Informations sur les journaux d'audit Google SecOps
Les servicesGoogle Cloud génèrent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos ressources Google Cloud . Cette page décrit les journaux d'audit créés par Google Security Operations et écrits en tant que journaux d'audit Cloud.
Pour découvrir Cloud Audit Logs, consultez la présentation de Cloud Audit Logs. Pour en savoir plus sur le format des journaux d'audit, consultez Comprendre les journaux d'audit.
Journaux d'audit disponibles
Le nom du service de journaux d'audit et les opérations auditées varient selon le programme d'aperçu auquel vous êtes inscrit. Les journaux d'audit Google SecOps utilisent l'un des noms de service suivants :
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Les opérations d'audit utilisent le type de ressource audited_resource
pour tous les journaux d'audit écrits, quel que soit le programme Preview. Il n'y a aucune différence selon le programme Preview auquel vous êtes inscrit.
Journaux avec le nom de service chronicle.googleapis.com
Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps avec le nom de service chronicle.googleapis.com
.
Pour en savoir plus, consultez Autorisations Google SecOps dans IAM.
Type de journal d'audit | Description |
---|---|
Journaux d'audit pour les activités d'administration | Ils incluent les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Les actions effectuées dans Google SecOps qui génèrent ce type de journal incluent la mise à jour des flux et la création de règles.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Journaux d'audit pour l'accès aux données | Inclut les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Ils comprennent également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Les actions dans Google SecOps qui génèrent ce type de journal incluent l'obtention de flux et la liste des règles.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Journaux avec le nom de service chronicleservicemanager.googleapis.com
Les journaux d'audit Google SecOps écrits à l'aide du nom de service chronicleservicemanager.googleapis.com
ne sont disponibles qu'au niveau de l'organisation, et non au niveau du projet.
Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps écrits à l'aide du nom de service chronicleservicemanager.googleapis.com
.
Type de journal d'audit | Description |
---|---|
Journaux d'audit pour les activités d'administration | Ils incluent les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Les actions dans Google SecOps qui génèrent ce type de journal incluent la création d'une association Google Cloud et la mise à jour des filtres de journaux Google Cloud .chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Journaux d'audit pour l'accès aux données | Inclut les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Ils comprennent également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Les actions dans Google SecOps qui génèrent ce type de journal incluent la liste des instances et les métadonnées client.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Journaux avec le nom de service malachitefrontend-pa.googleapis.com
Les types de journaux suivants sont disponibles pour les journaux d'audit Google SecOps avec le nom de service malachitefrontend-pa.googleapis.com
.
Les opérations de l'API Chronicle Frontend fournissent des données à l'interface utilisateur Google SecOps et en reçoivent. L'API Frontend Chronicle se compose principalement d'opérations d'accès aux données.
Type de journal d'audit | Opérations Google SecOps |
---|---|
Journaux d'audit pour les activités d'administration | Inclut les activités liées aux mises à jour, telles que UpdateRole et UpdateSubject . |
Journaux d'audit pour l'accès aux données | Inclut les activités liées aux vues, telles que ListRoles et ListSubjects . |
Format des journaux d'audit
Les entrées des journaux d'audit comprennent les objets suivants :
L'entrée de journal proprement dite, qui est un objet de type
LogEntry
. Les champs utiles sont les suivants :logName
, qui contient l'ID de ressource et le type de journal d'auditresource
, qui contient la cible de l'opération faisant l'objet d'un audit.timeStamp
, qui indique l'heure à laquelle l'opération auditée a été effectuée.protoPayload
, qui contient les informations auditées
Les données de journalisation d'audit, qui correspondent à un objet
AuditLog
inclus dans le champprotoPayload
de l'entrée de journal.Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations plus anciennes, cet objet est conservé dans le champ
serviceData
de l'objetAuditLog
. Les intégrations plus récentes utilisent le champmetadata
.Le champ
protoPayload.authenticationInfo.principalSubject
contient le principal utilisateur. Indique qui a effectué l'action.Le champ
protoPayload.methodName
contient le nom de la méthode d'API appelée par l'UI au nom de l'utilisateur.Le champ
protoPayload.status
contient l'état de l'appel d'API. Une valeurstatus
vide indique que l'opération a réussi. Une valeurstatus
non vide indique un échec et contient une description de l'erreur. Le code d'état 7 indique que l'accès est refusé.Le service
chronicle.googleapis.com
inclut le champprotoPayload.authorizationInfo
. Il contient le nom de la ressource demandée, le nom de l'autorisation vérifiée et indique si l'accès a été accordé ou refusé.
Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez Comprendre les journaux d'audit.
L'exemple ci-dessous présente les noms des journaux d'audit des activités d'administration au niveau du projet et des journaux d'audit d'accès aux données. Les variables désignent les identifiants de projet Google Cloud .
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Activer la journalisation d'audit
Pour activer la journalisation d'audit pour le service chronicle.googleapis.com
, consultez Activer les journaux d'audit des accès aux données.
Pour activer la journalisation d'audit pour d'autres services, contactez l'assistance Google SecOps.
Stockage des journaux d'audit
- Journaux d'audit Google SecOps : stockés dans un projet Google Cloud qui vous appartient après l'activation de l'API Google SecOps.
- Anciens journaux d'audit (y compris
malachitefrontend-pa.googleapis.com
) : stockés dans un projetGoogle Cloud . - Journaux d'audit des activités d'administration : toujours activés et ne peuvent pas être désactivés. Pour les afficher, migrez d'abord votre instance Google SecOps vers IAM pour le contrôle des accès.
- Journaux d'audit pour l'accès aux données : activés par défaut. Pour le désactiver dans votre projet, contactez votre représentant Google SecOps. Google SecOps écrit les journaux d'audit des accès aux données et des activités d'administration dans le projet.
Configurer les journaux d'audit des accès aux données pour inclure les données de recherche
Pour remplir les requêtes de recherche UDM et de recherche dans les journaux bruts dans les journaux d'audit Google SecOps, mettez à jour la configuration des journaux d'audit pour l'accès aux données avec les autorisations nécessaires.
- Dans le panneau de navigation de la console Google Cloud , sélectionnez IAM et administration > Journaux d'audit.
- Sélectionnez un projet, un dossier ou une organisation Google Cloud existants.
- Dans Configuration des journaux d'audit pour l'accès aux données, sélectionnez API Chronicle.
- Dans l'onglet Types d'autorisations, sélectionnez toutes les autorisations listées (Lecture administrateur, Lecture de données, Écriture de données).
- Cliquez sur Enregistrer.
- Répétez les étapes 3 à 5 pour l'API Chronicle Service Manager.
Afficher les journaux
Pour rechercher et afficher des journaux d'audit, utilisez l'ID du projet Google Cloud . Pour l'ancienne journalisation d'audit de malachitefrontend-pa.googleapis.com
configurée à l'aide d'un projet appartenant àGoogle Cloud, l'assistance Google SecOps vous a fourni ces informations. Vous pouvez également spécifier d'autres champs LogEntry
indexés, comme resource.type
. Pour en savoir plus, consultez Trouver des entrées de journal rapidement.
Dans la console Google Cloud , utilisez l'explorateur de journaux pour récupérer les entrées du journal d'audit du projet Google Cloud :
Dans la console Google Cloud , accédez à la page Journaux > Explorateur de journaux.
Sur la page Explorateur de journaux, sélectionnez un projet, un dossier ou une organisationGoogle Cloud existants.
Dans le volet Générateur de requêtes, procédez comme suit :
Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
Pour les journaux d'audit des accès aux données, sélectionnez data_access.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud .
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez Créer des requêtes de journal.
Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la page Exemple d'entrée de journal d'audit.
Exemples : journaux de nom de service chronicle.googleapis.com
Les sections suivantes décrivent les cas d'utilisation courants de Cloud Audit Logs qui utilisent le nom de service chronicle.googleapis.com
.
Lister les actions effectuées par un utilisateur spécifique
Pour trouver les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifier les utilisateurs ayant effectué une action spécifique
Pour trouver les utilisateurs qui ont modifié une règle de détection, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Exemple : journal du nom de service cloudresourcemanager.googleapis.com
Pour trouver les utilisateurs qui ont modifié un rôle ou un sujet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Exemples : journaux de nom de service malachitefrontend-pa.googleapis.com
Les sections suivantes décrivent les cas d'utilisation courants de Cloud Audit Logs qui utilisent le nom de service malachitefrontend-pa.googleapis.com
.
Lister les actions effectuées par un utilisateur spécifique
Pour trouver les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifier les utilisateurs ayant effectué une action spécifique
Pour trouver les utilisateurs qui ont modifié un sujet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Pour trouver les utilisateurs qui ont modifié un rôle de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Pour trouver les utilisateurs qui ont modifié une règle de détection, exécutez la requête suivante dans l'explorateur de journaux :
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Étapes suivantes
- Présentation de Cloud Audit Logs
- Comprendre les journaux d'audit
- Journaux d'audit disponibles
- Tarifs Google Cloud Observability : Cloud Logging
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.