Informasi logging audit Google Security Operations

Didukung di:

Layanan Google Cloud menulis log audit untuk membantu memberi tahu Anda siapa yang melakukan apa, di mana, dan kapan dalam resource Google Cloud Anda. Halaman ini menjelaskan log audit yang dibuat oleh Google Security Operations dan ditulis sebagai Cloud Audit Logs.

Untuk membaca ringkasan umum tentang Cloud Audit Logs, lihat Ringkasan Cloud Audit Logs. Untuk mendapatkan pemahaman yang lebih mendalam tentang format log audit, lihat Memahami log audit.

Log audit yang tersedia

Nama layanan log audit dan operasi yang diaudit berbeda-beda, bergantung pada program pratinjau yang Anda ikuti. Log audit Google Security Operations menggunakan salah satu nama layanan berikut:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Operasi audit menggunakan jenis resource audited_resource untuk semua log audit yang ditulis, terlepas dari program pratinjau. Tidak ada perbedaan berdasarkan program pratinjau yang Anda ikuti.

Log dengan nama layanan chronicle.googleapis.com

Jenis log berikut tersedia untuk log audit Google Security Operations dengan nama layanan chronicle.googleapis.com.

Untuk informasi selengkapnya, lihat izin Google SecOps di IAM.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi penulisan admin yang menulis metadata atau informasi konfigurasi. Tindakan di Google Security Operations yang menghasilkan jenis log ini mencakup memperbarui feed dan membuat aturan.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Log audit Akses Data Mencakup operasi pembacaan admin yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi pembacaan data dan penulisan data yang membaca atau menulis data yang disediakan pengguna. Tindakan di Google Security Operations yang menghasilkan jenis log ini mencakup mendapatkan feed dan aturan listingan.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Log dengan nama layanan chronicleservicemanager.googleapis.com

Log audit Google Security Operations yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com hanya tersedia di tingkat organisasi, bukan di tingkat project.

Jenis log berikut tersedia untuk log audit Google Security Operations yang ditulis menggunakan nama layanan chronicleservicemanager.googleapis.com.

Jenis log audit Deskripsi
Log audit Aktivitas Admin Mencakup operasi penulisan admin yang menulis metadata atau informasi konfigurasi. Tindakan di Google Security Operations yang menghasilkan jenis log ini mencakup pembuatan Asosiasi Google Cloud dan memperbarui filter log Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Log audit Akses Data Mencakup operasi pembacaan admin yang membaca metadata atau informasi konfigurasi. Juga mencakup operasi pembacaan data dan penulisan data yang membaca atau menulis data yang disediakan pengguna. Tindakan di Google Security Operations yang menghasilkan jenis log ini mencakup instance listingan dan metadata pelanggan.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Log dengan nama layanan malachitefrontend-pa.googleapis.com

Jenis log berikut tersedia untuk log audit Google Security Operations dengan nama layanan malachitefrontend-pa.googleapis.com.

Operasi Google Security Operations Frontend API menyediakan data ke dan dari UI Google Security Operations. Google Security Operations Frontend API secara luas terdiri dari operasi akses data.

Jenis log audit Operasi Google Security Operations
Log audit Aktivitas Admin Mencakup aktivitas terkait update, seperti UpdateRole dan UpdateSubject.
Log audit Akses Data Mencakup aktivitas terkait tampilan, seperti ListRoles dan ListSubjects.

Format log audit

Entri log audit mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Kolom berguna meliputi hal berikut:

    • logName berisi ID resource dan jenis log audit.
    • resource berisi target operasi yang diaudit.
    • timeStamp berisi waktu operasi yang diaudit.
    • protoPayload berisi informasi yang diaudit.

  • Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan. Untuk integrasi yang lebih lama, objek ini disimpan di kolom serviceData pada objek AuditLog; integrasi yang lebih baru menggunakan kolom metadata.

  • Kolom protoPayload.authenticationInfo.principalSubject berisi akun utama pengguna. Ini menunjukkan siapa yang melakukan tindakan.

  • Kolom protoPayload.methodName berisi nama metode API yang dipanggil oleh UI atas nama pengguna.

  • Kolom protoPayload.status berisi status panggilan API. Nilai status kosong menunjukkan keberhasilan. Nilai status yang tidak kosong menunjukkan kegagalan dan berisi deskripsi error. Kode status 7 menunjukkan izin ditolak.

  • Layanan chronicle.googleapis.com menyertakan kolom protoPayload.authorizationInfo. Ini berisi nama resource yang diminta, nama izin yang diperiksa, dan apakah akses diberikan atau ditolak.

Untuk kolom lain dalam objek ini, dan cara menafsirkannya, tinjau Memahami log audit.

Contoh berikut menunjukkan nama log untuk log audit Aktivitas Admin level project dan log audit Akses Data. Variabel ini menunjukkan ID project Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Mengaktifkan logging audit

Untuk mengaktifkan logging audit untuk layanan chronicle.googleapis.com, lihat Mengaktifkan log audit Akses Data. Untuk mengaktifkan logging audit untuk layanan lain, hubungi Dukungan SecOps Google.

Penyimpanan log audit

  • Log audit Google SecOps: Disimpan di project Google Cloud yang Anda miliki setelah mengaktifkan Google SecOps API.
  • Log audit lama (termasuk malachitefrontend-pa.googleapis.com): Disimpan di project Google Cloud.
  • Log audit Aktivitas Admin: Selalu diaktifkan dan tidak dapat dinonaktifkan. Untuk melihatnya, migrasikan instance Google SecOps Anda ke IAM terlebih dahulu untuk kontrol akses.
  • Log audit Akses Data: Diaktifkan secara default. Untuk menonaktifkan di project milik pelanggan, hubungi perwakilan Google SecOps Anda. Google SecOps menulis log audit Akses Data dan Aktivitas Admin ke project.

Mengonfigurasi log audit Akses Data untuk menyertakan data penelusuran

Untuk mengisi penelusuran UDM dan kueri penelusuran log mentah di log audit Google Security Operations, perbarui konfigurasi log audit Akses Data dengan izin yang diperlukan.

  1. Di panel navigasi konsol Google Cloud, pilih IAM & Admin > Audit Logs.
  2. Pilih project, folder, atau organisasi Google Cloud yang sudah ada.
  3. Di Konfigurasi log audit Akses Data, pilih Chronicle API.
  4. Di tab Permission Types, pilih semua izin yang tercantum (Admin Read, Data Read, Data Write).
  5. Klik Simpan.
  6. Ulangi langkah 3 hingga 5 untuk Chronicle Service Manager API.

Lihat log

Untuk menemukan dan melihat log audit, gunakan project ID Google Cloud. Untuk logging audit lama malachitefrontend-pa.googleapis.com yang dikonfigurasi menggunakan project milik Google Cloud, Dukungan Operasi Keamanan Google memberikan informasi ini kepada Anda. Anda dapat menentukan lebih lanjut kolom LogEntry lainnya yang diindeks, seperti resource.type. Untuk mengetahui informasi selengkapnya, lihat Menemukan entri log dengan cepat.

Di Konsol Google Cloud, gunakan Logs Explorer untuk mengambil entri log audit untuk project Google Cloud:

  1. Di Konsol Google Cloud, buka halaman Logging > Logs Explorer.

    Buka Logs Explorer

  2. Di halaman Logs Explorer, pilih project, folder, atau organisasi Google Cloud yang sudah ada.

  3. Di panel Builder kueri, lakukan hal berikut:

    • Di Resource type, pilih resource Google Cloud yang log auditnya ingin Anda lihat.

    • Di Log name, pilih jenis log audit yang ingin dilihat:

    • Untuk log audit Aktivitas Admin, pilih activity.

    • Untuk log audit Akses Data, pilih data_access.

    Jika Anda tidak melihat opsi ini, tidak ada log audit dengan jenis tersebut yang tersedia di project, folder, atau organisasi Google Cloud.

    Untuk mengetahui informasi selengkapnya tentang pembuatan kueri menggunakan Logs Explorer, lihat Membuat kueri log.

Untuk melihat contoh entri log audit dan cara menemukan informasi yang paling penting di dalamnya, lihat Contoh entri log audit.

Contoh: Log nama layanan chronicle.googleapis.com

Bagian berikut menjelaskan kasus penggunaan umum untuk Log Audit Cloud yang menggunakan nama layanan chronicle.googleapis.com.

Mencantumkan tindakan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang dilakukan oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Contoh: Log nama layanan cloudresourcemanager.googleapis.com

Untuk menemukan pengguna yang memperbarui peran atau subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Contoh: Log nama layanan malachitefrontend-pa.googleapis.com

Bagian berikut menjelaskan kasus penggunaan umum untuk Log Audit Cloud yang menggunakan nama layanan malachitefrontend-pa.googleapis.com.

Mencantumkan tindakan yang dilakukan oleh pengguna tertentu

Untuk menemukan tindakan yang dilakukan oleh pengguna tertentu, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Mengidentifikasi pengguna yang melakukan tindakan tertentu

Untuk menemukan pengguna yang memperbarui subjek kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Untuk menemukan pengguna yang memperbarui peran kontrol akses, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Untuk menemukan pengguna yang memperbarui aturan deteksi, jalankan kueri berikut di Logs Explorer:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Langkah selanjutnya