Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Azure DevOps Serviços
Nota
A funcionalidade de auditoria está atualmente em pré-visualização pública.
Acompanhar as atividades no seu ambiente Azure DevOps é crucial para a segurança e conformidade. A auditoria ajuda você a monitorar e registrar essas atividades, proporcionando transparência e prestação de contas. Este artigo explica as funcionalidades de auditoria e mostra como configurá-las e utilizá-las de forma eficaz.
Importante
A auditoria está disponível apenas para organizações apoiadas pelo Microsoft Entra ID. Para mais informações, consulte Ligue a sua organização ao Microsoft Entra ID.
As alterações de auditoria ocorrem sempre que uma identidade de utilizador ou de serviço dentro da organização edita o estado de um artefacto. Os eventos que podem ser registrados incluem:
- Alterações de permissões
- Recursos excluídos
- Alterações na política de sucursais
- Registo de acessos e downloads
- Muitos outros tipos de alterações
Estes registos fornecem um registo abrangente das atividades, ajudando-o a monitorizar e gerir a segurança e conformidade da sua organização Azure DevOps.
Os eventos de auditoria são armazenados por 90 dias antes de serem excluídos. Para reter os dados por mais tempo, você pode fazer backup de eventos de auditoria em um local externo.
A auditoria não está disponível para implementações on-premises do Azure DevOps. No entanto, pode ligar um fluxo de Auditorias de uma instância do Azure DevOps Services a uma instância em servidores locais ou baseada na nuvem do Splunk. Certifique-se de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.
Sugestão
Pode usar IA para ajudar nesta tarefa mais adiante neste artigo, ou consultar Enable AI assistance with Azure DevOps MCP Server para começar.
Pré-requisitos
A auditoria está desativada por defeito para todas as organizações de Azure DevOps Services. Certifique-se de que apenas o pessoal autorizado tenha acesso a informações confidenciais de auditoria.
Nota
Se o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos estiver habilitado para a organização, os usuários do grupo Usuários com Escopo de Projeto não poderão exibir Auditoria e terão visibilidade limitada nas páginas de Configurações da Organização. Para obter mais informações e detalhes importantes relacionados à segurança, consulte Limitar a visibilidade do usuário para projetos e muito mais.
Habilitar e desabilitar a auditoria
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Configurações da organização.Selecione Políticas no cabeçalho Segurança.
Alterar o botão Log de Eventos de Auditoria para LIGADO.
A auditoria está habilitada para a organização. Atualize a página para ver a opção Auditoria aparecer na barra lateral. Os eventos de auditoria começam a aparecer nos Registos de Auditoria e através de quaisquer fluxos de auditoria configurados.
Se já não quiser receber eventos de Auditoria, mude o botão Ativar Auditoria para DESLIGADO. Esta ação remove a página de Auditoria da barra lateral e torna a página dos Registos de Auditoria indisponível. Todos os fluxos de auditoria param de receber eventos.
Auditoria de acesso
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Configurações da organização.
Selecione Auditoria.
Se não vir Auditoria nas definições da Organização, então não tem acesso para ver os eventos de auditoria. O grupo Administradores de Coleção de Projetos pode conceder permissões a outros usuários e grupos para que eles possam exibir as páginas de auditoria. Para o fazer, selecione Permissões e depois encontre o grupo ou utilizadores a quem fornecer acesso de auditoria.
Defina o registo de auditoria da Vista para Permitir, e depois selecione Guardar alterações.
Os utilizadores ou membros do grupo têm agora acesso para visualizar os eventos de auditoria da sua organização.
Rever o log de auditoria
A página Auditoria fornece uma visão simples dos eventos de auditoria registrados para sua organização. Veja a seguinte descrição da informação visível na página de auditoria:
Informações e detalhes do evento de auditoria
| Informação | Detalhes |
|---|---|
| Ator | Nome da pessoa que acionou o evento de auditoria. |
| IP | Endereço IP da pessoa que acionou o evento de auditoria. |
| Carimbo de data e hora | Hora durante a qual o evento acionado ocorreu. A hora está localizada no seu fuso horário. |
| Área | Área do produto no Azure DevOps onde o evento ocorreu. |
| Categoria | Descrição do tipo de ação que ocorreu (por exemplo, modificar, renomear, criar, excluir, remover, executar e acessar o evento). |
| Detalhes | Breve descrição do que aconteceu durante o evento. |
Cada evento de auditoria também regista informações adicionais em relação ao que é visível na página de auditoria. Essas informações incluem o mecanismo de autenticação, uma ID de correlação para vincular eventos semelhantes, agente de usuário e mais dados, dependendo do tipo de evento de auditoria. Só pode visualizar esta informação exportando os eventos de auditoria via CSV ou JSON.
ID e ID de correlação
Cada evento de auditoria tem identificadores únicos chamados o ID e o CorrelationID. O ID de correlação é útil para localizar eventos de auditoria relacionados. Por exemplo, a criação de um projeto pode gerar várias dúzias de eventos de auditoria, todos vinculados pela mesma ID de correlação.
Quando uma ID de evento de auditoria corresponde à sua ID de correlação, ela indica que o evento de auditoria é o evento pai ou original. Para ver apenas eventos originários, procure eventos onde o ID é igual ao Correlation ID. Se você quiser investigar um evento e seus eventos relacionados, procure todos os eventos com uma ID de correlação que corresponda à ID do evento de origem. Nem todos os eventos têm eventos relacionados.
Eventos em massa
Alguns eventos de auditoria, conhecidos como "eventos de auditoria em massa", podem conter várias ações que ocorreram simultaneamente. Pode identificar estes eventos pelo ícone de Informação no extremo direito do evento. Para exibir detalhes individuais das ações incluídas em eventos de auditoria em massa, consulte os dados de auditoria baixados.
A seleção do ícone de informações exibe mais detalhes sobre o evento de auditoria.
À medida que revê os eventos de auditoria, as colunas Categoria e Área podem ajudá-lo a filtrar e encontrar tipos específicos de eventos. As tabelas a seguir listam as categorias e áreas, juntamente com suas descrições:
Lista de eventos
A equipa de produto esforça-se por adicionar novos eventos de auditoria mensalmente. Se houver algum evento que gostarias de ver acompanhado e que não esteja disponível neste momento, partilha a tua sugestão com eles no Developer Community.
Para uma lista abrangente de todos os eventos que podem ser emitidos através da funcionalidade de Auditoria, consulte a Lista de Eventos de Auditoria.
Nota
Quer descobrir quais áreas de eventos sua organização registra? Consulte a API de Consulta de Registos de Auditoria: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions. Substitua {YOUR_ORGANIZATION} pelo nome da sua organização. Esta API devolve uma lista de todos os eventos de auditoria (ou ações) que a sua organização pode emitir.
Filtrar o log de auditoria por data e hora
Na interface do usuário de auditoria atual, você pode filtrar eventos somente por data ou intervalo de tempo.
Para restringir os eventos de auditoria visíveis, selecione o filtro de tempo.
Use os filtros para selecionar qualquer intervalo de tempo nos últimos 90 dias e definir o escopo até o minuto.
Selecione Aplicar no seletor de intervalos de tempo para iniciar a pesquisa. Por padrão, os 200 principais resultados retornam para essa seleção temporal. Se houver mais resultados, você pode rolar para baixo para carregar mais entradas na página.
Exportar eventos de auditoria
Para realizar uma pesquisa mais detalhada nos dados de auditoria ou armazenar dados por mais de 90 dias, exporte os eventos de auditoria existentes. Você pode armazenar os dados exportados em outro local ou serviço.
Para exportar eventos de auditoria, selecione o botão Download . Você pode optar por baixar os dados como um arquivo CSV ou JSON.
O download inclui eventos com base no intervalo de tempo selecionado no filtro. Por exemplo, se você selecionar um dia, obterá um dia de dados. Para obter todos os 90 dias, selecione 90 dias no filtro de intervalo temporal e depois inicie o download.
Nota
Para armazenamento e análise a longo prazo dos seus eventos de auditoria, considere usar a funcionalidade Audit Streaming para enviar os seus eventos para uma ferramenta de Gestão de Informação e Eventos de Segurança (SIEM). Recomendamos exportar os logs de auditoria para análise superficial de dados.
- Para filtrar dados para além do intervalo de data e hora, descarregue registos como ficheiros CSV e importe-os para o Microsoft Excel ou outros parsers CSV para filtrar as colunas Área e Categoria.
- Para analisar conjuntos de dados maiores, carregue eventos de auditoria exportados para uma ferramenta de Gestão de Incidentes e Eventos de Segurança (SIEM) utilizando a função Audit Streaming. As ferramentas SIEM permitem reter mais de 90 dias de eventos, realizar pesquisas, gerar relatórios e configurar alertas com base em eventos de auditoria.
Limitações
As seguintes limitações aplicam-se ao que o sistema pode auditar:
-
Mudanças na adesão a grupos Microsoft Entra: Os registos de auditoria incluem atualizações aos grupos do Azure DevOps e à pertença a grupos quando um evento
Areaé registadoGroups. No entanto, se gerir a adesão através dos grupos Microsoft Entra, esses registos não incluem adições e remoções de utilizadores desses grupos Microsoft Entra. Consulte os registos de auditoria da Microsoft Entra para ver quando um utilizador ou grupo foi adicionado ou removido de um grupo Microsoft Entra. - Eventos de entrada: Azure DevOps não regista os eventos de iniciação. Para rever os eventos de início de sessão no seu Microsoft Entra ID, consulte os registos de auditoria do Microsoft Entra.
-
Adições indiretas de utilizadores: Em alguns casos, os utilizadores são adicionados indiretamente à sua organização e aparecem no registo de auditoria como adicionados pela Azure DevOps Services. Por exemplo, se atribuir um utilizador a um item de trabalho, pode adicioná-lo automaticamente à organização. Embora seja gerado um evento de auditoria para o utilizador a ser adicionado, não existe um evento de auditoria correspondente para a atribuição do item de trabalho que desencadeou a adição do utilizador. Para rastrear esses eventos, considere as seguintes ações:
- Revise seu histórico de itens de trabalho para ver os carimbos de data/hora correspondentes para ver se esse usuário foi atribuído a algum item de trabalho.
- Verifique o log de auditoria para quaisquer eventos relacionados que possam fornecer contexto.
Perguntas mais frequentes
P: O que é o grupo DirectoryServiceAddMember e por que ele está aparecendo no log de auditoria?
R: O DirectoryServiceAddMember grupo ajuda a gerir a adesão à sua organização. Muitas ações do sistema, do usuário e administrativas podem afetar a associação a esse grupo de sistemas. Como esse grupo é usado apenas para processos internos, você pode desconsiderar entradas de log de auditoria que capturam alterações de associação para esse grupo.
Usar IA para consultar e analisar registos de auditoria
Se configurar o Azure DevOps MCP Server, pode usar assistentes de IA para consultar e analisar eventos de auditoria usando prompts em linguagem natural. O MCP Server fornece ao seu assistente de IA acesso seguro aos seus dados do Azure DevOps, para que possa investigar atividades, acompanhar alterações e identificar preocupações de segurança sem ter de filtrar manualmente as exportações dos registos de auditoria.
Exemplos de sugestões para análise de registos de auditoria
| Tarefa | Exemplo de prompt |
|---|---|
| Investigar alterações de permissões | Show me all permission changes in <organization-name> over the last 7 days, including who made the change and what was modified |
| Acompanhar a atividade do utilizador após o incidente | Find all audit events for <user-email> in <organization-name> from the last 48 hours, grouped by action category |
| Detetar deleções invulgares | List all resource deletions in <organization-name> in the past 30 days, including repos, pipelines, and projects, and who performed each deletion |
| Auditoria de eventos PAT e tokens | Show me all PAT creation, modification, and revocation events in <organization-name> this month and flag any full-scope tokens that were created |
| Rever as modificações às políticas | What security policy or organization setting changes were made in <organization-name> in the last 14 days and by whom? |
| Verificação pontual de conformidade | Generate a summary of audit activity in <organization-name> for the last 90 days, grouped by category - permissions, groups, policy changes, and resource modifications |
Sugestão
Se estiver a usar Visual Studio Code, modo agente é especialmente útil para correlacionar eventos de auditoria em várias categorias para investigar incidentes de segurança.
- Para evitar usar dados obsoletos ou em cache de consultas anteriores, adicione ao seu prompt,
Do not use previously fetched data.