Información de registro de auditoría de Google SecOps
Los servicios deGoogle Cloud escriben registros de auditoría para ayudarte a saber quién hizo qué, dónde y cuándo dentro de tus recursos de Google Cloud . En esta página, se describen los registros de auditoría que crea Google Security Operations y se escriben como registros de auditoría de Cloud.
Consulta Descripción general de los registros de auditoría de Cloud para obtener una descripción general de estos registros. Para comprender mejor el formato del registro de auditoría, consulta Información sobre los registros de auditoría.
Registros de auditoría disponibles
El nombre del servicio de registro de auditoría y las operaciones auditadas varían según el programa de versión preliminar en el que te inscribiste. Los registros de auditoría de Google SecOps usan uno de los siguientes nombres de servicio:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Las operaciones de auditoría usan el tipo de recurso audited_resource
para todos los registros de auditoría escritos, independientemente del programa de versión preliminar. No hay diferencias según el programa de versión preliminar en el que te inscribiste.
Registros con el nombre del servicio chronicle.googleapis.com
Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio chronicle.googleapis.com
.
Para obtener más información, consulta Permisos de Google SecOps en IAM.
Tipo de registro de auditoría | Descripción |
---|---|
Registros de auditoría de actividad del administrador | Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones en Google SecOps que generan este tipo de registro incluyen la actualización de feeds y la creación de reglas.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Registros de auditoría de acceso a los datos | Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Las acciones en Google SecOps que generan este tipo de registro incluyen la obtención de feeds y la enumeración de reglas.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Registros con el nombre del servicio chronicleservicemanager.googleapis.com
Los registros de auditoría de Google SecOps escritos con el nombre de servicio chronicleservicemanager.googleapis.com
solo están disponibles a nivel de la organización, no a nivel del proyecto.
Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps escritos con el nombre del servicio chronicleservicemanager.googleapis.com
.
Tipo de registro de auditoría | Descripción |
---|---|
Registros de auditoría de actividad del administrador | Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones en Google SecOps que generan este tipo de registro incluyen la creación de una asociación Google Cloud y la actualización de los filtros de registro Google Cloud .chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Registros de auditoría de acceso a los datos | Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Las acciones en Google SecOps que generan este tipo de registro incluyen la enumeración de instancias y los metadatos del cliente.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Registros con el nombre del servicio malachitefrontend-pa.googleapis.com
Los siguientes tipos de registros están disponibles para los registros de auditoría de Google SecOps con el nombre de servicio malachitefrontend-pa.googleapis.com
.
Las operaciones de la API de Chronicle Frontend proporcionan datos a la IU de Google SecOps y desde ella. En términos generales, la API de Chronicle Frontend consta de operaciones de acceso a datos.
Tipo de registro de auditoría | Operaciones de Google SecOps |
---|---|
Registros de auditoría de actividad del administrador | Incluye actividad relacionada con las actualizaciones, como UpdateRole y UpdateSubject . |
Registros de auditoría de acceso a los datos | Incluye la actividad relacionada con las vistas, como ListRoles y ListSubjects . |
Formato del registro de auditoría
Las entradas del registro de auditoría incluyen los siguientes objetos:
La entrada de registro, que es un objeto de tipo
LogEntry
. Los campos útiles incluyen los siguientes:logName
contiene el ID del recurso y el tipo de registro de auditoría.resource
contiene el objetivo de la operación auditada.timeStamp
contiene la hora de la operación auditada.protoPayload
contiene la información auditada.
Los datos de registro de auditoría, que son un objeto
AuditLog
alojado en el campoprotoPayload
de la entrada de registro.La información opcional de auditoría específica del servicio, que es un objeto específico del servicio. En las integraciones más antiguas, este objeto se guarda en el campo
serviceData
del objetoAuditLog
. Las integraciones más recientes usan el campometadata
.El campo
protoPayload.authenticationInfo.principalSubject
contiene el principal del usuario. Indica quién realizó la acción.El campo
protoPayload.methodName
contiene el nombre del método de la API que invoca la IU en nombre del usuario.El campo
protoPayload.status
contiene el estado de la llamada a la API. Un valorstatus
vacío indica que la operación se realizó correctamente. Un valor destatus
no vacío indica un error y contiene una descripción del error. El código de estado 7 indica que se denegó el permiso.El servicio
chronicle.googleapis.com
incluye el campoprotoPayload.authorizationInfo
. Contiene el nombre del recurso solicitado, el nombre del permiso que se verificó y si se otorgó o denegó el acceso.
Para obtener información sobre otros campos en estos objetos, además de cómo interpretarlos, consulta Información sobre los registros de auditoría.
En el siguiente ejemplo, se muestran los nombres de registro para los registros de auditoría de actividad del administrador y los registros de auditoría de acceso a los datos a nivel del proyecto. Las variables denotan identificadores de Google Cloud proyectos.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Habilita el registro de auditoría
Para habilitar el registro de auditoría del servicio chronicle.googleapis.com
, consulta Habilita los registros de auditoría de acceso a los datos.
Para habilitar el registro de auditoría para otros servicios, comunícate con la Asistencia de SecOps de Google.
Almacenamiento de registros de auditoría
- Registros de auditoría de Google SecOps: Se almacenan en un proyecto Google Cloud de tu propiedad después de habilitar la API de Google SecOps.
- Registros de auditoría heredados (incluido
malachitefrontend-pa.googleapis.com
): Se almacenan en un proyecto deGoogle Cloud . - Registros de auditoría de actividad del administrador: Siempre están habilitados y no se pueden inhabilitar. Para verlos, primero migra tu instancia de Google SecOps a IAM para el control de acceso.
- Registros de auditoría de acceso a los datos: Están habilitados de forma predeterminada. Para inhabilitar esta opción en tu proyecto propiedad del cliente, comunícate con tu representante de Google SecOps. Las Operaciones de seguridad de Google escriben registros de auditoría de acceso a los datos y de actividad del administrador en el proyecto.
Configura los registros de auditoría de acceso a los datos para que incluyan los datos de búsqueda
Para completar las búsquedas de UDM y las búsquedas de registros sin procesar en los registros de auditoría de Google SecOps, actualiza la configuración de los registros de auditoría de acceso a los datos con los permisos necesarios.
- En el panel de navegación de la consola de Google Cloud , selecciona IAM y administración > Registros de auditoría.
- Selecciona un Google Cloud proyecto, una carpeta o una organización existentes.
- En Configuración de registros de auditoría de acceso a los datos, selecciona API de Chronicle.
- En la pestaña Tipos de permisos, selecciona todos los permisos que se indican (Lectura de administración, Lectura de datos y Escritura de datos).
- Haz clic en Guardar.
- Repite los pasos del 3 al 5 para la API de Chronicle Service Manager.
Ver registros
Para encontrar y ver los registros de auditoría, usa el ID del proyecto Google Cloud . En el caso del registro de auditoría heredado de malachitefrontend-pa.googleapis.com
configurado con un proyecto propiedad deGoogle Cloud, el equipo de asistencia de Google SecOps te proporcionó esta información. Además, puedes especificar otros campos LogEntry
indexados, como resource.type
. Para obtener más información, consulta Cómo encontrar entradas de registro rápidamente.
En la consola de Google Cloud , usa el Explorador de registros para recuperar las entradas de registro de auditoría del proyecto Google Cloud :
En la Google Cloud consola, ve a la página Logging > Explorador de registros.
En la página Explorador de registros, selecciona unGoogle Cloud proyecto, una carpeta o una organización existentes.
En el panel Compilador de consultas, sigue estos pasos:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría quieres consultar.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
En los registros de auditoría de acceso a los datos, selecciona data_access.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el Google Cloud proyecto, la carpeta o la organización.
Para obtener más información sobre las consultas con el Explorador de registros, consulta Compila consultas de registros.
Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulta Ejemplo de entrada de registro de auditoría.
Ejemplos: Registros del nombre del servicio chronicle.googleapis.com
En las siguientes secciones, se describen casos de uso comunes de Registros de auditoría de Cloud que utilizan el nombre de servicio chronicle.googleapis.com
.
Cómo enumerar las acciones realizadas por un usuario específico
Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Cómo identificar a los usuarios que realizaron una acción específica
Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Ejemplo: Registro del nombre del servicio cloudresourcemanager.googleapis.com
Para encontrar los usuarios que actualizaron un rol o un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Ejemplos: Registros del nombre del servicio malachitefrontend-pa.googleapis.com
En las siguientes secciones, se describen casos de uso comunes de Registros de auditoría de Cloud que utilizan el nombre de servicio malachitefrontend-pa.googleapis.com
.
Cómo enumerar las acciones realizadas por un usuario específico
Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Cómo identificar a los usuarios que realizaron una acción específica
Para encontrar los usuarios que actualizaron un sujeto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Para encontrar los usuarios que actualizaron un rol de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Para encontrar los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
¿Qué sigue?
- Descripción general de los registros de auditoría de Cloud
- Información sobre los registros de auditoría
- Registros de auditoría disponibles
- Precios de Google Cloud Observability: Cloud Logging
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.