Información sobre los registros de auditoría de Google SecOps

Disponible en:

Los servicios deGoogle Cloud escriben registros de auditoría para informarte de quién ha hecho qué, dónde y cuándo en tus recursos de Google Cloud . En esta página se describen los registros de auditoría creados por Google Security Operations y escritos como registros de auditoría de Cloud.

Para obtener una descripción general de los registros de auditoría de Cloud, consulta el artículo Información general sobre los registros de auditoría de Cloud. Para obtener más información sobre el formato de los registros de auditoría, consulta el artículo Interpretar los registros de auditoría.

Registros de auditoría disponibles

El nombre del servicio de registro de auditoría y las operaciones auditadas varían en función del programa de vista previa en el que te hayas registrado. Los registros de auditoría de Google SecOps usan uno de los siguientes nombres de servicio:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Las operaciones de auditoría utilizan el tipo de recurso audited_resource para todos los registros de auditoría escritos, independientemente del programa de vista previa. No hay ninguna diferencia en función del programa de vista previa en el que te hayas registrado.

Registros con el nombre de servicio chronicle.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio chronicle.googleapis.com.

Para obtener más información, consulta los permisos de Google SecOps en IAM.

Tipo de registro de auditoría Descripción
Registros de auditoría de la actividad administrativa Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Entre las acciones de Google SecOps que generan este tipo de registro se incluyen la actualización de feeds y la creación de reglas.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Entre las acciones de Google SecOps que generan este tipo de registro se incluyen la obtención de feeds y la creación de listas de reglas.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros con el nombre de servicio chronicleservicemanager.googleapis.com

Los registros de auditoría de Google SecOps escritos con el nombre de servicio chronicleservicemanager.googleapis.com solo están disponibles a nivel de organización, no a nivel de proyecto.

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps escritos con el nombre de servicio chronicleservicemanager.googleapis.com.

Tipo de registro de auditoría Descripción
Registros de auditoría de la actividad administrativa Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Entre las acciones de Google SecOps que generan este tipo de registro se incluyen la creación de una Google Cloud asociación y la actualización Google Cloud de filtros de registro.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Entre las acciones de Google SecOps que generan este tipo de registro se incluyen las instancias y los metadatos de clientes.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros con el nombre de servicio malachitefrontend-pa.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio malachitefrontend-pa.googleapis.com.

Las operaciones de la API de frontend de Chronicle proporcionan datos a la interfaz de usuario de Google SecOps y los reciben de ella. La API de frontend de Chronicle se compone principalmente de operaciones de acceso a datos.

Tipo de registro de auditoría Operaciones de Google SecOps
Registros de auditoría de la actividad administrativa Incluye la actividad relacionada con las actualizaciones, como UpdateRole y UpdateSubject.
Registros de auditoría de acceso a los datos Incluye la actividad relacionada con las visualizaciones, como ListRoles y ListSubjects.

Formato del registro de auditoría

Las entradas de los registros de auditoría incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry. Entre los campos útiles se incluyen los siguientes:

    • logName contiene el ID del recurso y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene la hora de la operación auditada.
    • protoPayload contiene la información auditada.

  • Datos de registro de auditoría, que es un objeto AuditLog que se encuentra en el campo protoPayload de la entrada de registro.

  • Información de auditoría específica del servicio opcional, que es un objeto específico del servicio. En las integraciones más antiguas, este objeto se encuentra en el campo serviceData del objeto AuditLog, mientras que en las integraciones más recientes se usa el campo metadata.

  • El campo protoPayload.authenticationInfo.principalSubject contiene el principal del usuario. Indica quién ha realizado la acción.

  • El campo protoPayload.methodName contiene el nombre del método de la API invocado por la interfaz de usuario en nombre del usuario.

  • protoPayload.status contiene el estado de la llamada a la API. Un valor vacío status indica que se ha completado correctamente. Un valor status no vacío indica un error y contiene una descripción del error. El código de estado 7 indica que se ha denegado el permiso.

  • El servicio chronicle.googleapis.com incluye el campo protoPayload.authorizationInfo. Contiene el nombre del recurso solicitado, el nombre del permiso que se ha comprobado y si se ha concedido o denegado el acceso.

Si quieres ver otros campos de estos objetos y cómo interpretarlos, consulta el artículo Información sobre los registros de auditoría.

En el siguiente ejemplo se muestran los nombres de los registros de auditoría de actividad de administración y de acceso a los datos a nivel de proyecto. Las variables denotan los identificadores de proyecto. Google Cloud 

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Habilitar el registro de auditoría

Para habilitar el registro de auditoría del servicio chronicle.googleapis.com, consulta Habilitar registros de auditoría de acceso a datos. Para habilitar el registro de auditoría en otros servicios, ponte en contacto con el equipo de Asistencia de SecOps de Google.

Almacenamiento de registros de auditoría

  • Registros de auditoría de Google SecOps: se almacenan en un Google Cloud proyecto de tu propiedad después de habilitar la API Google SecOps.
  • Registros de auditoría antiguos (incluidos los de malachitefrontend-pa.googleapis.com): se almacenan en un proyecto deGoogle Cloud .
  • Registros de auditoría de actividad de administración: están siempre habilitados y no se pueden inhabilitar. Para verlos, primero migra tu instancia de Google SecOps a IAM para controlar el acceso.
  • Registros de auditoría de acceso a datos: habilitados de forma predeterminada. Para inhabilitar esta opción en tu proyecto, ponte en contacto con tu representante de Google SecOps. Google SecOps escribe registros de auditoría de acceso a datos y de actividad de administrador en el proyecto.

Configurar los registros de auditoría de acceso a datos para que incluyan los datos de búsqueda

Para rellenar las consultas de búsqueda de UDM y de registros sin procesar en los registros de auditoría de Google SecOps, actualice la configuración de los registros de auditoría de acceso a datos con los permisos necesarios.

  1. En el panel de navegación de la Google Cloud consola, selecciona IAM y administración > Registros de auditoría.
  2. Selecciona un proyecto, una carpeta o una organización Google Cloud .
  3. En Configuración de registros de auditoría de acceso a datos, selecciona API Chronicle.
  4. En la pestaña Tipos de permisos, selecciona todos los permisos que aparecen (Lectura de administrador, Lectura de datos y Escritura de datos).
  5. Haz clic en Guardar.
  6. Repite los pasos del 3 al 5 para la API Chronicle Service Manager.

Ver registros

Para buscar y ver registros de auditoría, usa el ID de proyecto. Google Cloud Si ha configurado el registro de auditoría antiguo de malachitefrontend-pa.googleapis.com mediante un proyecto propiedad deGoogle Cloud, el equipo de Asistencia de Google SecOps le habrá proporcionado esta información. También puedes especificar otros campos indexados LogEntry, como resource.type. Para obtener más información, consulta Buscar entradas de registro rápidamente.

En la Google Cloud consola, usa el Explorador de registros para obtener las entradas del registro de auditoría del proyecto Google Cloud :

  1. En la Google Cloud consola, ve a la página Logging > Logs Explorer.

    Ir a Explorador de registros

  2. En la página Explorador de registros, selecciona unGoogle Cloud proyecto, una carpeta o una organización.

  3. En el panel Creador de consultas, haga lo siguiente:

    • En Tipo de recurso, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que quieras ver:

    • En el caso de los registros de auditoría de actividad de administración, selecciona activity.

    • En el caso de los registros de auditoría de acceso a datos, selecciona data_access.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización Google Cloud .

    Para obtener más información sobre cómo hacer consultas con el Explorador de registros, consulta el artículo Crear consultas de registro.

Para ver un ejemplo de entrada de registro de auditoría y cómo encontrar la información más importante, consulta el artículo Ejemplo de entrada de registro de auditoría.

Ejemplos: registros de nombre de servicio chronicle.googleapis.com

En las siguientes secciones se describen casos prácticos habituales de registros de auditoría de Cloud que usan el nombre de servicio chronicle.googleapis.com.

Listar las acciones realizadas por un usuario concreto

Para encontrar las acciones que ha realizado un usuario concreto, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar a los usuarios que han realizado una acción específica

Para encontrar los usuarios que han actualizado una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Ejemplo: cloudresourcemanager.googleapis.com registro de nombre de servicio

Para encontrar los usuarios que han actualizado un rol o un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Ejemplos: registros de nombre de servicio malachitefrontend-pa.googleapis.com

En las siguientes secciones se describen casos prácticos habituales de registros de auditoría de Cloud que usan el nombre de servicio malachitefrontend-pa.googleapis.com.

Listar las acciones realizadas por un usuario concreto

Para encontrar las acciones que ha realizado un usuario concreto, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar a los usuarios que han realizado una acción específica

Para encontrar a los usuarios que han actualizado un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar los usuarios que han actualizado un rol de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar los usuarios que han actualizado una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.