Informazioni sugli audit log di Google Security Operations

I servizi Google Cloud scrivono audit log per aiutarti a indicare chi ha fatto cosa, dove e quando all'interno delle tue risorse Google Cloud. In questa pagina vengono descritti gli audit log creati da Google Security Operations e scritti come audit log di Cloud.

Per una panoramica generale di Cloud Audit Logs, consulta la panoramica di Cloud Audit Logs. Per una comprensione più approfondita del formato degli audit log, consulta Informazioni sugli audit log.

Log di controllo disponibili

Il nome del servizio di audit log e le operazioni controllate sono diversi a seconda del programma di anteprima a cui hai effettuato la registrazione. Gli audit log di Google Security Operations utilizzano uno dei seguenti nomi di servizio:

• chronicle.googleapis.com
• chronicleservicemanager.googleapis.com
• malachitefrontend-pa.googleapis.com

Le operazioni di audit utilizzano il tipo di risorsa audited_resource per tutti gli audit log scritti, indipendentemente dal programma di anteprima. Non ci sono differenze in base al programma Anteprima a cui hai effettuato la registrazione.

Log con nome servizio chronicle.googleapis.com

I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con il nome del servizio chronicle.googleapis.com.

Per maggiori informazioni, vedi Autorizzazioni Google SecOps in IAM.

Tipo di audit log	Descrizione
Audit log delle attività di amministrazione	Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni di Google Security Operations che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole. chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
Audit log degli accessi ai dati	Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dagli utenti. Le azioni in Google Security Operations che generano questo tipo di log includono la ricezione di feed e l'elenco di regole. chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Log con nome servizio chronicleservicemanager.googleapis.com

Gli audit log di Google Security Operations scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com sono disponibili solo a livello di organizzazione, non a livello di progetto.

I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com.

Tipo di audit log	Descrizione
Audit log delle attività di amministrazione	Sono incluse le operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni in Google Security Operations che generano questo tipo di log includono la creazione di un'associazione Google Cloud e l'aggiornamento dei filtri di log di Google Cloud. chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
Audit log degli accessi ai dati	Sono incluse le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dagli utenti. Le azioni in Google Security Operations che generano questo tipo di log includono l'elenco delle istanze e dei metadati dei clienti. chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get

Log con nome servizio malachitefrontend-pa.googleapis.com

I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con il nome del servizio malachitefrontend-pa.googleapis.com.

Le operazioni dell'API Google Security Operations Frontend forniscono dati da e verso la UI di Google Security Operations. L'API Google Security Operations Frontend è composta generalmente da operazioni di accesso ai dati.

Tipo di audit log	Operazioni di Google Security Operations
Audit log delle attività di amministrazione	Include attività relative agli aggiornamenti, come UpdateRole e UpdateSubject.
Audit log degli accessi ai dati	Include attività relative alle visualizzazioni, come ListRoles e ListSubjects.

Formato degli audit log

Le voci di audit log includono i seguenti oggetti:

• Voce di log stessa, che è un oggetto di tipo LogEntry. Ecco alcuni campi utili:

  • logName contiene l'ID risorsa e il tipo di audit log.
  • resource contiene il target dell'operazione controllata.
  • timeStamp contiene l'ora dell'operazione controllata.
  • protoPayload contiene le informazioni controllate.

• Dati del logging di controllo, che sono un oggetto AuditLog contenuto nel campo protoPayload della voce di log.

• Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto si trova nel campo serviceData dell'oggetto AuditLog; le integrazioni più recenti utilizzano il campo metadata.

• Il campo protoPayload.authenticationInfo.principalSubject contiene l'entità utente. Indica chi ha eseguito l'azione.

• Il campo protoPayload.methodName contiene il nome del metodo API richiamato dall'interfaccia utente per conto dell'utente.

• Il campo protoPayload.status contiene lo stato della chiamata API. Un valore status vuoto indica che l'operazione è riuscita. Un valore status non vuoto indica un errore e contiene una descrizione dell'errore. Il codice di stato 7 indica l'autorizzazione negata.

• Il servizio chronicle.googleapis.com include il campo protoPayload.authorizationInfo. Questa contiene il nome della risorsa richiesta, il nome dell'autorizzazione che è stata verificata e se l'accesso è stato concesso o negato.

Per altri campi in questi oggetti e per sapere come interpretarli, consulta la pagina Informazioni sugli audit log.

L'esempio seguente mostra i nomi dei log per gli audit log delle attività di amministrazione a livello di progetto e gli audit log di accesso ai dati. Le variabili indicano gli identificatori dei progetti Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Abilitazione degli audit log

Per abilitare l'audit logging per il servizio chronicle.googleapis.com, consulta Abilitare gli audit log di accesso ai dati. Per abilitare il logging di controllo per altri servizi, contatta l'assistenza Google SecOps.

Archiviazione degli audit log

• Audit log di Google SecOps: archiviati in un progetto Google Cloud di tua proprietà dopo l'abilitazione dell'API Google SecOps.
• Audit log legacy (tra cui malachitefrontend-pa.googleapis.com): archiviati in un progetto Google Cloud.
• Audit log delle attività di amministrazione: sono sempre abilitati e non possono essere disabilitati. Per visualizzarle, devi prima eseguire la migrazione dell'istanza Google SecOps in IAM per controllo dell'accesso dell'accesso.
• Audit log di accesso ai dati: abilitati per impostazione predefinita. Per disattivarla nel progetto di proprietà del cliente, contatta il tuo rappresentante Google SecOps. Google SecOps scrive gli audit log per l'accesso ai dati e l'attività di amministrazione nel progetto.

Configura gli audit log di accesso ai dati in modo da includere i dati di ricerca

Per compilare le query di ricerca UDM e di log non elaborate negli audit log di Google Security Operations, aggiorna la configurazione degli audit log di accesso ai dati con le autorizzazioni necessarie.

1. Nel pannello di navigazione della console Google Cloud, seleziona IAM e amministrazione > Audit log.
2. Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
3. In Configurazione degli audit log di accesso ai dati, seleziona API Google Security Operations.
4. Nella scheda Tipi di autorizzazioni, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
5. Fai clic su Salva.
6. Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.

visualizza i log

Per trovare e visualizzare gli audit log, utilizza l'ID progetto Google Cloud. Per l'audit logging precedente di malachitefrontend-pa.googleapis.com configurato utilizzando un progetto di proprietà di Google Cloud, l'assistenza per la sicurezza di Google ti ha fornito queste informazioni. Puoi specificare ulteriormente altri campi LogEntry indicizzati, ad esempio resource.type. Per ulteriori informazioni, consulta Trovare rapidamente le voci di log.

Nella console Google Cloud, utilizza Esplora log per recuperare le voci di audit log per il progetto Google Cloud:

1. Nella console Google Cloud, vai alla pagina Logging > Esplora log.

   Vai a Esplora log

2. Nella pagina Esplora log, seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.

3. Nel riquadro Query Builder, procedi nel seguente modo:

   • In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.

   • In Nome log, seleziona il tipo di audit log che vuoi visualizzare:

   • Per gli audit log per le attività di amministrazione, seleziona attività.

   • Per gli audit log di accesso ai dati, seleziona data_access.

   Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione di Google Cloud.

   Per maggiori informazioni sull'esecuzione di query mediante Esplora log, consulta Creare query di log.

Per un esempio di voce di audit log e su come trovare le informazioni più importanti al suo interno, consulta Voce di esempio dell'audit log.

Esempi: chronicle.googleapis.com log dei nomi dei servizi

Le seguenti sezioni descrivono i casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio chronicle.googleapis.com.

Elenco delle azioni intraprese da un utente specifico

Per trovare le azioni eseguite da un determinato utente, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificare gli utenti che hanno eseguito un'azione specifica

Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Esempio: cloudresourcemanager.googleapis.com log del nome del servizio

Per trovare gli utenti che hanno aggiornato un ruolo o un oggetto di controllo dell'accesso#39;accesso, esegui questa query in Esplora log:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Esempi: malachitefrontend-pa.googleapis.com log dei nomi dei servizi

Le seguenti sezioni descrivono i casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio malachitefrontend-pa.googleapis.com.

Elenco delle azioni intraprese da un utente specifico

Per trovare le azioni eseguite da un determinato utente, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificare gli utenti che hanno eseguito un'azione specifica

Per trovare gli utenti che hanno aggiornato un oggetto di controllo dell'accesso#39;accesso, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso#39;accesso, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui questa query in Esplora log:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Passaggi successivi

• Log di controllo di Google SecOps
• Panoramica di Cloud Audit Logs
• Informazioni sui log di controllo
• Log di controllo disponibili
• Prezzi di Google Cloud Observability: Cloud Logging