Acceso, exportación y filtrado de registros de auditoría
Azure DevOps Services
Nota:
La auditoría sigue en versión preliminar pública.
Realizar un seguimiento de las actividades dentro del entorno de Azure DevOps es fundamental para la seguridad y el cumplimiento. La auditoría le ayuda a supervisar y registrar estas actividades, lo que proporciona transparencia y responsabilidad. En este artículo se explican las características de auditoría y se muestra cómo configurarla y usarla de forma eficaz.
Importante
La auditoría solo está disponible para las organizaciones respaldadas por Microsoft Entra ID. Para obtener más información, consulte Conexión de la organización a Microsoft Entra ID.
Los cambios de auditoría se producen cada vez que una identidad de usuario o servicio dentro de la organización edita el estado de un artefacto. Entre los eventos que podrían registrarse se incluyen:
- Cambios de permisos
- Recursos eliminados
- Cambios en la directiva de rama
- Acceso a registros y descargas
- Muchos otros tipos de cambios
Estos registros proporcionan un registro completo de actividades, lo que le ayuda a supervisar y administrar la seguridad y el cumplimiento de su organización de Azure DevOps.
Los eventos de auditoría se almacenan durante 90 días antes de que se eliminen. Para conservar los datos durante más tiempo, puede realizar copias de seguridad de eventos de auditoría en una ubicación externa.
Nota:
La auditoría no está disponible para implementaciones locales de Azure DevOps Server. Sin embargo, puede conectar un flujo de auditoría desde una instancia de Azure DevOps Services a una instancia local o basada en la nube de Splunk. Asegúrese de permitir intervalos IP para las conexiones entrantes. Para más información, consulte Listas de direcciones permitidas y conexiones de red, direcciones IP y restricciones de intervalo.
Requisitos previos
La auditoría está desactivada de forma predeterminada para todas las organizaciones de Azure DevOps Services. Asegúrese de que solo el personal autorizado tenga acceso a información confidencial de auditoría.
Permisos: sea miembro del grupo Administradores de colecciones de proyectos (PCA). Los propietarios de la organización son miembros automáticamente de este grupo. O bien, tenga los siguientes permisos de auditoría por usuario o grupo:
- Administrar flujos de auditoría
- Consulta del registro de auditoría
Los PCA pueden conceder estos permisos a cualquier usuario o grupo para administrar flujos de organización mediante permisos de seguridad > de configuración de>la organización. Los PCA también pueden asignar el permiso Eliminar flujos de auditoría.
Nota:
Si la característica Limitar la visibilidad y la colaboración del usuario a proyectos específicos está habilitada para la organización, los usuarios del grupo Usuarios con ámbito de proyecto no pueden ver la auditoría y tener visibilidad limitada a las páginas de configuración de la organización. Para obtener más información y detalles importantes relacionados con la seguridad, consulte Limitar la visibilidad del usuario para proyectos y mucho más.
Habilitar y deshabilitar la auditoría
Inicie sesión en una organización (
https://dev.azure.com/{yourorganization}
).Seleccione Configuración de organización.
Seleccione Directivas en el encabezado Seguridad .
Cambie el botón Registrar eventos de auditoría a ACTIVADO.
La auditoría está habilitada para la organización. Actualice la página para ver que la auditoría aparece en la barra lateral. Los eventos de auditoría comienzan a aparecer en Registros de auditoría y a través de los flujos de auditoría configurados.
Si ya no desea recibir eventos de auditoría, cambie el botón Habilitar auditoría a DESACTIVADO. Esta acción quita la página Auditoría de la barra lateral y hace que la página Registros de auditoría no esté disponible. Cualquier flujo de auditoría deja de recibir eventos.
Auditoría de acceso
Inicie sesión en una organización (
https://dev.azure.com/{yourorganization}
).Seleccione Configuración de organización.
Seleccione Auditoría.
Si no ve auditoría en la configuración de la organización, no tiene acceso para ver los eventos de auditoría. El grupo Administradores de colecciones de proyectos puede conceder permisos a otros usuarios y grupos para que puedan ver las páginas de auditoría. Para ello, seleccione Permisos y busque el grupo o los usuarios a los que proporcionar acceso de auditoría.
Establezca Ver registro de auditoría para permitir y, a continuación, seleccione Guardar cambios.
Los miembros del usuario o grupo tienen acceso para ver los eventos de auditoría de la organización.
Revisión de los registros de auditoría
La página Auditoría proporciona una vista sencilla de los eventos de auditoría registrados para su organización. Consulte la siguiente descripción de la información que está visible en la página de auditoría:
Información y detalles de eventos de auditoría
Información | Detalles |
---|---|
Actor | Nombre para mostrar de la persona que desencadenó el evento de auditoría. |
IP | Dirección IP de la persona que desencadenó el evento de auditoría. |
Timestamp | Hora en que se produjo el evento desencadenado. La hora se localiza en su zona horaria. |
Área | Área del producto en Azure DevOps donde se produjo el evento. |
Category | Descripción del tipo de acción que se produjo (por ejemplo, modificar, cambiar el nombre, crear, eliminar, quitar, ejecutar y obtener acceso al evento). |
Detalles | Breve descripción de lo que sucedió durante el evento. |
Cada evento de auditoría también registra información adicional sobre lo que se puede ver en la página de auditoría. Esta información incluye el mecanismo de autenticación, un identificador de correlación para vincular eventos similares juntos, agente de usuario y más datos en función del tipo de evento de auditoría. Esta información solo se puede ver exportando los eventos de auditoría a través de CSV o JSON.
Id. y id. de correlación
Cada evento de auditoría tiene identificadores únicos denominados y ID
CorrelationID
. El identificador de correlación es útil para buscar eventos de auditoría relacionados. Por ejemplo, la creación de un proyecto puede generar varias docenas de eventos de auditoría, todos vinculados por el mismo identificador de correlación.
Cuando un identificador de evento de auditoría coincide con su identificador de correlación, indica que el evento de auditoría es el evento primario o original. Para ver solo los eventos de origen, busque los eventos en los ID
que es igual a Correlation ID
. Si desea investigar un evento y sus eventos relacionados, busque todos los eventos con un identificador de correlación que coincida con el identificador del evento de origen. No todos los eventos tienen eventos relacionados.
Eventos masivos
Algunos eventos de auditoría, conocidos como "eventos de auditoría masiva", pueden contener varias acciones que se realizaron simultáneamente. Puede identificar estos eventos mediante el "icono de información" en el extremo derecho del evento. Para ver detalles individuales de las acciones incluidas en eventos de auditoría masiva, consulte los datos de auditoría descargados.
Al seleccionar el icono de información se muestran más detalles sobre el evento de auditoría.
A medida que revise los eventos de auditoría, las columnas Categoría y Área pueden ayudarle a filtrar y buscar tipos específicos de eventos. En las tablas siguientes se enumeran las categorías y áreas, junto con sus descripciones:
Lista de eventos
Nos esforzamos por agregar nuevos eventos de auditoría mensualmente. Si hay un evento que le gustaría ver que no está disponible actualmente, comparta su sugerencia con nosotros en la Comunidad de desarrolladores.
Para obtener una lista completa de todos los eventos que se pueden emitir a través de la característica Auditoría, consulte la lista de eventos de auditoría.
Nota:
¿Desea averiguar qué áreas de eventos registra su organización? Asegúrese de consultar la API de consulta de registro de auditoría: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions
, reemplazando {YOUR_ORGANIZATION} por el nombre de la organización. Esta API devuelve una lista de todos los eventos de auditoría (o acciones) que su organización podría emitir.
Filtrar el registro de auditoría por fecha y hora
En la interfaz de usuario de auditoría actual, solo puede filtrar los eventos por intervalo de fecha o hora.
Para restringir los eventos de auditoría visibles, seleccione el filtro de tiempo.
Use los filtros para seleccionar cualquier intervalo de tiempo dentro de los últimos 90 días y limitarlo al minuto.
Seleccione Aplicar en el selector de intervalo de tiempo para iniciar la búsqueda. De forma predeterminada, los 200 resultados principales devuelven para esa selección de tiempo. Si hay más resultados, puede desplazarse hacia abajo para cargar más entradas en la página.
Exportación de eventos de auditoría
Para realizar una búsqueda más detallada en los datos de auditoría o almacenar datos durante más de 90 días, exporte los eventos de auditoría existentes. Puede almacenar los datos exportados en otra ubicación o servicio.
Para exportar eventos de auditoría, seleccione el botón Descargar . Puede optar por descargar los datos como un archivo CSV o JSON.
La descarga incluye eventos en función del intervalo de tiempo que seleccione en el filtro. Por ejemplo, si selecciona un día, obtendrá el valor de datos de un día. Para obtener los 90 días, seleccione 90 días en el filtro de intervalo de tiempo y, a continuación, inicie la descarga.
Nota:
Para el almacenamiento a largo plazo y el análisis de los eventos de auditoría, considere la posibilidad de usar la característica Audit Streaming para enviar los eventos a una herramienta de administración de eventos e información de seguridad (SIEM). Se recomienda exportar los registros de auditoría para realizar un análisis rápido de los datos.
- Para filtrar los datos más allá del intervalo de fecha y hora, descargue los registros como archivos CSV e impórtelos en Microsoft Excel u otros analizadores csv para examinar las columnas Área y Categoría.
- Para analizar conjuntos de datos más grandes, cargue eventos de auditoría exportados en una herramienta de administración de eventos e incidentes de seguridad (SIEM) mediante la función Audit Streaming. Las herramientas de SIEM permiten conservar más de 90 días de eventos, realizar búsquedas, generar informes y configurar alertas basadas en eventos de auditoría.
Limitaciones
Las siguientes limitaciones se aplican a lo que se puede auditar:
- Cambios de pertenencia a grupos de Microsoft Entra: los registros de auditoría incluyen actualizaciones de grupos de Azure DevOps y pertenencia a grupos, cuando un área de eventos es
Groups
. Sin embargo, si administra la pertenencia a través de grupos de Microsoft Entra, las adiciones y eliminaciones de usuarios de esos grupos de Microsoft Entra no se incluyen en estos registros. Revise los registros de auditoría de Microsoft Entra para ver cuándo se ha agregado o quitado un usuario o grupo de Microsoft Entra. - Eventos de inicio de sesión: Azure DevOps no realiza un seguimiento de los eventos de inicio de sesión. Para revisar los eventos de inicio de sesión en el identificador de Microsoft Entra, vea los registros de auditoría de Microsoft Entra.
- Adiciones de usuarios indirectos: en algunos casos, los usuarios pueden agregarse a su organización indirectamente y mostrarse en el registro de auditoría agregado por Azure DevOps Services. Por ejemplo, si un usuario está asignado a un elemento de trabajo, podría agregarse automáticamente a la organización. Mientras se genera un evento de auditoría para el usuario que se va a agregar, no hay un evento de auditoría correspondiente para la asignación de elementos de trabajo que desencadenó la adición del usuario. Para realizar el seguimiento de estos eventos, tenga en cuenta las siguientes acciones:
- Revise el historial de elementos de trabajo para ver las marcas de tiempo correspondientes para ver si este usuario se asignó a cualquier elemento de trabajo.
- Compruebe el registro de auditoría para ver los eventos relacionados que puedan proporcionar contexto.
Preguntas más frecuentes
P: ¿Qué es el grupo DirectoryServiceAddMember y por qué aparece en el registro de auditoría?
R: El DirectoryServiceAddMember
grupo ayuda a administrar la pertenencia a su organización. Muchas acciones administrativas, de usuario y de sistema pueden afectar a la pertenencia a este grupo del sistema. Dado que este grupo solo se usa para procesos internos, puede ignorar las entradas del registro de auditoría que capturan los cambios de pertenencia a este grupo.