Доступ, экспорт и фильтрация журналов аудита

Azure DevOps Services

Примечание.

Аудит по-прежнему находится в общедоступной предварительной версии.

Отслеживание действий в среде Azure DevOps имеет решающее значение для обеспечения безопасности и соответствия требованиям. Аудит помогает отслеживать и записывать эти действия, обеспечивая прозрачность и подотчетность. В этой статье описываются функции аудита и показано, как настроить его и эффективно использовать.

Внимание

Аудит доступен только для организаций, поддерживаемых идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Подключение организации к идентификатору Microsoft Entra".

Аудит изменений происходит всякий раз, когда удостоверение пользователя или службы в организации изменяет состояние артефакта. События, которые могут быть зарегистрированы в журнале, включают:

  • Изменения разрешений
  • Удаленные ресурсы
  • Изменения политики ветви
  • Доступ к журналам и скачивание
  • Многие другие типы изменений

Эти журналы предоставляют исчерпывающую запись действий, помогая отслеживать безопасность и соответствие вашей организации Azure DevOps и управлять ими.

События аудита хранятся в течение 90 дней до их удаления. Чтобы сохранить данные дольше, можно создать резервную копию событий аудита во внешнем расположении.

Примечание.

Аудит недоступен для локальных развертываний Azure DevOps Server. Однако вы можете подключить поток аудита из экземпляра Azure DevOps Services к локальному или облачному экземпляру Splunk. Убедитесь, что вы разрешаете диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.

Необходимые компоненты

Аудит отключен по умолчанию для всех организаций Azure DevOps Services.

Разрешения:

  • Чтобы включить аудит, будьте членом группы "Администраторы коллекции проектов". Владельцы организации автоматически входят в эту группу.
  • Предоставьте определенным разрешениям аудита любой группе с помощью страницы "Разрешения безопасности>" в параметрах организации. Это действие позволяет гибко управлять журналами аудита и управлять ими, гарантируя, что только авторизованный персонал имеет доступ к конфиденциальной информации аудита.

Примечание.

Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами", пользователи в группе "Пользователи с областью проекта" не могут просматривать аудит и иметь ограниченную видимость страниц параметров организации. Дополнительные сведения и важные сведения о безопасности см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.

Включение и отключение аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

  3. Выберите политики в заголовке "Безопасность ".

  4. Переключите кнопку "События аудита журнала" на ON.

    Снимок экрана: включена политика аудита.

    Аудит включен для организации. Обновите страницу, чтобы увидеть, что аудит отображается на боковой панели. События аудита начинают отображаться в журналах аудита и с помощью любых настроенных потоков аудита.

  5. Если вы больше не хотите получать события аудита, переключите кнопку "Включить аудит " на OFF. Это действие удаляет страницу аудита с боковой панели и делает страницу журналов аудита недоступной. Все потоки аудита перестают получать события.

Доступ к данным аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

    Снимок экрана: выделенная кнопка

  3. Выберите "Аудит".

    Страница

  4. Если аудит не отображается в параметрах организации, у вас нет доступа к просмотру событий аудита. Группа администраторов коллекции проектов может предоставлять разрешения другим пользователям и группам, чтобы они могли просматривать страницы аудита. Для этого выберите "Разрешения", а затем найдите группу или пользователей, чтобы предоставить доступ к аудиту.

    Снимок экрана: выделенная вкладка

  5. Задайте для параметра "Просмотр журнала аудита", чтобы разрешить, а затем нажмите кнопку "Сохранить изменения".

    Снимок экрана: предварительная версия разрешений на аудит доступа.

    Пользователи или члены группы имеют доступ к просмотру событий аудита организации.

Проверка журнала аудита

Страница аудита предоставляет простое представление о событиях аудита, записанных для вашей организации. См. следующее описание информации, видимой на странице аудита:

Аудит сведений и сведений о событии

Информация Сведения
Субъект Отображает имя пользователя, активировавшее событие аудита.
IP-адрес IP-адрес пользователя, активировавший событие аудита.
Отметка времени Время, когда произошло активированное событие. Время локализуется в соответствующем часовом поясе.
Область Область продукта в Azure DevOps, где произошло событие.
Категория Описание типа действия, которое произошло (например, изменение, переименование, создание, удаление, удаление, выполнение и получение доступа).
Сведения Краткое описание того, что произошло во время события.

Каждое событие аудита также записывает дополнительные сведения о доступных для просмотра данных на странице аудита. Эти сведения включают механизм проверки подлинности, идентификатор корреляции для связывания аналогичных событий, агента пользователя и дополнительных данных в зависимости от типа события аудита. Их можно просмотреть только путем экспорта событий аудита с помощью CSV или JSON.

Идентификатор и идентификатор корреляции

Каждое событие аудита имеет уникальные идентификаторы, называемые ID и CorrelationID. Идентификатор корреляции полезен для поиска связанных событий аудита. Например, создание проекта может создавать несколько десятков событий аудита, все связанные с тем же идентификатором корреляции.

Если идентификатор события аудита соответствует идентификатору корреляции, он указывает, что событие аудита является родительским или исходным событием. Чтобы просмотреть только исходящие события, найдите события, в которых ID равно Correlation ID. Если вы хотите исследовать событие и связанные с ним события, просмотрите все события с идентификатором корреляции, соответствующим идентификатору исходного события. Не все события имеют связанные события.

Массовые события

Некоторые события аудита, известные как "события массового аудита", могут содержать несколько действий, которые выполнялись одновременно. Эти события можно определить по значку сведений справа от события. Чтобы просмотреть отдельные сведения о действиях, включенных в события массового аудита, обратитесь к скачанным данным аудита.

Снимок экрана: значок аудита дополнительных сведений.

При выборе значка сведений отображаются дополнительные сведения о событии аудита.

При просмотре событий аудита столбцы категории и области помогают фильтровать и находить определенные типы событий. В следующих таблицах перечислены категории и области, а также их описания:

Список событий

Мы стремимся добавить новые события аудита ежемесячно. Если вы хотите увидеть отслеживаемое событие, которое в настоящее время недоступно, поделитесь своим предложением с нами в Сообщество разработчиков.

Полный список всех событий, которые можно создать с помощью функции аудита, см. в списке событий аудита.

Примечание.

Хотите узнать, какие области событий регистрирует ваша организация? Обязательно ознакомьтесь с API запросов журнала аудита: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsзаменяя {YOUR_ORGANIZATION} именем вашей организации. Этот API возвращает список всех событий аудита (или действий) вашей организации.

Фильтрация журнала аудита по дате и времени

В текущем пользовательском интерфейсе аудита можно фильтровать события только по диапазону даты или времени.

  1. Чтобы сузить доступные для просмотра события аудита, выберите фильтр времени.

    Снимок экрана: фильтр записи аудита по дате и времени.

  2. Используйте фильтры, чтобы выбрать диапазон времени за последние 90 дней и ограничить его до минуты. Выбрав диапазон времени, c

  3. Нажмите кнопку "Применить " в селекторе диапазона времени, чтобы начать поиск. По умолчанию первые 200 результатов возвращаются для этого времени. Если есть дополнительные результаты, можно прокрутить вниз, чтобы загрузить дополнительные записи на страницу.

Экспорт событий аудита

Чтобы выполнить более подробный поиск по данным аудита или хранить данные более 90 дней, экспортируйте существующие события аудита. Экспортированные данные можно хранить в другом расположении или службе.

Чтобы экспортировать события аудита, нажмите кнопку "Скачать ". Вы можете скачать данные в виде CSV-файла или JSON.

Скачивание включает события на основе диапазона времени, выбранного в фильтре. Например, если вы выберете один день, вы получите один день стоит данных. Чтобы получить все 90 дней, выберите 90 дней из фильтра диапазона времени и запустите скачивание.

Примечание.

Для долгосрочного хранения и анализа событий аудита рекомендуется использовать функцию потоковой передачи аудита для отправки событий в средство управления сведениями и событиями безопасности (SIEM). Мы рекомендуем экспортировать журналы аудита для анализа курсорных данных.

  • Чтобы отфильтровать данные за пределами диапазона даты и времени, скачайте журналы в виде CSV-файлов и импортируйте их в Microsoft Excel или другие средства синтаксического анализа CSV, чтобы отфильтровать столбцы "Область" и "Категория".
  • Чтобы проанализировать более крупные наборы данных, отправьте экспортированные события аудита в средство управления инцидентами безопасности и событиями (SIEM) с помощью функции потоковой передачи аудита. Средства SIEM позволяют хранить более 90 дней событий, выполнять поиск, создавать отчеты и настраивать оповещения на основе событий аудита.

Ограничения

Следующие ограничения применяются к тому, что можно проверить.

  • Изменения членства в группах Microsoft Entra: журналы аудита включают обновления для групп Azure DevOps и членства в группах, если это Groupsобласть событий. Однако если вы управляете членством с помощью групп Microsoft Entra, добавления и удаления пользователей из этих групп Microsoft Entra не включены в эти журналы. Просмотрите журналы аудита Microsoft Entra, чтобы узнать, когда пользователь или группа были добавлены или удалены из группы Microsoft Entra.
  • События входа: Azure DevOps не отслеживает события входа. Чтобы просмотреть события входа в идентификатор Microsoft Entra, просмотрите журналы аудита Microsoft Entra.
  • Непрямые дополнения пользователей. В некоторых случаях пользователи могут добавляться в организацию косвенно и отображаться в журнале аудита как добавленные Azure DevOps Services. Например, если пользователю назначен рабочий элемент, он может автоматически добавляться в организацию. Хотя событие аудита создается для добавляемого пользователя, для назначения рабочего элемента не существует соответствующего события аудита, которое активировало добавление пользователя. Чтобы отслеживать эти события, рассмотрите следующие действия:
    • Просмотрите журнал рабочих элементов для соответствующих меток времени, чтобы узнать, назначен ли этот пользователь любому рабочему элементу.
    • Проверьте журнал аудита для любых связанных событий, которые могут предоставить контекст.

Часто задаваемые вопросы

Вопрос. Что такое группа DirectoryServiceAddMember и почему она отображается в журнале аудита?

Ответ. Группа DirectoryServiceAddMember помогает управлять членством в организации. Многие системные, пользовательские и административные действия могут повлиять на членство в этой системной группе. Так как эта группа используется только для внутренних процессов, можно игнорировать записи журнала аудита, которые фиксируют изменения членства в этой группе.