Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure DevOps Services
Note
L'audit est encore en phase de prévisualisation publique.
Le suivi des activités dans votre environnement Azure DevOps est essentiel pour la sécurité et la conformité. L’audit vous permet de surveiller et de consigner ces activités, assurant ainsi la transparence et la responsabilité. Cet article explique les fonctionnalités d’audit, leur configuration et leur utilisation.
Importante
L'audit n'est disponible que pour les organisations adossées à Microsoft Entra ID. Pour plus d'informations, voir Connexion de votre organisation à Microsoft Entra ID.
Des modifications d’audit ont lieu chaque fois qu’une identité d’utilisateur ou de service au sein de l’organization modifie l’état d’un artefact. Les événements susceptibles d’être journalisés sont les suivants :
- Modifications d’autorisations
- Ressources supprimées
- Modifications de stratégie de branche
- Accès au journal et téléchargements
- De nombreux autres types de modifications
Ces journaux d’activité fournissent un registre complet des activités, ce qui vous aide à surveiller et à gérer la sécurité et la conformité de l’organisation Azure DevOps.
Les événements d’audit sont stockés pendant 90 jours avant d’être supprimés. Pour conserver les données plus longtemps, vous pouvez sauvegarder les événements d’audit à un emplacement externe.
Note
L’audit n’est pas disponible pour les déploiements locaux d’Azure DevOps. Toutefois, vous pouvez connecter un flux d’audit à partir d’une instance Azure DevOps Services à une instance locale ou cloud de Splunk. Veillez à autoriser les plages d’adresses IP pour les connexions entrantes. Pour plus d’informations, consultez Listes d’adresses autorisées et connexions réseau, Restrictions d’adresse IP et de plage d’adresse IP.
Prerequisites
L’audit est désactivé par défaut pour toutes les organisations Azure DevOps Services. Assurez-vous que seul le personnel autorisé a accès aux informations d’audit sensibles.
Note
Si la fonctionnalité en préversion Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques est activée pour l’organisation, les utilisateurs du groupe Utilisateurs affectés à un projet ne peuvent pas voir l’option Audit et ont une visibilité limitée sur les pages des paramètres de l’organisation. Pour en savoir plus et vous familiariser avec des détails importants liés à la sécurité, consultez Limiter la visibilité des utilisateurs pour les projets, etc.
Activer et désactiver l’audit
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.Sélectionnez Stratégies sous l’en-tête Sécurité.
Mettez le bouton Journal des événements d'audit sur ON.
L’audit est activé pour l’organisation. Actualisez la page pour afficher l’audit dans la barre latérale. Les événements d’audit commencent à apparaître dans les journaux d’audit et via tous les flux d’audit configurés.
Si vous ne souhaitez plus recevoir d’événements d’audit, basculez le bouton Activer l’audit sur DÉSACTIVÉ. Cette action supprime la page Audit de la barre latérale et rend la page Journaux d’audit indisponible. Tous les flux d'audit cessent de recevoir des événements.
Accéder aux audits
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.
Sélectionnez Audit.
Si vous ne voyez pas Audit dans les paramètres de l’organisation, vous n’avez pas l’accès nécessaire pour afficher les événements d’audit. Le groupe Administrateurs de collection de projets peut accorder des autorisations à d’autres utilisateurs et à d’autres groupes afin qu’ils puissent afficher les pages d’audit. Pour ce faire, sélectionnez Autorisations, puis recherchez les groupes ou les utilisateurs auxquels fournir l’accès aux audits.
Définissez afficher le journal d’audit sur Autoriser, puis sélectionnez Enregistrer les modifications.
L’utilisateur ou les membres du groupe ont l’accès nécessaire pour afficher les événements d’audit de votre organisation.
Examiner le journal d’audit
La page d’audit fournit une vue simple des événements d’audit enregistrés pour votre organisation. Consultez la description suivante des informations visibles sur la page d’audit :
Informations et détails de l’événement d’audit
| Information | Détails |
|---|---|
| Acteur | Nom complet de la personne qui a déclenché l’événement d’audit. |
| IP | Adresse IP de la personne qui a déclenché l’événement d’audit. |
| Timestamp | Heure à laquelle l’événement a été déclenché. L’heure est localisée dans votre fuseau horaire. |
| Domaine | Zone produit dans Azure DevOps où l’événement s’est produit. |
| Category | Description du type d’action qui s’est produit (par exemple, modifier, renommer, créer, supprimer, effacer, exécuter et accéder à l’événement). |
| Détails | Brève description de ce qui s’est passé pendant l’événement. |
Chaque événement d’audit enregistre également des informations supplémentaires sur ce qui est visible sur la page d’audit. Ces informations incluent le mécanisme d’authentification, un ID de corrélation pour lier des événements similaires, un agent utilisateur et des données supplémentaires en fonction du type d’événement d’audit. Ces informations peuvent uniquement être consultées en exportant les événements d’audit via CSV ou JSON.
ID & ID de corrélation
Chaque événement d’audit a des identificateurs uniques appelés ID et CorrelationID. L’ID de corrélation est utile pour rechercher les événements d’audit associés. Par exemple, la création d’un projet peut générer plusieurs dizaines d’événements d’audit, tous liés par le même ID de corrélation.
Lorsqu’un ID d’événement d’audit correspond à son ID de corrélation, cela indique que l’événement d’audit est l’événement parent ou d’origine. Pour n’afficher que les événements d’origine, recherchez les événements dont la valeur ID est égale à Correlation ID. Si vous souhaitez examiner un événement et ses événements associés, recherchez tous les événements avec un ID de corrélation qui correspond à l’ID de l’événement d’origine. Les événements n’ont pas tous des événements associés.
Événements en bloc
Certains événements d’audit, appelés « événements d’audit en bloc », peuvent inclure plusieurs actions qui ont eu lieu simultanément. Vous pouvez identifier ces événements par l’icône « Informations » à droite de l’événement. Pour afficher les détails individuels des actions incluses dans les événements d’audit en bloc, reportez-vous aux données d’audit téléchargées.
La sélection de l’icône d’informations affiche plus d’informations sur l’événement d’audit.
Lorsque vous passez en revue les événements d’audit, les colonnes Catégorie et Zone peuvent vous aider à filtrer et à trouver des types d’événements spécifiques. Les tableaux suivants répertorient les catégories et les zones, ainsi que leur description :
Liste d’événements
Nous nous efforçons d’ajouter de nouveaux événements d’audit tous les mois. S’il existe un événement que vous souhaitez voir suivi qui n’est pas actuellement disponible, partagez votre suggestion avec nous dans la Communauté des développeurs.
Pour obtenir la liste complète de tous les événements qui peuvent être émis par le biais de la fonctionnalité Audit, consultez la liste des événements d’audit.
Note
Vous souhaitez savoir quelles zones d’événements sont journalisées par votre organization ? N'oubliez pas de consulter l'API d'interrogation du journal d'audit :https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions en remplaçant {Votre_ORGANISATION} par le nom de votre organisation. Cette API renvoie une liste de tous les événements (ou de toutes les actions) d’audit que votre organization peut émettre.
Filtrer le journal d’audit par date et heure
L’interface utilisateur d’audit actuelle ne vous permet de filtrer les événements que par plage de dates ou d’heures.
Pour affiner les événements d’audit visibles, sélectionnez le filtre d’heure.
Utilisez les filtres pour sélectionner n’importe quel intervalle de temps au cours des 90 derniers jours et affinez-le à la minute près.
Sélectionnez Appliquer sur le sélecteur d’intervalle de temps pour démarrer la recherche. Par défaut, les 200 premiers résultats sont affichés pour cette sélection de temps. S’il existe davantage de résultats, vous pouvez faire défiler la page vers le bas pour charger davantage d’entrées.
Exporter les événements d'audit
Pour effectuer une recherche plus détaillée sur les données d’audit ou pour stocker les données pendant plus de 90 jours, exportez les événements d’audit existants. Vous pouvez stocker les données exportées dans un autre emplacement ou service.
Pour exporter des événements d’audit, sélectionnez le bouton Télécharger. Vous pouvez choisir de télécharger les données en tant que fichier CSV ou JSON.
Le téléchargement inclut les événements en fonction de l’intervalle de temps sélectionné dans le filtre. Par exemple, si vous sélectionnez un jour, vous obtenez une journée de données. Pour obtenir les 90 jours, sélectionnez 90 jours à partir du filtre d’intervalle de temps, puis démarrez le téléchargement.
Note
Pour le stockage à long terme et l’analyse de vos événements d’audit, envisagez d’envoyer vos événements à un outil SIEM (Gestion des informations et des événements de sécurité) à l’aide de la fonctionnalité de diffusion en continu d’audit. Nous vous recommandons d’exporter les journaux d’audit pour une analyse rapide des données.
- Pour filtrer les données au-delà de la plage de dates/heures, téléchargez les journaux sous forme de fichiers CSV et importez-les dans Microsoft Excel ou d’autres analyseurs CSV pour parcourir les colonnes Zone et Catégorie.
- Pour analyser des jeux de données plus volumineux, chargez les événements d’audit exportés dans un outil SIEM à l’aide de la fonction de diffusion en continu d’audit. Les outils SIEM vous permettent de conserver plus de 90 jours d’événements, d’effectuer des recherches, de générer des rapports et de configurer des alertes en fonction des événements d’audit.
Limitations
Les limitations suivantes s’appliquent à ce qui peut être audité :
- Modifications apportées à l’appartenance au groupe Microsoft Entra : les journaux d’audit incluent les mises à jour des groupes Azure DevOps et l’appartenance au groupe, lorsqu’une zone d’événement indique
Groups. Toutefois, si vous gérez l’appartenance via des groupes Microsoft Entra, les ajouts et les suppressions d’utilisateurs dans ces groupes Microsoft Entra ne sont pas inclus dans ces journaux d’activité. Passez en revue les journaux d’audit Microsoft Entra pour voir quand un utilisateur ou un groupe a été ajouté ou supprimé d’un groupe Microsoft Entra. - Événements de connexion : Azure DevOps ne suit pas les événements de connexion. Pour passer en revue les événements de connexion à votre instance Microsoft Entra ID, consultez les journaux d’audit Microsoft Entra.
- Ajouts d’utilisateurs indirects : dans certains cas, les utilisateurs peuvent être ajoutés indirectement à votre organisation et s’afficher dans le journal d’audit ajouté par Azure DevOps Services. Par exemple, si un utilisateur est affecté à un élément de travail, il peut être ajouté automatiquement à l’organisation. Bien qu’un événement d’audit soit généré pour l’utilisateur ajouté, il n’existe pas d’événement d’audit correspondant pour l’attribution d’élément de travail qui a déclenché l’ajout de cet utilisateur. Pour suivre ces événements, envisagez les actions suivantes :
- Passez en revue l’historique des éléments de travail pour connaître les horodatages correspondants et déterminer si cet utilisateur a été affecté à des éléments de travail.
- Passez en revue le journal d’audit afin d’identifier tous les événements associés susceptibles de fournir du contexte.
Forum aux questions
Q : Qu’est-ce que le groupe DirectoryServiceAddMember et pourquoi figure-t-il dans le journal d’audit ?
R : Le groupe DirectoryServiceAddMember permet de gérer l’appartenance dans votre organisation. De nombreuses actions système, utilisateur et administratives peuvent affecter l’appartenance à ce groupe système. Étant donné que ce groupe est utilisé uniquement pour les processus internes, vous pouvez ignorer les entrées du journal d’audit qui capturent les modifications d’appartenance à ce groupe.