Aceder, exportar e filtrar registos de auditoria

Serviços de DevOps do Azure

Nota

A auditoria ainda está em fase de pré-visualização pública.

Acompanhar as atividades em seu ambiente de DevOps do Azure é crucial para a segurança e a conformidade. A auditoria ajuda você a monitorar e registrar essas atividades, proporcionando transparência e prestação de contas. Este artigo explica os recursos de auditoria e mostra como configurá-lo e usá-lo de forma eficaz.

Importante

A auditoria só está disponível para organizações apoiadas pelo Microsoft Entra ID. Para obter mais informações, consulte Conectar sua organização ao Microsoft Entra ID.

As alterações de auditoria ocorrem sempre que uma identidade de usuário ou serviço dentro da organização edita o estado de um artefato. Os eventos que podem ser registrados incluem:

  • Alterações de permissões
  • Recursos excluídos
  • Alterações na política de sucursais
  • Acesso e downloads de logs
  • Muitos outros tipos de alterações

Esses logs fornecem um registro abrangente de atividades, ajudando você a monitorar e gerenciar a segurança e a conformidade de sua organização do Azure DevOps.

Os eventos de auditoria são armazenados por 90 dias antes de serem excluídos. Para reter os dados por mais tempo, você pode fazer backup de eventos de auditoria em um local externo.

Nota

A auditoria não está disponível para implantações locais do Azure DevOps Server. No entanto, você pode conectar um fluxo de Auditoria de uma instância dos Serviços de DevOps do Azure a uma instância local ou baseada em nuvem do Splunk. Certifique-se de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.

Pré-requisitos

A auditoria está desativada por padrão para todas as organizações dos Serviços de DevOps do Azure. Certifique-se de que apenas o pessoal autorizado tenha acesso a informações confidenciais de auditoria.

Permissões: seja membro do grupo Administradores de Coleção de Projetos (PCA) (os proprietários da organização são automaticamente membros desse grupo) ou tenha as seguintes permissões de auditoria por usuário ou grupo:

  • Gerenciar fluxos de auditoria
  • Ver registo de auditoria

A captura de tela mostra as permissões de auditoria de configurações para Permitir.

Os PCAs podem conceder essas permissões a quaisquer usuários ou grupos para gerenciar fluxos da organização por meio das Permissões de segurança > das configurações>da organização. Os PCAs também podem atribuir a permissão Excluir fluxos de auditoria.

Nota

Se o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos estiver habilitado para a organização, os usuários do grupo Usuários com escopo do projeto não poderão exibir Auditoria e terão visibilidade limitada para as páginas de configurações da organização. Para obter mais informações e detalhes importantes relacionados à segurança, consulte Limitar a visibilidade do usuário para projetos e muito mais.

Habilitar e desabilitar a auditoria

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Políticas sob o cabeçalho Segurança .

  4. Mude o botão Registrar eventos de auditoria para ATIVADO.

    Captura de ecrã da política de auditoria ativada.

    A auditoria está habilitada para a organização. Atualize a página para ver Auditoria aparecer na barra lateral. Os eventos de auditoria começam a aparecer nos Logs de Auditoria e por meio de quaisquer fluxos de auditoria configurados.

  5. Se não quiser mais receber eventos de Auditoria, alterne o botão Habilitar Auditoria para DESATIVADO. Esta ação remove a página Auditoria da barra lateral e torna a página Logs de Auditoria indisponível. Todos os fluxos de auditoria param de receber eventos.

Auditoria de acesso

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de ecrã a mostrar o botão Definições da organização realçado.

  3. Selecione Auditoria.

    Página de pré-visualização da auditoria

  4. Se você não vir Auditoria nas configurações da organização, não terá acesso para exibir eventos de auditoria. O grupo Administradores de Coleção de Projetos pode conceder permissões a outros usuários e grupos para que eles possam exibir as páginas de auditoria. Para fazer isso, selecione Permissões e localize o grupo ou usuários aos quais fornecer acesso de auditoria.

    Captura de ecrã do separador Permissões realçado.

  5. Defina Exibir log de auditoria como permitir e selecione Salvar alterações.

    Captura de ecrã da pré-visualização da permissão de acesso de Auditoria.

    Os membros do usuário ou grupo têm acesso para exibir os eventos de auditoria da sua organização.

Rever o registo de auditoria

A página Auditoria fornece uma visão simples dos eventos de auditoria registrados para sua organização. Consulte a seguinte descrição das informações visíveis na página de auditoria:

Informações e detalhes do evento de auditoria

Informação Detalhes
Ator Nome a apresentar da pessoa que acionou o evento de auditoria.
IP Endereço IP da pessoa que acionou o evento de auditoria.
Carimbo de Data/Hora Hora durante a qual o evento acionado ocorreu. A hora aparedce no fuso horário selecionado.
Área Área de produtos no Azure DevOps onde ocorreu o evento.
Categoria Descrição do tipo de ação que ocorreu (por exemplo, modificar, renomear, criar, excluir, remover, executar e acessar o evento).
Detalhes Breve descrição do que aconteceu durante o evento.

Cada evento de auditoria também regista informações adicionais para o que é visível na página de auditoria. Essas informações incluem o mecanismo de autenticação, uma ID de correlação para vincular eventos semelhantes, agente de usuário e mais dados, dependendo do tipo de evento de auditoria. Estas informações só podem ser vistas ao exportar os eventos de auditoria através de CSV ou JSON.

ID & ID de correlação

Cada evento de auditoria tem identificadores exclusivos chamados de ID e CorrelationID. O ID de correlação é útil para localizar eventos de auditoria relacionados. Por exemplo, a criação de um projeto pode gerar várias dúzias de eventos de auditoria, todos vinculados pela mesma ID de correlação.

Quando uma ID de evento de auditoria corresponde à sua ID de correlação, ela indica que o evento de auditoria é o evento pai ou original. Para ver apenas eventos de origem, procure eventos em que o ID é igual a Correlation ID. Se você quiser investigar um evento e seus eventos relacionados, procure todos os eventos com uma ID de correlação que corresponda à ID do evento de origem. Nem todos os eventos têm eventos relacionados.

Eventos em massa

Alguns eventos de auditoria, conhecidos como "eventos de auditoria em massa", podem conter várias ações que ocorreram simultaneamente. Pode identificar estes eventos através do ícone "Informação" na extremidade direita do evento. Para exibir detalhes individuais das ações incluídas em eventos de auditoria em massa, consulte os dados de auditoria baixados.

A captura de tela mostra o ícone de auditoria de mais informações.

A seleção do ícone de informações exibe mais detalhes sobre o evento de auditoria.

À medida que você revisa os eventos de auditoria, as colunas Categoria e Área podem ajudá-lo a filtrar e localizar tipos específicos de eventos. As tabelas a seguir listam as categorias e áreas, juntamente com suas descrições:

Lista de eventos

Esforçamo-nos para adicionar novos eventos de auditoria mensalmente. Se houver um evento que você gostaria de ver rastreado que não esteja disponível no momento, compartilhe sua sugestão conosco na Comunidade de desenvolvedores.

Para obter uma lista abrangente de todos os eventos que podem ser emitidos por meio do recurso Auditoria, consulte a Lista de eventos de auditoria.

Nota

Quer descobrir quais áreas de eventos sua organização registra? Certifique-se de verificar a API de Consulta de Log de Auditoria: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, substituindo {YOUR_ORGANIZATION} pelo nome da sua organização. Essa API retorna uma lista de todos os eventos (ou ações) de auditoria que sua organização pode emitir.

Filtrar o log de auditoria por data e hora

Na interface do usuário de auditoria atual, você pode filtrar eventos somente por data ou intervalo de tempo.

  1. Para restringir os eventos de auditoria visíveis, selecione o filtro de tempo.

    A captura de tela mostra o filtro de entrada de auditoria por data e hora.

  2. Use os filtros para selecionar qualquer intervalo de tempo nos últimos 90 dias e definir o escopo até o minuto.

  3. Selecione Aplicar no seletor de intervalo de tempo para iniciar a pesquisa. Por padrão, os 200 melhores resultados retornam para essa seleção de tempo. Se houver mais resultados, você pode rolar para baixo para carregar mais entradas na página.

Exportar eventos de auditoria

Para realizar uma pesquisa mais detalhada nos dados de auditoria ou armazenar dados por mais de 90 dias, exporte os eventos de auditoria existentes. Você pode armazenar os dados exportados em outro local ou serviço.

Para exportar eventos de auditoria, selecione o botão Download . Você pode optar por baixar os dados como um arquivo CSV ou JSON.

O download inclui eventos com base no intervalo de tempo selecionado no filtro. Por exemplo, se você selecionar um dia, obterá um dia de dados. Para obter todos os 90 dias, selecione 90 dias no filtro de intervalo de tempo e inicie o download.

Nota

Para armazenamento e análise de longo prazo de seus eventos de auditoria, considere usar o recurso Streaming de auditoria para enviar seus eventos para uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM). Recomendamos exportar os logs de auditoria para análise superficial de dados.

  • Para filtrar dados além do intervalo de data/hora, baixe logs como arquivos CSV e importe-os para o Microsoft Excel ou outros analisadores CSV para filtrar as colunas Área e Categoria.
  • Para analisar conjuntos de dados maiores, carregue eventos de auditoria exportados em uma ferramenta de Gerenciamento de Incidentes e Eventos de Segurança (SIEM) usando a função Streaming de Auditoria. As ferramentas SIEM permitem reter mais de 90 dias de eventos, realizar pesquisas, gerar relatórios e configurar alertas com base em eventos de auditoria.

Limitações

As seguintes limitações aplicam-se ao que pode ser auditado:

  • Alterações de associação de grupo do Microsoft Entra: os Logs de Auditoria incluem atualizações para grupos de DevOps do Azure e associação a grupos, quando uma Área de evento é Groups. No entanto, se você gerenciar a associação por meio de grupos do Microsoft Entra, as adições e remoções de usuários desses grupos do Microsoft Entra não serão incluídas nesses logs. Revise os logs de auditoria do Microsoft Entra para ver quando um usuário ou grupo foi adicionado ou removido de um grupo do Microsoft Entra.
  • Eventos de entrada: o Azure DevOps não rastreia eventos de entrada. Para rever os eventos de início de sessão no seu ID do Microsoft Entra, consulte os registos de auditoria do Microsoft Entra.
  • Adições indiretas de usuários: em alguns casos, os usuários podem ser adicionados à sua organização indiretamente e exibidos no log de auditoria adicionado pelos Serviços de DevOps do Azure. Por exemplo, se um usuário for atribuído a um item de trabalho, ele poderá ser adicionado automaticamente à organização. Enquanto um evento de auditoria é gerado para o usuário que está sendo adicionado, não há um evento de auditoria correspondente para a atribuição de item de trabalho que disparou a adição do usuário. Para rastrear esses eventos, considere as seguintes ações:
    • Revise seu histórico de itens de trabalho para ver os carimbos de data/hora correspondentes para ver se esse usuário foi atribuído a algum item de trabalho.
    • Verifique o log de auditoria para quaisquer eventos relacionados que possam fornecer contexto.

Perguntas mais frequentes

P: O que é o grupo DirectoryServiceAddMember e por que ele está aparecendo no log de auditoria?

R: O DirectoryServiceAddMember grupo ajuda a gerir a associação na sua organização. Muitas ações do sistema, do usuário e administrativas podem afetar a associação a esse grupo de sistemas. Como esse grupo é usado apenas para processos internos, você pode desconsiderar entradas de log de auditoria que capturam alterações de associação para esse grupo.