Aceder, exportar e filtrar registos de auditoria
Serviços de DevOps do Azure
Nota
A auditoria ainda está em fase de pré-visualização pública.
Acompanhar as atividades em seu ambiente de DevOps do Azure é crucial para a segurança e a conformidade. A auditoria ajuda você a monitorar e registrar essas atividades, proporcionando transparência e prestação de contas. Este artigo explica os recursos de auditoria e mostra como configurá-lo e usá-lo de forma eficaz.
Importante
A auditoria só está disponível para organizações apoiadas pelo Microsoft Entra ID. Para obter mais informações, consulte Conectar sua organização ao Microsoft Entra ID.
As alterações de auditoria ocorrem sempre que uma identidade de utilizador ou de serviço dentro da organização edita o estado de um artefacto. Os eventos que podem ser registrados incluem:
- Alterações de permissões
- Recursos excluídos
- Alterações na política de sucursais
- Registo de acessos e downloads
- Muitos outros tipos de alterações
Esses logs fornecem um registro abrangente de atividades, ajudando você a monitorar e gerenciar a segurança e a conformidade de sua organização do Azure DevOps.
Os eventos de auditoria são armazenados por 90 dias antes de serem excluídos. Para reter os dados por mais tempo, você pode fazer backup de eventos de auditoria em um local externo.
Nota
A auditoria não está disponível para implantações locais do Azure DevOps. No entanto, você pode conectar um fluxo de Auditoria de uma instância dos Serviços de DevOps do Azure a uma instância local ou baseada em nuvem do Splunk. Certifique-se de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.
Pré-requisitos
A auditoria está desativada por padrão para todas as organizações dos Serviços de DevOps do Azure. Certifique-se de que apenas o pessoal autorizado tenha acesso a informações confidenciais de auditoria.
Nota
Se o recurso de pré-visualização Limitar a visibilidade dos utilizadores e a colaboração a projetos específicos estiver ativado para a organização, os utilizadores no grupo Usuários com Escopo de Projeto não poderão ver Auditoria e terão visibilidade limitada para as páginas das definições da organização. Para obter mais informações e detalhes importantes relacionados à segurança, consulte Limitar a visibilidade do usuário para projetos e muito mais.
Habilitar e desabilitar a auditoria
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Configurações da organização.Selecione Políticas sob o título Segurança.
Mude o botão Registrar eventos de auditoria para ATIVADO.
A auditoria está habilitada para a organização. Atualize a página para ver Auditoria aparecer na barra lateral. Os eventos de auditoria começam a aparecer nos Registos de Auditoria e através de quaisquer fluxos de auditoria configurados.
Se não quiser mais receber eventos de Auditoria, alterne o botão Habilitar Auditoria para DESATIVADO. Esta ação remove a página Auditoria da barra lateral e torna a página Logs de Auditoria indisponível. Todos os fluxos de auditoria param de receber eventos.
Auditoria de acesso
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Configurações da organização.
Selecione Auditoria.
Se você não vir Auditoria nas configurações da organização, não terá acesso para exibir eventos de auditoria. O grupo Administradores de Coleção de Projetos pode conceder permissões a outros usuários e grupos para que eles possam exibir as páginas de auditoria. Para fazer isso, selecione Permissões e localize o grupo ou usuários aos quais fornecer acesso de auditoria.
Defina Exibir de log de auditoria como Permitire selecione Salvar alterações.
Os membros do usuário ou grupo têm acesso para exibir os eventos de auditoria da sua organização.
Rever o log de auditoria
A página Auditoria fornece uma visão simples dos eventos de auditoria registrados para sua organização. Consulte a seguinte descrição das informações visíveis na página de auditoria:
Informações e detalhes do evento de auditoria
| Informação | Detalhes |
|---|---|
| Ator | Nome da pessoa que acionou o evento de auditoria. |
| IP | Endereço IP da pessoa que acionou o evento de auditoria. |
| Carimbo de data e hora | Hora durante a qual o evento acionado ocorreu. A hora está localizada no seu fuso horário. |
| Área | Área de produtos no Azure DevOps onde ocorreu o evento. |
| Categoria | Descrição do tipo de ação que ocorreu (por exemplo, modificar, renomear, criar, excluir, remover, executar e acessar o evento). |
| Detalhes | Breve descrição do que aconteceu durante o evento. |
Cada evento de auditoria também regista informações adicionais em relação ao que é visível na página de auditoria. Essas informações incluem o mecanismo de autenticação, uma ID de correlação para vincular eventos semelhantes, agente de usuário e mais dados, dependendo do tipo de evento de auditoria. Estas informações só podem ser vistas ao exportar os eventos de auditoria através de CSV ou JSON.
ID e ID de correlação
Cada evento de auditoria tem identificadores exclusivos chamados de ID e CorrelationID. O ID de correlação é útil para localizar eventos de auditoria relacionados. Por exemplo, a criação de um projeto pode gerar várias dúzias de eventos de auditoria, todos vinculados pela mesma ID de correlação.
Quando uma ID de evento de auditoria corresponde à sua ID de correlação, ela indica que o evento de auditoria é o evento pai ou original. Para ver apenas eventos de origem, procure eventos em que o ID é igual a Correlation ID. Se você quiser investigar um evento e seus eventos relacionados, procure todos os eventos com uma ID de correlação que corresponda à ID do evento de origem. Nem todos os eventos têm eventos relacionados.
Eventos em massa
Alguns eventos de auditoria, conhecidos como "eventos de auditoria em massa", podem conter várias ações que ocorreram simultaneamente. Pode identificar estes eventos através do ícone "Informação" na extremidade direita do evento. Para exibir detalhes individuais das ações incluídas em eventos de auditoria em massa, consulte os dados de auditoria baixados.
A seleção do ícone de informações exibe mais detalhes sobre o evento de auditoria.
À medida que você revisa os eventos de auditoria, as colunas Categoria e Área podem ajudá-lo a filtrar e localizar tipos específicos de eventos. As tabelas a seguir listam as categorias e áreas, juntamente com suas descrições:
Lista de eventos
Esforçamo-nos para adicionar novos eventos de auditoria mensalmente. Se houver um evento que tu gostarias de ver acompanhado e que não esteja disponível no momento, partilha a tua sugestão connosco na Comunidade de Desenvolvedores .
Para obter uma lista abrangente de todos os eventos que podem ser emitidos por meio do recurso Auditoria, consulte a Lista de eventos de auditoria.
Nota
Quer descobrir quais áreas de eventos sua organização registra? Certifique-se de conferir a API de Consulta do Log de Auditoria: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, substituindo {YOUR_ORGANIZATION} pelo nome da sua organização. Essa API retorna uma lista de todos os eventos (ou ações) de auditoria que sua organização pode emitir.
Filtrar o log de auditoria por data e hora
Na interface do usuário de auditoria atual, você pode filtrar eventos somente por data ou intervalo de tempo.
Para restringir os eventos de auditoria visíveis, selecione o filtro de tempo.
Use os filtros para selecionar qualquer intervalo de tempo nos últimos 90 dias e definir o escopo até o minuto.
Selecione Aplicar no seletor de intervalo de tempo para iniciar a pesquisa. Por padrão, os 200 principais resultados retornam para essa seleção temporal. Se houver mais resultados, você pode rolar para baixo para carregar mais entradas na página.
Exportar eventos de auditoria
Para realizar uma pesquisa mais detalhada nos dados de auditoria ou armazenar dados por mais de 90 dias, exporte os eventos de auditoria existentes. Você pode armazenar os dados exportados em outro local ou serviço.
Para exportar eventos de auditoria, selecione o botão Download . Você pode optar por baixar os dados como um arquivo CSV ou JSON.
O download inclui eventos com base no intervalo de tempo selecionado no filtro. Por exemplo, se você selecionar um dia, obterá um dia de dados. Para obter todos os 90 dias, selecione 90 dias no filtro de intervalo de tempo e inicie o download.
Nota
Para armazenamento e análise de longo prazo dos seus eventos de auditoria, considere usar a funcionalidade de Streaming de Auditoria para enviar os eventos para uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM). Recomendamos exportar os logs de auditoria para análise superficial de dados.
- Para filtrar dados além do intervalo de data/hora, baixe logs como arquivos CSV e importe-os para o Microsoft Excel ou outros analisadores CSV para filtrar as colunas Área e Categoria.
- Para analisar conjuntos de dados maiores, faça o upload de eventos de auditoria exportados para uma ferramenta de Gestão de Incidentes e Eventos de Segurança (SIEM) usando a função Audit Streaming. As ferramentas SIEM permitem reter mais de 90 dias de eventos, realizar pesquisas, gerar relatórios e configurar alertas com base em eventos de auditoria.
Limitações
As seguintes limitações aplicam-se ao que pode ser auditado:
-
Alterações de associação de grupo do Microsoft Entra: os Registos de Auditoria incluem atualizações em grupos do Azure DevOps e associação de membros em grupos, quando uma Área de evento é
Groups. No entanto, se você gerenciar a associação por meio de grupos do Microsoft Entra, as adições e remoções de usuários desses grupos do Microsoft Entra não serão incluídas nesses logs. Revise os logs de auditoria do Microsoft Entra para ver quando um usuário ou grupo foi adicionado ou removido de um grupo do Microsoft Entra. - Eventos de início de sessão: O Azure DevOps não rastreia eventos de início de sessão. Para fazer uma revisão dos eventos de início de sessão no seu Microsoft Entra ID, consulte os registos de auditoria do Microsoft Entra.
-
Adições indiretas de usuários: em alguns casos, os usuários podem ser adicionados à sua organização indiretamente e exibidos no log de auditoria adicionado pelos Serviços de DevOps do Azure. Por exemplo, se um usuário for atribuído a um item de trabalho, ele poderá ser adicionado automaticamente à organização. Enquanto um evento de auditoria é gerado para o usuário que está sendo adicionado, não há um evento de auditoria correspondente para a atribuição de item de trabalho que disparou a adição do usuário. Para rastrear esses eventos, considere as seguintes ações:
- Revise seu histórico de itens de trabalho para ver os carimbos de data/hora correspondentes para ver se esse usuário foi atribuído a algum item de trabalho.
- Verifique o log de auditoria para quaisquer eventos relacionados que possam fornecer contexto.
Perguntas mais frequentes
P: O que é o grupo DirectoryServiceAddMember e por que ele está aparecendo no log de auditoria?
R: O DirectoryServiceAddMember grupo ajuda a gerir os membros na sua organização. Muitas ações do sistema, do usuário e administrativas podem afetar a associação a esse grupo de sistemas. Como esse grupo é usado apenas para processos internos, você pode desconsiderar entradas de log de auditoria que capturam alterações de associação para esse grupo.