Google Security Operations 审核日志记录信息
Google Cloud 服务会写入审核日志,以便您了解哪些用户何时在何处对您的 Google Cloud 资源执行了哪些操作。本页介绍了由 Google 安全运营团队创建并写入 Cloud Audit Logs 的审核日志。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。如需深入了解审核日志格式,请参阅了解审核日志。
可用的审核日志
审核日志服务名称和受审核的操作因您所注册的预览版计划而异。Google 安全运营审核日志使用以下服务名称之一:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
无论参与哪个预览计划,审核操作都会对写入的所有审核日志使用资源类型 audited_resource。您加入的试用计划不会产生任何影响。
服务名称为 chronicle.googleapis.com 的日志
具有 chronicle.googleapis.com 服务名称的 Google 安全运营审核日志支持以下日志类型。
如需了解详情,请参阅 IAM 中的 Google SecOps 权限。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中会生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中会生成此类日志的操作包括获取 Feed 和商家信息规则。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为 chronicleservicemanager.googleapis.com 的日志
使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google 安全运营审核日志仅在组织级别提供,而非项目级别。
使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google 安全运营审核日志可采用以下日志类型。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中会生成此类日志的操作包括创建 Google Cloud 关联和更新 Google Cloud 日志过滤条件。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中会生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为 malachitefrontend-pa.googleapis.com 的日志
具有 malachitefrontend-pa.googleapis.com 服务名称的 Google 安全运营审核日志支持以下日志类型。
Google Security Operations 前端 API 操作可在 Google Security Operations 界面中提供数据。Google Security Operations 前端 API 大致由数据访问操作组成。
| 审核日志类型 | Google Security Operations 操作 |
|---|---|
| 管理员活动审核日志 | 包括与更新相关的活动,例如 UpdateRole 和 UpdateSubject。 |
| 数据访问审核日志 | 包括与视图相关的活动,例如 ListRoles 和 ListSubjects。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即类型为
LogEntry的对象。以下是一些实用的字段:logName包含资源 ID 和审核日志类型。resource包含所审核操作的目标。timeStamp包含所审核操作的时间。protoPayload包含审核的信息。
审核日志记录数据,即保存在日志条目的
protoPayload字段中的AuditLog对象。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog对象的serviceData字段中;较新的集成使用metadata字段。protoPayload.authenticationInfo.principalSubject字段包含用户正文。这表示执行操作的人员。protoPayload.methodName字段包含界面代表用户调用的 API 方法名称。protoPayload.status字段包含 API 调用的状态。空的status值表示成功。非空status值表示失败,并包含错误描述。状态代码 7 表示权限被拒。chronicle.googleapis.com服务包含protoPayload.authorizationInfo字段。其中包含请求的资源的名称、已检查的权限名称,以及授予或拒绝访问权限。
如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志。
以下示例显示了项目级管理员活动审核日志和数据访问审核日志的日志名称。变量表示 Google Cloud 项目标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com 服务启用审核日志记录,请参阅启用数据访问审核日志。如需为其他服务启用审核日志记录,请与 Google SecOps 支持团队联系。
审核日志存储
- Google SecOps 审核日志:存储在您 Google Cloud 启用 Google SecOps API 后拥有的项目中。
- 旧版审核日志(包括
malachitefrontend-pa.googleapis.com):存储在Google Cloud 项目中。 - 管理员活动审核日志:始终处于启用状态,无法停用。如需查看这些报告,请先将 Google SecOps 实例迁移到 IAM 以进行访问权限控制。
- 数据访问审核日志:默认处于启用状态。如需在客户拥有的项目中停用,请与您的 Google SecOps 代表联系。Google SecOps 会将数据访问和管理员活动审核日志写入项目。
将数据访问审核日志配置为包含搜索数据
如需在 Google Security Operations 审核日志中填充 UDM 搜索查询和原始日志搜索查询,请使用必要的权限更新数据访问审核日志配置。
- 在 Google Cloud 控制台的导航面板中,依次选择 IAM 和管理 > 审核日志。
- 选择现有的 Google Cloud 项目、文件夹或组织。
- 在数据访问审核日志配置中,选择 Chronicle API。
- 在权限类型标签页中,选择所有列出的权限(管理员读取、数据读取、数据写入)。
- 点击保存。
- 针对 Chronicle Service Manager API 重复第 3 步到第 5 步。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于使用Google Cloud拥有的项目配置的 malachitefrontend-pa.googleapis.com 的旧版审核日志记录,Google Security Operations 支持团队已向您提供此信息。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type。如需了解详情,请参阅快速查找日志条目。
在 Google Cloud 控制台中,使用 Logs Explorer 检索 Google Cloud 项目的审核日志条目:
在 Google Cloud 控制台中,前往 Logging > Logs Explorer 页面。
在 Logs Explorer 页面上,选择一个现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
如果您没有看到这些选项,则表示 Google Cloud 项目、文件夹或组织中没有该类型的任何审核日志。
如需详细了解如何使用日志浏览器进行查询,请参阅构建日志查询。
如需查看审核日志条目示例并了解如何在其中找到最重要的信息,请参阅审核日志条目示例。
示例:chronicle.googleapis.com 服务名称日志
以下部分介绍了使用 chronicle.googleapis.com 服务名称的 Cloud 审核日志的常见用例。
列出特定用户执行的操作
如需查找指定用户执行的操作,请在 Logs Explorer 中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行过特定操作的用户
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com 服务名称日志
如需查找更新了访问控制角色或正文的用户,请在 Logs Explorer 中运行以下查询:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com 服务名称日志
以下部分介绍了使用 malachitefrontend-pa.googleapis.com 服务名称的 Cloud 审核日志的常见用例。
列出特定用户执行的操作
如需查找指定用户执行的操作,请在 Logs Explorer 中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行过特定操作的用户
如需查找更新了访问控制正文的用户,请在 Logs Explorer 中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找更新了访问控制角色的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"