Informazioni sugli audit log di Google Security Operations
I servizi Google Cloud scrivono audit log per indicarti chi ha fatto cosa, dove e all'interno delle tue risorse Google Cloud. In questa pagina viene descritto il controllo log creati da Google Security Operations e scritti come Audit log di Cloud.
Per una panoramica generale di Cloud Audit Logs, consulta Cloud Audit Logs Panoramica. Per una comprensione più approfondita dell'audit log consulta la sezione Informazioni sui controlli log.
Log di controllo disponibili
Il nome del servizio di audit log e le operazioni controllate sono diversi a seconda a quale programma Anteprima hai effettuato la registrazione. Gli audit log di Google Security Operations ne utilizzano uno dei seguenti nomi di servizi:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Le operazioni di controllo utilizzano il tipo di risorsa audited_resource
per tutti
log di controllo e audit registrati, indipendentemente dal programma di anteprima. Non c'è alcuna differenza
in base al programma di anteprima a cui hai effettuato la registrazione.
Log con nome servizio chronicle.googleapis.com
I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con
Nome del servizio chronicle.googleapis.com
.
Per ulteriori informazioni, consulta l'articolo sulle autorizzazioni di Google SecOps in IAM.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni di Google Security Operations che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Audit log degli accessi ai dati | Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dagli utenti. Le azioni in Google Security Operations che generano questo tipo di log includono la ricezione di feed e l'elenco di regole.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Log con nome servizio chronicleservicemanager.googleapis.com
Audit log di Google Security Operations scritti utilizzando
I nomi del servizio chronicleservicemanager.googleapis.com
sono disponibili solo nel
a livello di organizzazione, non di progetto.
Per gli audit log scritti di Google Security Operations, sono disponibili i seguenti tipi di log
usando il nome del servizio chronicleservicemanager.googleapis.com
.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni in Google Security Operations che generano questo tipo di log includono la creazione di un'associazione Google Cloud e l'aggiornamento dei filtri di log di Google Cloud.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Audit log degli accessi ai dati | Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dagli utenti. Le azioni in Google Security Operations che generano questo tipo di log includono l'elenco delle istanze e dei metadati dei clienti.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Log con nome servizio malachitefrontend-pa.googleapis.com
I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con
Nome del servizio malachitefrontend-pa.googleapis.com
.
Le operazioni dell'API Google Security Operations Frontend forniscono dati da e verso UI di Google Security Operations. L'API Google Security Operations Frontend è generalmente composta da le operazioni di accesso ai dati.
Tipo di audit log | Operazioni di Google Security Operations |
---|---|
Audit log delle attività di amministrazione | Include attività relative agli aggiornamenti, come UpdateRole e UpdateSubject . |
Audit log degli accessi ai dati | Include attività relative alle visualizzazioni, come ListRoles e ListSubjects . |
Formato degli audit log
Le voci di audit log includono i seguenti oggetti:
Voce di log stessa, che è un oggetto di tipo
LogEntry
Campi utili include:logName
contiene l'ID risorsa e il tipo di audit log.resource
contiene il target dell'operazione controllata.timeStamp
contiene l'ora dell'operazione controllata.protoPayload
contiene le informazioni controllate.
Dati del logging di controllo, che sono una
AuditLog
contenuto nel campoprotoPayload
della voce di log.Informazioni di audit facoltative e specifiche del servizio, che sono un valore . Per le integrazioni precedenti, questo oggetto si trova in
serviceData
campo dell'oggettoAuditLog
; integrazioni più recenti usano il campometadata
.Il campo
protoPayload.authenticationInfo.principalSubject
contiene l'utente principale. Indica chi ha eseguito l'azione.Il campo
protoPayload.methodName
contiene il nome del metodo API richiamato dal per conto dell'utente.Il campo
protoPayload.status
contiene lo stato della chiamata API. Un campo vuoto Il valorestatus
indica un successo. Un valorestatus
non vuoto indica un errore e contiene una descrizione dell'errore. Il codice di stato 7 indica autorizzazione negata.Il servizio
chronicle.googleapis.com
includeprotoPayload.authorizationInfo
. che contiene il nome del richiesta, il nome dell'autorizzazione verificata e se l'accesso è stato concesso o negato.
Per gli altri campi in questi oggetti e come interpretarli, consulta la sezione Comprendere log di controllo.
L'esempio seguente mostra i nomi dei log per il controllo dell'attività di amministrazione a livello di progetto log e gli audit log di accesso ai dati. Le variabili indicano il progetto Google Cloud identificatori.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Abilitazione degli audit log
Per abilitare l'audit logging per il servizio chronicle.googleapis.com
, consulta
Abilitare gli audit log di accesso ai dati.
Per abilitare il logging di controllo per altri servizi, contatta
Assistenza Google SecOps.
Archiviazione degli audit log
- Audit log di Google SecOps: archiviati in un progetto Google Cloud di proprietà di dopo aver abilitato l'API Google SecOps.
- Audit log legacy (tra cui
malachitefrontend-pa.googleapis.com
): archiviati in un progetto Google Cloud. - Audit log delle attività di amministrazione: sono sempre abilitati e non possono essere disabilitati. Per visualizzarle, prima di tutto eseguire la migrazione dell'istanza Google SecOps in IAM per il controllo dell'accesso.
- Audit log di accesso ai dati: abilitati per impostazione predefinita. Per disattivarla nella tua app contatta il tuo rappresentante Google SecOps. Google SecOps scrive gli audit log di accesso ai dati e attività di amministrazione nel progetto.
Configura gli audit log di accesso ai dati in modo da includere i dati di ricerca
Per completare le query di ricerca UDM e di log non elaborate nel controllo di Google Security Operations di accesso ai dati, aggiorna la configurazione degli audit log di accesso ai dati con le autorizzazioni necessarie.
- Nel pannello di navigazione della console Google Cloud, seleziona IAM e Amministratore > Audit log.
- Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
- In Configurazione degli audit log di accesso ai dati, seleziona API Google Security Operations.
- Nella scheda Tipi di autorizzazioni, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
- Fai clic su Salva.
- Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.
Visualizza i log
Per trovare e visualizzare gli audit log, utilizza l'ID progetto Google Cloud. Per legacy
l'audit logging di malachitefrontend-pa.googleapis.com
è stato configurato utilizzando un
Progetto di proprietà di Google Cloud, l'assistenza Google Security Operations ti ha fornito questo
informazioni. Puoi specificare anche altri URL
LogEntry
campi, come
resource.type
. Per ulteriori informazioni, consulta Trovare le voci di log
rapidamente.
Nella console Google Cloud, utilizza Esplora log per recuperare voci di audit log per il progetto Google Cloud:
Nella console Google Cloud, vai alla Logging > Esplora log.
Nella pagina Esplora log, seleziona un'istanza esistente il progetto, la cartella o l'organizzazione Google Cloud.
Nel riquadro Query Builder, procedi nel seguente modo:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui che vuoi visualizzare.
In Nome log, seleziona il tipo di audit log che vuoi visualizzare:
Per gli audit log per le attività di amministrazione, seleziona attività.
Per gli audit log di accesso ai dati, seleziona data_access.
Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo in il progetto, la cartella o l'organizzazione Google Cloud.
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Creare query di log.
Ecco un esempio di voce dell'audit log e come trovare la più importante per ulteriori informazioni, consulta Esempio di log di controllo .
Esempi: chronicle.googleapis.com
log dei nomi dei servizi
Le seguenti sezioni descrivono casi d'uso comuni per Cloud Audit Logs che
usano il nome del servizio chronicle.googleapis.com
.
Elenco delle azioni intraprese da un utente specifico
Per trovare le azioni eseguite da un determinato utente, esegui questa query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui questa query nel Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Esempio: cloudresourcemanager.googleapis.com
log del nome del servizio
Per trovare gli utenti che hanno aggiornato un ruolo o un oggetto di controllo dell'accesso, esegui in Esplora log:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Esempi: malachitefrontend-pa.googleapis.com
log dei nomi dei servizi
Le seguenti sezioni descrivono casi d'uso comuni per Cloud Audit Logs che
usano il nome del servizio malachitefrontend-pa.googleapis.com
.
Elenco delle azioni intraprese da un utente specifico
Per trovare le azioni eseguite da un determinato utente, esegui questa query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato un oggetto di controllo dell'accesso, esegui questa query In Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso, esegui questa query Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui questa query nel Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Passaggi successivi
- Log di controllo di Google SecOps
- Panoramica di Cloud Audit Logs
- Informazioni sui log di controllo
- Log di controllo disponibili
- Prezzi di Google Cloud Observability: Cloud Logging