Google Security Operations の監査ロギングの情報
Google Cloud サービスは、監査ログを書き込み、 Google Cloud リソース内で誰が何をいつ行ったかを把握できるようにします。このページでは、Google Security Operations によって作成され、Cloud Audit Logs として書き込まれる監査ログについて説明します。
Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。
利用可能な監査ログ
監査ログのサービス名と監査対象のオペレーションは、登録されているプレビュー プログラムによって異なります。Google Security Operations 監査ログでは、次のいずれかのサービス名が使用されます。
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
監査オペレーションでは、プレビュー プログラムに関係なく、書き込まれるすべての監査ログにリソースタイプ audited_resource が使用されます。登録しているプレビュー プログラムによって違いはありません。
サービス名 chronicle.googleapis.com のログ
chronicle.googleapis.com サービス名を使用する Google Security Operations 監査ログでは、次のログタイプを使用できます。
詳細については、IAM の Google SecOps 権限をご覧ください。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google Security Operations のアクションには、フィードの更新とルールの作成が含まれます。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る「管理読み取り」オペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りオペレーションとデータ書き込みオペレーションも含まれます。このタイプのログを生成する Google Security Operations のアクションには、フィードとリストルールの取得が含まれます。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
サービス名 chronicleservicemanager.googleapis.com のログ
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google Security Operations 監査ログは、プロジェクト レベルではなく、組織レベルでのみ使用できます。
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google Security Operations 監査ログでは、次のログタイプを使用できます。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google Security Operations のアクションには、 Google Cloud の関連付けの作成と、 Google Cloud ログフィルタの更新が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る「管理読み取り」オペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りオペレーションとデータ書き込みオペレーションも含まれます。このタイプのログを生成する Google Security Operations のアクションには、インスタンスとカスタマー メタデータのリスト表示が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
サービス名 malachitefrontend-pa.googleapis.com のログ
malachitefrontend-pa.googleapis.com サービス名を使用する Google Security Operations 監査ログでは、次のログタイプを使用できます。
Google Security Operations Frontend API オペレーションは、Google Security Operations UI との間でデータを提供します。Google Security Operations Frontend API は、大まかにデータアクセス オペレーションで構成されています。
| 監査ログのタイプ | Google Security Operations のオペレーション |
|---|---|
| 管理アクティビティ監査ログ | UpdateRole や UpdateSubject など、更新関連のアクティビティが含まれます。 |
| データアクセス監査ログ | ビュー関連のアクティビティ(ListRoles や ListSubjects など)が含まれます。 |
監査ログ形式
監査ログエントリには、次のオブジェクトが含まれます。
ログエントリ自体。
LogEntryタイプのオブジェクトです。よく使用されるフィールドは次のとおりです。logNameには、リソース ID と監査ログの種類が含まれます。resource: 監査対象オペレーションのターゲットが格納されます。timeStamp: 監査対象オペレーションの時間が格納されます。protoPayload: 監査情報が格納されます。
監査ロギングデータ。ログエントリの
protoPayloadフィールドに保持されるAuditLogオブジェクトです。任意のサービス固有の監査情報。サービス固有のオブジェクトです。古い統合では、このオブジェクトは
AuditLogオブジェクトのserviceDataフィールドに保持されます。新しい統合では、metadataフィールドを使用します。protoPayload.authenticationInfo.principalSubjectフィールドにはユーザー プリンシパルが含まれます。これは、アクションを実行したユーザーを示します。protoPayload.methodNameフィールドには、ユーザーに代わって UI によって呼び出された API メソッド名が含まれます。protoPayload.statusフィールドには、API 呼び出しのステータスが含まれます。空のstatus値は成功を示します。空でないstatus値は失敗を示しており、エラーの説明が含まれています。ステータス コード 7 は、権限が拒否されたことを示します。chronicle.googleapis.comサービスにはprotoPayload.authorizationInfoフィールドが含まれています。これには、リクエストされたリソースの名前、確認された権限名、アクセスが許可されたかどうかが含まれます。
これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。
次の例は、プロジェクト レベルの管理アクティビティ監査ログとデータアクセス監査ログのログ名を示しています。変数は、 Google Cloud プロジェクト ID を表します。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
監査ロギングの有効化
chronicle.googleapis.com サービスの監査ロギングを有効にするには、データアクセス監査ログを有効にするをご覧ください。他のサービスの監査ロギングを有効にするには、Google SecOps サポートにお問い合わせください。
監査ログの保存
- Google SecOps 監査ログ: Google SecOps API を有効にした後、所有する Google Cloud プロジェクトに保存されます。
- 以前の監査ログ(
malachitefrontend-pa.googleapis.comを含む):Google Cloud プロジェクトに保存されます。 - 管理アクティビティ監査ログ: 常に有効で、無効にすることはできません。これらの情報を表示するには、まず Google SecOps インスタンスを IAM に移行してアクセス制御を行います。
- データアクセス監査ログ: デフォルトで有効になっています。お客様所有のプロジェクトで無効にするには、Google SecOps の担当者にお問い合わせください。Google SecOps は、データアクセスと管理アクティビティの監査ログをプロジェクトに書き込みます。
検索データを含めるようにデータアクセス監査ログを構成する
Google Security Operations の監査ログに UDM 検索クエリと未加工ログ検索クエリを入力するには、必要な権限を使用してデータアクセス監査ログの構成を更新します。
- Google Cloud コンソールのナビゲーション パネルで、[IAM と管理] > [監査ログ] を選択します。
- 既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
- [データアクセス監査ログの構成] で、[Chronicle API] を選択します。
- [権限の種類] タブで、表示されている権限(管理読み取り、データ読み取り、データ書き込み)をすべて選択します。
- [保存] をクリックします。
- Chronicle Service Manager API についても手順 3 ~ 5 を繰り返します。
ログを表示
監査ログを検索して表示するには、 Google Cloud プロジェクト ID を使用します。Google Cloud所有のプロジェクトを使用して構成された malachitefrontend-pa.googleapis.com の以前の監査ロギングについては、Google Security Operations サポートからこの情報が提供されます。さらに、resource.type などの他のインデックス付き LogEntry フィールドも指定できます。詳細については、ログエントリの迅速な検索をご覧ください。
Google Cloud コンソールで、ログ エクスプローラを使用して、 Google Cloud プロジェクトの監査ログエントリを取得します。
Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページで、既存のGoogle Cloud プロジェクト、フォルダ、または組織を選択します。
[クエリビルダー] ペインで、次の操作を行います。
[リソースタイプ] で、監査ログを表示する Google Cloud リソースを選択します。
[ログ名] で、表示する監査ログタイプを選択します。
管理アクティビティ監査ログの場合は、[activity] を選択します。
データアクセス監査ログの場合は、[data_access] を選択します。
これらのオプションが表示されない場合、 Google Cloud プロジェクト、フォルダ、または組織でそのタイプの監査ログは使用できません。
ログ エクスプローラを使用したクエリの詳細については、ログクエリのビルドをご覧ください。
監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。
例: chronicle.googleapis.com サービス名ログ
以降のセクションでは、chronicle.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが行ったアクションを一覧表示する
特定のユーザーが行ったアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定の操作を行ったユーザーの特定
検出ルールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
例: cloudresourcemanager.googleapis.com サービス名ログ
アクセス制御ロールまたはサブジェクトを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
例: malachitefrontend-pa.googleapis.com サービス名ログ
以降のセクションでは、malachitefrontend-pa.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが行ったアクションを一覧表示する
特定のユーザーが行ったアクションを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定の操作を行ったユーザーの特定
アクセス制御サブジェクトを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
アクセス制御ロールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
検出ルールを更新したユーザーを確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"