de SIEM permiten conservar más de 90 días de eventos, realizar búsquedas, generar informes y configurar alertas basadas en eventos de auditoría.

Limitaciones

Las siguientes limitaciones se aplican a lo que se puede auditar:

  • Cambios de pertenencia a grupos de Microsoft Entra: los registros de auditoría incluyen actualizaciones de grupos de Azure DevOps y pertenencia a grupos, cuando un área de eventos es Groups. Sin embargo, si administra la pertenencia a través de grupos de Microsoft Entra, las adiciones y eliminaciones de usuarios de esos grupos de Microsoft Entra no se incluyen en estos registros. Revise los registros de auditoría de Microsoft Entra para ver cuándo se ha agregado o quitado un usuario o grupo de Microsoft Entra.
  • Eventos de inicio de sesión: Azure DevOps no realiza un seguimiento de los eventos de inicio de sesión. Para revisar los eventos de inicio de sesión en el identificador de Microsoft Entra, vea los registros de auditoría de Microsoft Entra.
  • Adiciones de usuarios indirectos: en algunos casos, los usuarios pueden agregarse a su organización indirectamente y mostrarse en el registro de auditoría agregado por Azure DevOps Services. Por ejemplo, si un usuario está asignado a un elemento de trabajo, podría agregarse automáticamente a la organización. Mientras se genera un evento de auditoría para el usuario que se va a agregar, no hay un evento de auditoría correspondiente para la asignación de elementos de trabajo que desencadenó la adición del usuario. Para realizar el seguimiento de estos eventos, tenga en cuenta las siguientes acciones:
    • Revise el historial de elementos de trabajo para ver las marcas de tiempo correspondientes para ver si este usuario se asignó a cualquier elemento de trabajo.
    • Compruebe el registro de auditoría para ver los eventos relacionados que puedan proporcionar contexto.

Preguntas más frecuentes

P: ¿Qué es el grupo DirectoryServiceAddMember y por qué aparece en el registro de auditoría?

R: El DirectoryServiceAddMember grupo ayuda a administrar la pertenencia a su organización. Muchas acciones administrativas, de usuario y de sistema pueden afectar a la pertenencia a este grupo del sistema. Dado que este grupo solo se usa para procesos internos, puede ignorar las entradas del registro de auditoría que capturan los cambios de pertenencia a este grupo.