Informationen zum Audit-Logging von Google Security Operations
Google Cloud-Dienste schreiben Audit-Logs, die Aufschluss darüber geben, wer was, wo und in Ihren Google Cloud-Ressourcen. Auf dieser Seite wird die Prüfung beschrieben. Logs, die von Google Security Operations erstellt und als Cloud-Audit-Logs.
Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs . Detaillierte Informationen zum Audit-Log Informationen zu Audits Logs
Verfügbare Audit-Logs
Der Name des Audit-Log-Dienstes und die geprüften Vorgänge unterscheiden sich je nach für welches Vorschauprogramm Sie angemeldet sind. Für Audit-Logs von Google Security Operations wird eine der folgenden Dienstnamen:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Auditvorgänge verwenden für alle den Ressourcentyp audited_resource
geschriebene Audit-Logs, unabhängig vom Vorschauprogramm. Es gibt keinen Unterschied.
basierend auf dem Vorschauprogramm, für das Sie angemeldet sind.
Logs mit dem Dienstnamen chronicle.googleapis.com
Die folgenden Logtypen sind für Google Security Operations-Audit-Logs mit der
chronicle.googleapis.com
-Dienstname.
Weitere Informationen finden Sie unter Google SecOps-Berechtigungen in IAM
Audit-Logtyp | Beschreibung |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Admin-Schreibvorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Aktualisieren von Feeds und das Erstellen von Regeln.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Audit-Logs zum Datenzugriff | Umfasst Admin-Lesevorgänge, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Zu den Aktionen in Google Security Operations, die diese Art von Protokoll generieren, gehören das Abrufen von Feeds und Auflistungsregeln.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Logs mit dem Dienstnamen chronicleservicemanager.googleapis.com
Google Security Operations-Audit-Logs, die mit dem
chronicleservicemanager.googleapis.com
-Dienstname ist nur verfügbar an der
und nicht auf Projektebene.
Die folgenden Logtypen sind für geschriebene Google Security Operations-Audit-Logs verfügbar
unter Verwendung des Dienstnamens chronicleservicemanager.googleapis.com
.
Audit-Logtyp | Beschreibung |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Admin-Schreibvorgänge, die Metadaten oder Konfigurationsinformationen schreiben. Zu den Aktionen in Google Security Operations gehören das Erstellen einer Google Cloud-Verknüpfung und das Aktualisieren von Google Cloud-Logfiltern.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Audit-Logs zum Datenzugriff | Umfasst Admin-Lesevorgänge, bei denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch Datenlese- und Datenschreibvorgänge, bei denen von Nutzern bereitgestellte Daten gelesen oder geschrieben werden. Aktionen in Google Security Operations, die diese Art von Log generieren, umfassen das Auflisten von Instanzen und Kundenmetadaten.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Logs mit dem Dienstnamen malachitefrontend-pa.googleapis.com
Die folgenden Logtypen sind für Google Security Operations-Audit-Logs mit der
malachitefrontend-pa.googleapis.com
-Dienstname.
Google Security Operations Frontend API-Vorgänge liefern Daten zum und vom Benutzeroberfläche von Google Security Operations Die Google Security Operations Frontend API besteht hauptsächlich aus Datenzugriffsvorgänge.
Audit-Logtyp | Google Security Operations-Vorgänge |
---|---|
Audit-Logs zur Administratoraktivität | Umfasst Aktivitäten im Zusammenhang mit Updates, z. B. UpdateRole und UpdateSubject . |
Audit-Logs zum Datenzugriff | Umfasst auf Aufrufe bezogene Aktivitäten, z. B. ListRoles und ListSubjects . |
Audit-Logformat
Audit-Logeinträge umfassen folgende Komponenten:
Logeintrag selbst, ein Objekt des Typs
LogEntry
Nützliche Felder umfassen Folgendes:logName
enthält die Ressourcen-ID und den Audit-Logtyp.resource
enthält das Ziel zum geprüften Vorgang.timeStamp
enthält die Uhrzeit des geprüften Vorgangs.protoPayload
enthält die geprüften Informationen.
Audit-Logging-Daten, die eine
AuditLog
Objekt im FeldprotoPayload
des Logeintrags.Optionale dienstspezifische Auditinformationen. Das Objekt ist dienstspezifisch. Bei älteren Integrationen befindet sich dieses Objekt im Feld
serviceData
desAuditLog
-Objekts. Neuere Integrationen verwenden das Feldmetadata
.Das Feld
protoPayload.authenticationInfo.principalSubject
enthält den Nutzer Prinzipal. Gibt an, wer die Aktion ausgeführt hat.Das Feld
protoPayload.methodName
enthält den Namen der API-Methode, die vom die Benutzeroberfläche im Auftrag des Nutzers erstellt.Das Feld
protoPayload.status
enthält den Status des API-Aufrufs. Eine leere Derstatus
-Wert steht für einen erfolgreichen Test. Ein nicht leererstatus
-Wert bedeutet, Fehler und enthält eine Beschreibung des Fehlers. Statuscode 7 zeigt an, Berechtigung verweigert.Der
chronicle.googleapis.com
-Dienst enthält Folgendes:protoPayload.authorizationInfo
. Sie enthält den Namen des die angeforderte Ressource, den Namen der geprüften Berechtigung und ob die Zugriff wurde gewährt oder verweigert.
Informationen zu anderen Feldern in diesen Objekten und zu deren Interpretation finden Sie unter Überblick über Audit-Logs
Das folgende Beispiel zeigt Lognamen für die Prüfung zu Administratoraktivitäten auf Projektebene und Audit-Logs zum Datenzugriff. Die Variablen kennzeichnen Google Cloud-Projekte Kennzeichnungen.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit-Logging aktivieren
Informationen zum Aktivieren des Audit-Loggings für den Dienst chronicle.googleapis.com
finden Sie unter
Audit-Logs zum Datenzugriff aktivieren
Wenn Sie das Audit-Logging für andere Dienste aktivieren möchten, wenden Sie sich an
Google SecOps-Support.
Speicher für Audit-Logs
- Google SecOps-Audit-Logs: gespeichert in einem Google Cloud-Projekt, das gehört nachdem Sie die Google SecOps API aktiviert haben.
- Legacy-Audit-Logs (einschließlich
malachitefrontend-pa.googleapis.com
): gespeichert in einem Google Cloud-Projekt - Audit-Logs zur Administratoraktivität: Immer aktiviert und können nicht deaktiviert werden. So rufen Sie sie auf: migrieren Sie zuerst Ihre Google SecOps-Instanz zu IAM für die Zugriffssteuerung.
- Audit-Logs zum Datenzugriff: Diese Option ist standardmäßig aktiviert. So deaktivieren Sie die Funktion in der kundeneigenen Version wenden Sie sich an Ihren Google SecOps-Vertreter. Google SecOps Schreibt Audit-Logs zu Datenzugriffen und Administratoraktivitäten in das Projekt.
Audit-Logs zum Datenzugriff so konfigurieren, dass die Suchdaten enthalten sind
Um UDM-Suche und Abfragen von Rohprotokollen im Audit-Log für Google Security Operations darzustellen Logs, aktualisieren Sie die Konfiguration der Audit-Logs zum Datenzugriff mit den erforderlichen Berechtigungen.
- Wählen Sie im Navigationsbereich der Google Cloud Console IAM und Verwaltung > Audit-Logs
- Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
- Wählen Sie unter Konfiguration von Audit-Logs zum Datenzugriff die Option Google Security Operations API aus.
- Wählen Sie auf dem Tab Berechtigungstypen alle aufgeführten Berechtigungen aus: Lesen durch Administrator, Lesen von Daten, Schreiben von Daten.
- Klicken Sie auf Speichern.
- Wiederholen Sie die Schritte 3 bis 5 für die Chronicle Service Manager API.
Logs ansehen
Verwenden Sie die Google Cloud-Projekt-ID, um Audit-Logs zu suchen und anzusehen. Für ältere Versionen
Audit-Logging von malachitefrontend-pa.googleapis.com
konfiguriert mit einem
Google Cloud-Projekt gehört, hat Ihnen der Google Security Operations-Support diese
Informationen. Sie können weitere indexierte
LogEntry
-Felder, z. B.
resource.type
. Weitere Informationen finden Sie unter Logeinträge suchen
schnell ändern.
Verwenden Sie in der Google Cloud Console den Log-Explorer, um Ihre Daten abzurufen. Audit-Logeinträge für das Google Cloud-Projekt:
Wechseln Sie in der Google Cloud Console zur Protokollierung > Log-Explorer.
Wählen Sie auf der Seite Log-Explorer einen vorhandenen Log-Explorer aus. Google Cloud-Projekt, -Ordner oder -Organisation.
Führen Sie im Bereich Query Builder folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit Logs, die Sie sich ansehen möchten.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
Wenn Sie diese Optionen nicht sehen, sind keine Audit-Logs dieses Typs in Google Cloud-Projekt, -Ordner oder -Organisation.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Erstellen Sie Logabfragen.
Ein Beispiel für einen Audit-Logeintrag und wie Sie die wichtigsten Informationen darin finden Sie unter Beispiel für ein Audit-Log .
Beispiele: chronicle.googleapis.com
-Logs für Dienstnamen
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die
Verwenden Sie den Dienstnamen chronicle.googleapis.com
.
Aktionen eines bestimmten Nutzers auflisten
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifizieren von Nutzenden, die eine bestimmte Aktion ausgeführt haben
Führen Sie die folgende Abfrage im Log-Explorer:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Beispiel: cloudresourcemanager.googleapis.com
-Log für Dienstname
Führen Sie den Befehl folgende Abfrage im Log-Explorer:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Beispiele: malachitefrontend-pa.googleapis.com
-Logs für Dienstnamen
In den folgenden Abschnitten werden häufige Anwendungsfälle für Cloud-Audit-Logs beschrieben, die
Verwenden Sie den Dienstnamen malachitefrontend-pa.googleapis.com
.
Aktionen eines bestimmten Nutzers auflisten
Führen Sie im Log-Explorer die folgende Abfrage aus, um die Aktionen eines bestimmten Nutzers zu ermitteln:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifizieren von Nutzenden, die eine bestimmte Aktion ausgeführt haben
Führen Sie die folgende Abfrage aus, um die Nutzer zu finden, die einen Zugriffssteuerungssubjekt aktualisiert haben im Log-Explorer:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Führen Sie die folgende Abfrage aus, um die Nutzer zu finden, die eine Zugriffssteuerungsrolle aktualisiert haben: den Log-Explorer:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Führen Sie die folgende Abfrage im Log-Explorer:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Nächste Schritte
- Google SecOps-Audit-Logging
- Cloud-Audit-Logs – Übersicht
- Audit-Logs
- Verfügbare Audit-Logs
- Google Cloud Observability – Preise: Cloud Logging