Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services
Hinweis
Das Audit befindet sich derzeit in der öffentlichen Vorschau.
Das Nachverfolgen von Aktivitäten in Ihrer Azure DevOps Umgebung ist für Sicherheit und Compliance von entscheidender Bedeutung. Prüfen hilft Ihnen bei der Überwachung und Protokollierung dieser Aktivitäten und sorgt für Transparenz und Verantwortlichkeit. In diesem Artikel werden die Überwachungsfeatures erläutert und erläutert, wie sie effektiv eingerichtet und verwendet werden können.
Wichtig
Die Überwachung ist nur für Organisationen verfügbar, die von Microsoft Entra ID unterstützt werden. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Microsoft Entra ID.
Überwachungsänderungen treten immer dann auf, wenn eine Benutzer- oder Dienstidentität innerhalb des organization den Status eines Artefakts bearbeitet. Zu den Ereignissen, die protokolliert werden können, gehören:
- Änderungen der Berechtigungen
- Gelöschte Ressourcen
- Änderungen der Branch Policy
- Protokollzugriff und Herunterladen
- Viele andere Arten von Änderungen
Diese Protokolle bieten einen umfassenden Überblick über Aktivitäten, die Ihnen helfen, die Sicherheit und Compliance Ihrer Azure DevOps Organisation zu überwachen und zu verwalten.
Prüfung-Ereignisse werden 90 Tage lang gespeichert, bevor sie gelöscht werden. Um die Daten länger aufzubewahren, können Sie die Prüfung-Ereignisse an einem externen Speicherort sichern.
Die Überwachung ist für lokale Bereitstellungen von Azure DevOps nicht verfügbar. Sie können jedoch einen Auditing-Stream von einer Azure DevOps Services-Instanz mit einer lokalen oder cloudbasierten Instanz von Splunk verbinden. Stellen Sie sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.
Tipp
Sie können KI verwenden, um diese Aufgabe zu unterstützen weiter unten in diesem Artikel, oder lesen Sie Enable AI-Unterstützung bei Azure DevOps MCP Server, um zu beginnen.
Voraussetzungen
Die Überwachung ist für alle Azure DevOps Services-Organisationen standardmäßig deaktiviert. Stellen Sie sicher, dass nur autorisiertes Personal Zugang zu sensiblen Prüfungsinformationen hat.
| Kategorie | Anforderungen |
|---|---|
| Erlaubnisse | Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. Oder die folgenden Überwachungsberechtigungen pro Benutzer oder Gruppe sind auf Zulassen festgelegt: – Verwalten von Auditprozessen - Überwachungsprotokoll anzeigen PCAs können diese Berechtigungen allen Benutzern oder Gruppen zum Verwalten von Organisationsdatenströmen erteilen, einschließlich Löschen von Überwachungsdatenströmen. |
Hinweis
Wenn die Grenzwerte für die Sichtbarkeit und Zusammenarbeit von Benutzern auf bestimmte Projekte beschränken Wenn die Vorschaufunktion für die Organisation aktiviert ist, können Benutzer im Benutzer im Reservierungsumfang des Projekts Gruppe kann nicht sehen Prüfen und haben begrenzte Sichtbarkeit auf Einstellungen der Organisation Seiten. Für weitere Informationen und wichtige sicherheitsrelevante Einzelheiten siehe Grenzwerte für die Benutzersichtbarkeit von Projekten und mehr.
Aktivieren und Deaktivieren der Überwachung
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen aus.Wählen Sie unter dem Header Sicherheit die Option Richtlinien aus.
Schalten Sie die Schaltfläche " Überwachungsereignisse protokollieren " auf "EIN".
Prüfen ist für die Organisation aktiviert. Aktualisieren Sie die Seite um zu sehen Prüfen erscheinen in der Seitenleiste. Prüfung-Ereignisse starten in den Prüfen-Protokollen und über alle konfigurierten Prüfung-Streams.
Wenn Sie überwachungsereignisse nicht mehr empfangen möchten, wechseln Sie zur Schaltfläche " Überwachung aktivieren " auf "AUS". Diese Aktion entfernt die Prüfen Die Seite Prüfen-Protokolle ist nicht mehr verfügbar. Alle Prüfung-Streams empfangen keine Ereignisse mehr.
Zugriffsüberwachung
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen aus.
Wählen Sie Überwachung aus.
Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, haben Sie keinen Zugriff auf die Anzeige von Überwachungsereignissen. Die Gruppe "Projektsammlungsadministratoren" kann anderen Benutzern und Gruppen Berechtigungen erteilen, damit sie die Überwachungsseiten anzeigen können. Wählen Sie hierzu Berechtigungen aus, und suchen Sie dann nach der Gruppe oder den Benutzern, auf die Bzw. die Überwachungszugriff gewährt werden soll.
Legen Sie Überwachungsprotokoll anzeigen auf Zulassen fest, und wählen Sie dann Änderungen speichern aus.
Die Benutzer- oder Gruppenmitglieder haben jetzt Zugriff auf die Überwachungsereignisse Ihrer Organisation.
Überprüfen des Überwachungsprotokolls
Die Seite Überwachung bietet einen einfachen Überblick über die Überwachungsereignisse, die für Ihre organization aufgezeichnet wurden. Lesen Sie die folgende Beschreibung der Informationen, die auf der Überwachungsseite sichtbar sind:
Überwachungsereignisinformationen und -details
| Informationen | Details |
|---|---|
| Actor (Schauspieler) | Anzeigename der Person, die das Überwachungsereignis ausgelöst hat. |
| IP | IP-Adresse der Person, die das Überwachungsereignis ausgelöst hat. |
| Timestamp | Zeitpunkt, zu dem das ausgelöste Ereignis aufgetreten ist. Die Zeit wird Ihrer Zeitzone angepasst. |
| Bereich | Produktbereich in Azure DevOps, in dem das Ereignis aufgetreten ist. |
| Kategorie | Beschreibung des Typs der Aktion, die aufgetreten ist (z. B. Ändern, Umbenennen, Erstellen, Löschen, Entfernen, Ausführen und Zugriffsereignis). |
| Details | Kurze Beschreibung der Vorgänge während des Ereignisses. |
Jedes Überwachungsereignis zeichnet auch zusätzliche Informationen auf, die auf der Überwachungsseite zu sehen sind. Diese Informationen umfassen den Authentifizierungsmechanismus, eine Korrelations-ID zum Verknüpfen ähnlicher Ereignisse, den Benutzer-Agent und weitere Daten je nach Überwachungsereignistyp. Sie können diese Informationen nur anzeigen, indem Sie die Überwachungsereignisse über CSV oder JSON exportieren.
ID und Korrelations-ID
Jedes Prüfung-Ereignis hat eindeutige Identifikatoren, die ID und CorrelationID. Die Korrelations-ID ist nützlich, um verwandte Prüfungsereignisse zu finden. Beispielsweise kann die Erstellung eines Projekts mehrere Dutzend Prüfungsereignisse erzeugen, die alle mit derselben Korrelations-ID verknüpft sind.
Wenn eine Überwachungsereignis-ID mit ihrer Korrelations-ID übereinstimmt, gibt sie an, dass das Überwachungsereignis das übergeordnete oder ursprüngliche Ereignis ist. Um nur Ursprungsereignisse zu sehen, suchen Sie nach Ereignissen, bei denen das ID entspricht dem Correlation ID. Wenn Sie ein Ereignis und seine zugehörigen Ereignisse untersuchen möchten, suchen Sie nach allen Ereignissen mit einer Korrelations-ID, die mit der ID des Ursprungsereignisses übereinstimmt. Nicht alle Ereignisse weisen verwandte Ereignisse auf.
Massenereignisse
Einige Prüfung-Ereignisse, die so genannten "Massen-Prüfung-Ereignisse", können mehrere Aktionen enthalten, die gleichzeitig stattgefunden haben. Sie können diese Ereignisse anhand des Informationssymbols ganz rechts neben dem Ereignis identifizieren. Einzelne Einzelheiten zu den Aktionen, die in den Massen-Prüfung-Ereignissen enthalten sind, können Sie den heruntergeladenen Prüfung-Daten entnehmen.
Wenn Sie das Informationssymbol auswählen, werden weitere Einzelheiten zum Prüfung-Ereignis angezeigt.
Während Sie die Prüfung-Ereignisse überprüfen, werden die Kategorie und Bereich Spalten können Ihnen helfen, bestimmte Arten von Ereignissen zu filtern und zu finden. In den folgenden Tabellen sind die Kategorien und Bereiche zusammen mit ihren Beschreibungen aufgeführt:
Liste der Ereignisse
Das Produktteam ist bestrebt, neue Überwachungsereignisse monatlich hinzuzufügen. Wenn ein Ereignis vorhanden ist, das Sie nachverfolgen möchten, das derzeit nicht verfügbar ist, teilen Sie Ihren Vorschlag mit ihnen im Developer Community.
Eine umfassende Liste aller Ereignisse, die über die Prüfen-Funktion ausgelöst werden können, finden Sie im Liste der Überwachungsereignisse.
Hinweis
Möchten Sie herausfinden, in welchen Ereignisbereichen Ihre organization protokolle? Sehen Sie sich die Überwachungsprotokollabfrage-API an: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions. Ersetzen Sie {YOUR_ORGANIZATION} durch den Namen Ihrer Organisation. Diese API gibt eine Liste aller Überwachungsereignisse (oder Aktionen) zurück, die Ihre Organisation ausgeben kann.
Filtern des Überwachungsprotokolls nach Datum und Uhrzeit
In der aktuellen Prüfen-Oberfläche können Sie Ereignisse nur nach Datum oder Zeitspanne filtern.
Um die sichtbaren Prüfung-Ereignisse einzuschränken, wählen Sie den Zeitfilter.
Verwenden Sie die Filter, um einen beliebigen Zeitbereich innerhalb der letzten 90 Tage auszuwählen und den Reservierungsumfang auf die Minute genau festzulegen.
Wählen Sie Anwenden auf den Zeitbereichsselektor, um die Suche zu starten. Standardmäßig werden die 200 besten Ergebnisse für diese Zeitauswahl angezeigt. Wenn es mehr Ergebnisse gibt, können Sie nach unten scrollen, um weitere Einträge auf die Seite zu laden.
Exportieren von Überwachungsereignissen
Um eine detailliertere Suche in den Prüfung-Daten durchzuführen oder Daten für mehr als 90 Tage zu speichern, exportieren Sie die vorhandenen Prüfung-Ereignisse. Sie können die exportierten Daten an einem anderen Ort oder Dienst speichern.
Um Prüfungsereignisse zu exportieren, wählen Sie die Option Herunterladen Schaltfläche. Sie können die Daten wahlweise als CSV- oder JSON-Datei herunterladen.
Der Herunterladen umfasst Ereignisse, die auf dem Zeitbereich basieren, den Sie im Filter auswählen. Wenn Sie zum Beispiel einen Tag auswählen, erhalten Sie die Daten eines Tages. Um alle 90 Tage zu erhalten, wählen Sie 90 Tage aus dem Zeitbereichsfilter und starten Sie dann den Herunterladen.
Hinweis
Für die langfristige Speicherung und Analyse Ihrer Prüfen-Ereignisse sollten Sie das Widget Prüfung Streaming Funktion um Ihre Ereignisse an ein Werkzeug für das Sicherheit Information und Event Management (SIEM) zu senden. Es wird empfohlen, die Überwachungsprotokolle für eine oberflächliche Datenanalyse zu exportieren.
- Um Daten außerhalb des Datums- und Uhrzeitbereichs zu filtern, laden Sie Protokolle als CSV-Dateien herunter, und importieren Sie sie in Microsoft Excel oder andere CSV-Parser, um die Spalten "Bereich" und "Kategorie" zu durchsuchen.
- Um größere Datenmengen zu analysieren, laden Sie exportierte Prüfung-Ereignisse in ein SIEM-Werkzeug (Sicherheit Incident und Event Management) hoch, indem Sie den Befehl Prüfung-Streaming-Funktion. SIEM tools allow Sie bis retain more than 90 Tage of events, perform searches, generate reports, und configure alerts based on Prüfung events.
Einschränkungen
Die folgenden Einschränkungen gelten für die Prüfung des Systems:
-
Microsoft Entra Änderungen der Gruppenmitgliedschaft: Überwachungsprotokolle umfassen Aktualisierungen von Azure DevOps Gruppen und Gruppenmitgliedschaften, wenn ein Ereignis
AreaGroupsist. Wenn Sie die Mitgliedschaft jedoch über Microsoft Entra Gruppen verwalten, enthalten diese Protokolle keine Ergänzungen und Entfernungen von Benutzern aus diesen Microsoft Entra Gruppen. Überprüfen Sie die Microsoft Entra Überwachungsprotokolle, um festzustellen, wann ein Benutzer oder eine Gruppe zu einer Microsoft Entra Gruppe hinzugefügt oder daraus entfernt wurde. - Sign-In-Ereignisse: Azure DevOps verfolgt keine Anmeldeereignisse. Um Anmeldeereignisse für Ihre Microsoft Entra ID zu überprüfen, können Sie sich die Microsoft Entra Prüfprotokolle anzeigen lassen.
-
Indirekte Benutzererweiterungen: In einigen Fällen werden Benutzer indirekt zu Ihrer Organisation hinzugefügt und im Überwachungsprotokoll als durch Azure DevOps Services hinzugefügt angezeigt. Wenn Sie beispielsweise einem Arbeitselement einen Benutzer zuweisen, fügen Sie sie möglicherweise automatisch zur Organisation hinzu. Während ein Überwachungsereignis für den hinzugefügten Benutzer generiert wird, gibt es kein entsprechendes Überwachungsereignis für die Arbeitsaufgabenzuweisung, die die Benutzerzugabe ausgelöst hat. Um diese Ereignisse zu verfolgen, sollten Sie die folgenden Maßnahmen in Betracht ziehen:
- Überprüfen Sie Ihren Workitem-Verlauf auf die entsprechenden Zeitstempel, um festzustellen, ob dieser Benutzer irgendwelchen Workitems zugewiesen war.
- Überprüfen Sie das Prüfung-Protokoll auf verwandte Ereignisse, die einen Kontext liefern könnten.
Häufig gestellte Fragen
F: Was ist die Gruppe DirectoryServiceAddMember, und warum wird sie im Überwachungsprotokoll angezeigt?
A: Die DirectoryServiceAddMember Gruppe hilft bei der Verwaltung der Mitgliedschaft in Ihrer Organisation. Viele System-, Benutzer- und Verwaltungsaktionen können die Mitgliedschaft in dieser Systemgruppe beeinflussen. Da diese Gruppe nur für interne Prozesse verwendet wird, können Sie Prüfung-Protokolleinträge, die Änderungen der Mitgliedschaft in dieser Gruppe erfassen, außer Acht lassen.
Verwenden von KI zum Abfragen und Analysieren von Überwachungsprotokollen
Wenn Sie den Azure DevOps MCP Server konfigurieren, können Sie KI-Assistenten verwenden, um Überwachungsereignisse mithilfe von Eingabeaufforderungen in natürlicher Sprache abzufragen und zu analysieren. Der MCP-Server bietet Ihrem KI-Assistenten einen sicheren Zugriff auf Ihre Azure DevOps Daten, sodass Sie Aktivitäten untersuchen, Änderungen nachverfolgen und Sicherheitsbedenken identifizieren können, ohne manuell durch Überwachungsprotokollexporte zu filtern.
Beispielaufforderungen für die Überwachungsprotokollanalyse
| Aufgabe | Beispielaufforderung |
|---|---|
| Berechtigungsänderungen untersuchen | Show me all permission changes in <organization-name> over the last 7 days, including who made the change and what was modified |
| Nachverfolgen von Benutzeraktivitäten nach dem Vorfall | Find all audit events for <user-email> in <organization-name> from the last 48 hours, grouped by action category |
| Ungewöhnliche Löschungen erkennen | List all resource deletions in <organization-name> in the past 30 days, including repos, pipelines, and projects, and who performed each deletion |
| Auditieren von PAT- und Tokenereignissen | Show me all PAT creation, modification, and revocation events in <organization-name> this month and flag any full-scope tokens that were created |
| Überprüfen von Richtlinienänderungen | What security policy or organization setting changes were made in <organization-name> in the last 14 days and by whom? |
| Compliance-Stichprobenprüfung | Generate a summary of audit activity in <organization-name> for the last 90 days, grouped by category - permissions, groups, policy changes, and resource modifications |
Tipp
Wenn Sie Visual Studio Code verwenden, ist agent-Modus besonders hilfreich, um Überwachungsereignisse in mehreren Kategorien zu korrelieren, um Sicherheitsvorfälle zu untersuchen.
- Um veraltete oder zwischengespeicherte Daten aus vorherigen Abfragen zu vermeiden, fügen Sie Ihrem Prompt
Do not use previously fetched datahinzu.