Informationen zum Audit-Logging von Google Security Operations
Google Cloud-Dienste schreiben Audit-Logs, die Aufschluss darüber geben, wer in Ihren Google Cloud-Ressourcen was, wo und wann getan hat. Auf dieser Seite werden die Audit-Logs beschrieben, die von Google Security Operations erstellt und als Cloud-Audit-Logs geschrieben werden.
Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs. Weitere Informationen zum Audit-Log-Format finden Sie unter Audit-Logs verstehen.
Verfügbare Audit-Logs
Der Name des Audit-Log-Dienstes und die geprüften Vorgänge unterscheiden sich je nachdem, für welches Vorschauprogramm Sie angemeldet sind. Für Audit-Logs von Google Security Operations wird einer der folgenden Dienstnamen verwendet:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Bei Audit-Vorgängen wird der Ressourcentyp audited_resource
für alle geschriebenen Audit-Logs verwendet, unabhängig vom Vorschauprogramm. Es gibt keinen Unterschied in Bezug auf das Vorschauprogramm, für das Sie angemeldet sind.
Logs mit dem Dienstnamen chronicle.googleapis.com
Die folgenden Logtypen sind für Audit-Logs von Google Security Operations mit dem Dienstnamen chronicle.googleapis.com
verfügbar.
Weitere Informationen finden Sie unter Google SecOps-Berechtigungen in IAM.
Audit-Log-Typ | Beschreibung |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Admin-Schreibvorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Aktualisieren von Feeds und das Erstellen von Regeln.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Audit-Logs zum Datenzugriff | Umfasst Admin-Lesevorgänge, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Abrufen von Feeds und Auflistungsregeln.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Logs mit dem Dienstnamen chronicleservicemanager.googleapis.com
Google Security Operations-Audit-Logs, die mit dem Dienstnamen chronicleservicemanager.googleapis.com
geschrieben werden, sind nur auf Organisationsebene und nicht auf Projektebene verfügbar.
Die folgenden Logtypen sind für Audit-Logs von Google Security Operations verfügbar, die mit dem Dienstnamen chronicleservicemanager.googleapis.com
geschrieben werden.
Audit-Log-Typ | Beschreibung |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Admin-Schreibvorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations gehören das Erstellen einer Google Cloud-Verknüpfung und das Aktualisieren von Google Cloud-Logfiltern.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Audit-Logs zum Datenzugriff | Umfasst Admin-Lesevorgänge, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Aktionen in Google Security Operations, die diese Art von Log generieren, umfassen das Auflisten von Instanzen und Kundenmetadaten.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com
Die folgenden Logtypen sind für Audit-Logs von Google Security Operations mit dem Dienstnamen malachitefrontend-pa.googleapis.com
verfügbar.
Google Security Operations Frontend API-Vorgänge liefern Daten an die und von der Google Security Operations-UI. Die Google Security Operations Frontend API besteht hauptsächlich aus Datenzugriffsvorgängen.
Audit-Log-Typ | Google Security Operations-Vorgänge |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Aktivitäten im Zusammenhang mit Updates, z. B. UpdateRole und UpdateSubject . |
Audit-Logs zum Datenzugriff | Umfasst auf Aufrufe bezogene Aktivitäten, z. B. ListRoles und ListSubjects . |
Audit-Logformat
Audit-Logeinträge umfassen folgende Komponenten:
Logeintrag selbst, der ein Objekt vom Typ
LogEntry
ist Nützliche Felder sind unter anderem:logName
enthält die Ressourcen-ID und den Audit-Logtyp.resource
enthält das Ziel zum geprüften Vorgang.timeStamp
enthält die Uhrzeit des geprüften Vorgangs.protoPayload
enthält die geprüften Informationen.
Audit-Logging-Daten, ein
AuditLog
-Objekt, das sich im FeldprotoPayload
des Logeintrags befindet.Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld
serviceData
desAuditLog
-Objekts. Neuere Integrationen verwenden das Feldmetadata
.Das Feld
protoPayload.authenticationInfo.principalSubject
enthält das Nutzerhauptkonto. Gibt an, wer die Aktion ausgeführt hat.Das Feld
protoPayload.methodName
enthält den Namen der API-Methode, die von der UI im Namen des Nutzers aufgerufen wird.Das Feld
protoPayload.status
enthält den Status des API-Aufrufs. Ein leererstatus
-Wert weist auf Erfolg hin. Ein nicht leererstatus
-Wert weist auf einen Fehler hin und enthält eine Beschreibung des Fehlers. Statuscode 7 gibt an, dass die Berechtigung verweigert wurde.Der Dienst
chronicle.googleapis.com
enthält das FeldprotoPayload.authorizationInfo
. Sie enthält den Namen der angeforderten Ressource, den Namen der geprüften Berechtigung und ob der Zugriff gewährt oder verweigert wurde.
Informationen zu anderen Feldern in diesen Objekten und zu deren Interpretation finden Sie unter Informationen zu Audit-Logs.
Das folgende Beispiel enthält Lognamen für Audit-Logs zu Administratoraktivitäten und zum Datenzugriff auf Projektebene. Die Variablen kennzeichnen Google Cloud-Projektkennungen.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit-Logging aktivieren
Informationen zum Aktivieren von Audit-Logging für den Dienst chronicle.googleapis.com
finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Wenn Sie Audit-Logging für andere Dienste aktivieren möchten, wenden Sie sich an den Google SecOps-Support.
Speicher für Audit-Logs
- Google SecOps-Audit-Logs: Werden nach der Aktivierung der Google SecOps API in einem Google Cloud-Projekt gespeichert, das Ihnen gehört.
- Legacy-Audit-Logs (einschließlich
malachitefrontend-pa.googleapis.com
): In einem Google Cloud-Projekt gespeichert. - Audit-Logs zur Administratoraktivität: Immer aktiviert und können nicht deaktiviert werden. Migrieren Sie zuerst Ihre Google SecOps-Instanz für die Zugriffssteuerung zu IAM, um sie anzusehen.
- Audit-Logs zum Datenzugriff: Diese Option ist standardmäßig aktiviert. Wenn Sie die Funktion in Ihrem kundeneigenen Projekt deaktivieren möchten, wenden Sie sich an Ihren Google SecOps-Ansprechpartner. Google SecOps schreibt Audit-Logs zu Datenzugriffen und Administratoraktivitäten in das Projekt.
Audit-Logs zum Datenzugriff so konfigurieren, dass die Suchdaten enthalten sind
Aktualisieren Sie die Konfiguration der Audit-Logs zum Datenzugriff mit den erforderlichen Berechtigungen, um die UDM-Suche und Abfragen der Rohlogs in die Audit-Logs von Google Security Operations aufzunehmen.
- Wählen Sie im Navigationsbereich der Google Cloud Console IAM und Verwaltung > Audit-Logs aus.
- Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
- Wählen Sie unter Konfiguration von Audit-Logs zum Datenzugriff die Option Google Security Operations API aus.
- Wählen Sie auf dem Tab Berechtigungstypen alle aufgeführten Berechtigungen aus: Lesen durch Administrator, Lesen von Daten, Schreiben von Daten.
- Klicken Sie auf Speichern.
- Wiederholen Sie die Schritte 3 bis 5 für die Chronicle Service Manager API.
Logs ansehen
Verwenden Sie die Google Cloud-Projekt-ID, um Audit-Logs zu suchen und anzusehen. Für das Legacy-Audit-Logging von malachitefrontend-pa.googleapis.com
, das mit einem Google Cloud-Projekt konfiguriert wurde, haben Sie vom Google Security Operations-Support diese Informationen erhalten. Sie können weitere indexierte LogEntry
-Felder angeben, z. B. resource.type
. Weitere Informationen finden Sie unter Logeinträge schnell finden.
Verwenden Sie in der Google Cloud Console den Log-Explorer, um Ihre Audit-Logeinträge für das Google Cloud-Projekt abzurufen:
Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.
Wählen Sie auf der Seite Log-Explorer ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
Führen Sie im Bereich Query Builder folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs Sie ansehen möchten.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
Wenn Sie diese Optionen nicht sehen, sind im Google Cloud-Projekt, im Ordner oder in der Organisation keine Audit-Logs dieses Typs verfügbar.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Logabfragen erstellen.
Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden, finden Sie unter Beispiel für einen Audit-Logeintrag.
Beispiele: chronicle.googleapis.com
-Logs für Dienstnamen
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, in denen der Dienstname chronicle.googleapis.com
verwendet wird.
Aktionen eines bestimmten Nutzers auflisten
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifizieren von Nutzenden, die eine bestimmte Aktion ausgeführt haben
Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu ermitteln, die eine Erkennungsregel aktualisiert haben:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Beispiel: cloudresourcemanager.googleapis.com
-Log für Dienstname
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Nutzer zu ermitteln, die eine Zugriffssteuerungsrolle oder ein Subjekt aktualisiert haben:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Beispiele: malachitefrontend-pa.googleapis.com
-Logs für Dienstnamen
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, in denen der Dienstname malachitefrontend-pa.googleapis.com
verwendet wird.
Aktionen eines bestimmten Nutzers auflisten
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifizieren von Nutzenden, die eine bestimmte Aktion ausgeführt haben
Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu ermitteln, die ein Zugriffskontrollelement aktualisiert haben:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Nutzer zu ermitteln, die eine Zugriffssteuerungsrolle aktualisiert haben:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Führen Sie die folgende Abfrage im Log-Explorer aus, um die Nutzer zu ermitteln, die eine Erkennungsregel aktualisiert haben:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Nächste Schritte
- Google SecOps-Audit-Logging
- Cloud-Audit-Logs – Übersicht
- Audit-Logs
- Verfügbare Audit-Logs
- Google Cloud Observability – Preise: Cloud Logging