Informations sur les journaux d'audit Google Security Operations

Les services Google Cloud génèrent des journaux d'audit pour vous indiquer qui a fait quoi, où et quand au sein de vos ressources Google Cloud. Cette page décrit les journaux d'audit créés par Google Security Operations et écrits sous la forme de Cloud Audit Logs.

Pour découvrir Cloud Audit Logs, consultez la page Présentation de Cloud Audit Logs. Pour en savoir plus sur le format des journaux d'audit, consultez la page Comprendre les journaux d'audit.

Journaux d'audit disponibles

Le nom du service de journal d'audit et les opérations auditées diffèrent selon le programme Preview auquel vous êtes inscrit. Les journaux d'audit Google Security Operations utilisent l'un des noms de service suivants:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Les opérations d'audit utilisent le type de ressource audited_resource pour tous les journaux d'audit écrits, quel que soit le programme d'aperçu. Il n'y a aucune différence en fonction du programme Preview auquel vous êtes inscrit.

Journaux avec le nom de service chronicle.googleapis.com

Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations avec le nom de service chronicle.googleapis.com.

Pour en savoir plus, consultez la page Autorisations Google SecOps dans IAM.

Type de journal d'audit Description
Journaux d'audit pour les activités d'administration Cela inclut les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la mise à jour de flux et la création de règles.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Journaux d'audit pour l'accès aux données Elles incluent les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Cela inclut également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent l'obtention de flux et les règles de listage.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Journaux avec le nom de service chronicleservicemanager.googleapis.com

Les journaux d'audit Google Security Operations écrits à l'aide du nom de service chronicleservicemanager.googleapis.com ne sont disponibles qu'au niveau de l'organisation, et non au niveau du projet.

Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations écrits à l'aide du nom de service chronicleservicemanager.googleapis.com.

Type de journal d'audit Description
Journaux d'audit pour les activités d'administration Cela inclut les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la création d'une association Google Cloud et la mise à jour des filtres de journaux Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Journaux d'audit pour l'accès aux données Elles incluent les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Cela inclut également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la liste des instances et les métadonnées client.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Journaux avec le nom de service malachitefrontend-pa.googleapis.com

Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations avec le nom de service malachitefrontend-pa.googleapis.com.

Les opérations de l'API Google Security Operations Frontend fournissent des données depuis et vers l'interface utilisateur de Google Security Operations. L'API Google Security Operations Frontend correspond aux opérations d'accès aux données.

Type de journal d'audit Opérations Google Security Operations
Journaux d'audit pour les activités d'administration Inclut les activités liées aux mises à jour, telles que UpdateRole et UpdateSubject.
Journaux d'audit pour l'accès aux données Inclut les activités liées aux vues, telles que ListRoles et ListSubjects.

Format des journaux d'audit

Les entrées des journaux d'audit comprennent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants:

    • logName, qui contient l'ID de ressource et le type de journal d'audit.
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit.
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée.
    • protoPayload contient les informations auditées.
  • Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal

  • Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations plus anciennes, cet objet est conservé dans le champ serviceData de l'objet AuditLog. Les intégrations plus récentes utilisent le champ metadata.

  • Le champ protoPayload.authenticationInfo.principalSubject contient le principal de l'utilisateur. Indique qui a effectué l'action.

  • Le champ protoPayload.methodName contient le nom de la méthode API appelée par l'interface utilisateur pour le compte de l'utilisateur.

  • Le champ protoPayload.status contient l'état de l'appel d'API. Une valeur status vide indique la réussite de l'opération. Une valeur status non vide indique un échec et contient une description de l'erreur. Le code d'état 7 indique que l'autorisation a été refusée.

  • Le service chronicle.googleapis.com inclut le champ protoPayload.authorizationInfo. Ce champ contient le nom de la ressource demandée, le nom de l'autorisation vérifiée et si l'accès a été accordé ou refusé.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la page Comprendre les journaux d'audit.

L'exemple suivant présente les noms des journaux d'audit des activités d'administration au niveau du projet et des journaux d'audit des accès aux données. Les variables désignent des identifiants de projet Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Activer la journalisation d'audit

Pour activer les journaux d'audit pour le service chronicle.googleapis.com, consultez la section Activer les journaux d'audit des accès aux données. Pour activer les journaux d'audit pour d'autres services, contactez l'assistance Google SecOps.

Stockage des journaux d'audit

  • Journaux d'audit Google SecOps: stockés dans un projet Google Cloud qui vous appartient après l'activation de l'API Google SecOps.
  • Anciens journaux d'audit (y compris malachitefrontend-pa.googleapis.com): stockés dans un projet Google Cloud.
  • Journaux d'audit des activités d'administration: ils sont toujours activés et ne peuvent pas être désactivés. Pour les afficher, migrez d'abord votre instance Google SecOps vers IAM pour le contrôle des accès.
  • Journaux d'audit des accès aux données: activés par défaut. Pour la désactiver dans votre projet appartenant au client, contactez votre représentant Google SecOps. Google SecOps écrit les journaux d'audit des accès aux données et des activités d'administration dans le projet.

Configurer les journaux d'audit des accès aux données pour inclure les données de recherche

Pour renseigner les requêtes de recherche UDM et de recherche dans les journaux bruts dans les journaux d'audit Google Security Operations, mettez à jour la configuration des journaux d'audit des accès aux données avec les autorisations nécessaires.

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez IAM et administration > Journaux d'audit.
  2. Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
  3. Dans Configuration des journaux d'audit pour l'accès aux données, sélectionnez API Google Security Operations.
  4. Dans l'onglet Types d'autorisations, sélectionnez toutes les autorisations listées (Lecture administrateur, Lecture de données, Écriture de données).
  5. Cliquez sur Enregistrer.
  6. Répétez les étapes 3 à 5 pour l'API Chronicle Service Manager.

Afficher les journaux

Pour rechercher et afficher les journaux d'audit, utilisez l'ID du projet Google Cloud. L'assistance Google Security Operations vous a fourni les informations suivantes concernant les anciens journaux d'audit de malachitefrontend-pa.googleapis.com configurés à l'aide d'un projet appartenant à Google Cloud. Vous pouvez également spécifier d'autres champs LogEntry indexés, tels que resource.type. Pour en savoir plus, consultez la section Rechercher des entrées de journal rapidement.

Dans la console Google Cloud, récupérez les entrées du journal d'audit du projet Google Cloud à l'aide de l'explorateur de journaux:

  1. Dans la console Google Cloud, accédez à la page Journalisation > Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Sur la page Explorateur de journaux, sélectionnez un projet, un dossier ou une organisation Google Cloud existant.

  3. Dans le volet Générateur de requêtes, procédez comme suit :

    • Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

    • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.

    • Pour les journaux d'audit des accès aux données, sélectionnez data_access.

    Si ces options ne s'affichent pas, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.

    Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes de journal.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la section Exemple d'entrée de journal d'audit.

Exemples: journaux du nom de service chronicle.googleapis.com

Les sections suivantes décrivent des cas d'utilisation courants de Cloud Audit Logs qui utilisent le nom de service chronicle.googleapis.com.

Lister les actions effectuées par un utilisateur spécifique

Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identifier les utilisateurs qui ont effectué une action spécifique

Pour rechercher les utilisateurs ayant mis à jour une règle de détection, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemple: Journal du nom du service cloudresourcemanager.googleapis.com

Pour rechercher les utilisateurs qui ont mis à jour un rôle ou un objet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemples: journaux du nom de service malachitefrontend-pa.googleapis.com

Les sections suivantes décrivent des cas d'utilisation courants de Cloud Audit Logs qui utilisent le nom de service malachitefrontend-pa.googleapis.com.

Lister les actions effectuées par un utilisateur spécifique

Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identifier les utilisateurs qui ont effectué une action spécifique

Pour rechercher les utilisateurs qui ont mis à jour un sujet de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Pour rechercher les utilisateurs qui ont mis à jour un rôle de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Pour rechercher les utilisateurs ayant mis à jour une règle de détection, exécutez la requête suivante dans l'explorateur de journaux:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

Étapes suivantes