Informations sur les journaux d'audit Google Security Operations
Les services Google Cloud génèrent des journaux d'audit pour vous indiquer qui a fait quoi, où et dans vos ressources Google Cloud. Cette page décrit l'audit les journaux créés par Google Security Operations et écrits sous la forme Cloud Audit Logs.
Pour découvrir Cloud Audit Logs, consultez la page Cloud Audit Logs présentation. Pour mieux comprendre le journal d'audit consultez la section Comprendre les audits journaux.
Journaux d'audit disponibles
Le nom du service de journal d'audit et les opérations auditées diffèrent selon programme Preview auquel vous êtes inscrit. Les journaux d'audit Google Security Operations utilisent des noms de service suivants:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Les opérations d'audit utilisent le type de ressource audited_resource
pour toutes
les journaux d'audit écrits, quel que soit le programme d'aperçu. Il n'y a pas de différence
en fonction du programme Preview auquel vous êtes inscrit.
Journaux avec le nom de service chronicle.googleapis.com
Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations avec
Nom du service chronicle.googleapis.com
.
Pour en savoir plus, consultez la section Autorisations Google SecOps dans Cloud IAM.
Type de journal d'audit | Description |
---|---|
Journaux d'audit pour les activités d'administration | Cela inclut les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la mise à jour de flux et la création de règles.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Journaux d'audit pour l'accès aux données | Elles incluent les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Cela inclut également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent l'obtention de flux et les règles de listage.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Journaux avec le nom de service chronicleservicemanager.googleapis.com
Journaux d'audit Google Security Operations écrits à l'aide du
chronicleservicemanager.googleapis.com
ne sont disponibles qu'au niveau du
au niveau de l'organisation, et non au niveau du projet.
Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations écrits
à l'aide du nom de service chronicleservicemanager.googleapis.com
.
Type de journal d'audit | Description |
---|---|
Journaux d'audit pour les activités d'administration | Cela inclut les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la création d'une association Google Cloud et la mise à jour des filtres de journaux Google Cloud.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Journaux d'audit pour l'accès aux données | Elles incluent les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Cela inclut également les opérations de lecture de données et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur. Dans Google Security Operations, les actions qui génèrent ce type de journal incluent la liste des instances et les métadonnées client.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Journaux avec le nom de service malachitefrontend-pa.googleapis.com
Les types de journaux suivants sont disponibles pour les journaux d'audit Google Security Operations avec
Nom du service malachitefrontend-pa.googleapis.com
.
Les opérations de l'API Google Security Operations Frontend fournissent des données depuis et vers Interface utilisateur de Google Security Operations L'API Google Security Operations Frontend les opérations d'accès aux données.
Type de journal d'audit | Opérations Google Security Operations |
---|---|
Journaux d'audit pour les activités d'administration | Inclut les activités liées aux mises à jour, telles que UpdateRole et UpdateSubject . |
Journaux d'audit pour l'accès aux données | Inclut les activités liées aux vues, telles que ListRoles et ListSubjects . |
Format des journaux d'audit
Les entrées des journaux d'audit comprennent les objets suivants :
L'entrée de journal proprement dite, qui est un objet de type
LogEntry
Champs utiles incluent les éléments suivants:logName
, qui contient l'ID de ressource et le type de journal d'audit.resource
, qui contient la cible de l'opération faisant l'objet d'un audit.timeStamp
, qui indique l'heure à laquelle l'opération auditée a été effectuée.protoPayload
contient les informations auditées.
Les données des journaux d'audit, qui sont un
AuditLog
contenu dans le champprotoPayload
de l'entrée de journal.Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations plus anciennes, cet objet est conservé dans le champ
serviceData
de l'objetAuditLog
. Les intégrations plus récentes utilisent le champmetadata
.Le champ
protoPayload.authenticationInfo.principalSubject
contient l'utilisateur principal. Indique qui a effectué l'action.Le champ
protoPayload.methodName
contient le nom de la méthode API appelée par le pour le compte de l'utilisateur.Le champ
protoPayload.status
contient l'état de l'appel d'API. Une zone vide La valeurstatus
indique la réussite de l'opération. Une valeurstatus
non vide indique et contient une description de l'erreur. Le code d'état 7 indique autorisation refusée.Le service
chronicle.googleapis.com
inclut lesprotoPayload.authorizationInfo
. Il contient le nom du ressource demandée, le nom de l'autorisation vérifiée et si la l'accès a été accordé ou refusé.
Pour en savoir plus sur les autres champs de ces objets, ainsi que sur la façon de les interpréter, consultez la section Comprendre les journaux d'audit.
L'exemple suivant présente les noms des journaux pour l'audit des activités d'administration au niveau du projet les journaux d'audit et les journaux d'audit des accès aux données. Les variables indiquent un projet Google Cloud les identifiants.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Activer la journalisation d'audit
Pour activer les journaux d'audit pour le service chronicle.googleapis.com
, consultez
Activez les journaux d'audit des accès aux données.
Pour activer les journaux d'audit pour d'autres services, contactez
Assistance Google SecOps.
Stockage des journaux d'audit
- Journaux d'audit Google SecOps: stockés dans un projet Google Cloud appartenant à après avoir activé l'API Google SecOps.
- Anciens journaux d'audit (y compris
malachitefrontend-pa.googleapis.com
): stockés dans un projet Google Cloud. - Journaux d'audit des activités d'administration: ils sont toujours activés et ne peuvent pas être désactivés. Pour les afficher, commencez par migrer votre instance Google SecOps vers IAM pour contrôle des accès.
- Journaux d'audit des accès aux données: activés par défaut. Pour désactiver la fonctionnalité dans les applications appartenant au client pour votre projet, contactez votre représentant Google SecOps. Google SecOps écrit les journaux d'audit des accès aux données et des activités d'administration dans le projet.
Configurer les journaux d'audit des accès aux données pour inclure les données de recherche
Pour renseigner les requêtes de recherche UDM et de recherche dans les journaux bruts dans l'audit Google Security Operations les journaux d'audit, mettez à jour la configuration des journaux d'audit des accès aux données avec les autorisations nécessaires.
- Dans le panneau de navigation de la console Google Cloud, sélectionnez IAM et Admin > Journaux d'audit
- Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
- Dans Configuration des journaux d'audit pour l'accès aux données, sélectionnez API Google Security Operations.
- Dans l'onglet Types d'autorisations, sélectionnez toutes les autorisations listées (Lecture administrateur, Lecture de données, Écriture de données).
- Cliquez sur Enregistrer.
- Répétez les étapes 3 à 5 pour l'API Chronicle Service Manager.
Voir les journaux
Pour rechercher et afficher les journaux d'audit, utilisez l'ID du projet Google Cloud. Pour les anciens
les journaux d'audit de malachitefrontend-pa.googleapis.com
configurés à l'aide d'un
L'assistance Google Security Operations vous a fourni ce projet appartenant à Google Cloud
des informations. Vous pouvez également spécifier d'autres
Champs LogEntry
, tels que
resource.type
Pour plus d'informations, consultez la section Rechercher des entrées de journal
rapidement.
Dans la console Google Cloud, utilisez l'explorateur de journaux pour récupérer vos pour le projet Google Cloud:
Dans la console Google Cloud, accédez à Journalisation > Explorateur de journaux.
Sur la page Explorateur de journaux, sélectionnez un fichier un projet, un dossier ou une organisation Google Cloud.
Dans le volet Générateur de requêtes, procédez comme suit :
Dans Type de ressource, sélectionnez la ressource Google Cloud dont l'audit les journaux que vous voulez voir.
Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
Pour les journaux d'audit des accès aux données, sélectionnez data_access.
Si ces options ne s'affichent pas, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez les pages Créer des requêtes de journaux
Pour obtenir un exemple d'entrée de journal d'audit et savoir comment identifier les entrées de journal les plus importantes, d'audit, consultez la section Exemple de journal d'audit entrée.
Exemples: journaux du nom de service chronicle.googleapis.com
Les sections suivantes décrivent des cas d'utilisation courants de Cloud Audit Logs qui
utilisez le nom de service chronicle.googleapis.com
.
Lister les actions effectuées par un utilisateur spécifique
Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifier les utilisateurs qui ont effectué une action spécifique
Pour trouver les utilisateurs qui ont mis à jour une règle de détection, exécutez la requête suivante dans la Explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Exemple: Journal du nom du service cloudresourcemanager.googleapis.com
Pour rechercher les utilisateurs qui ont mis à jour un rôle ou un sujet de contrôle des accès, exécutez la la requête suivante dans l'explorateur de journaux:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Exemples: journaux du nom de service malachitefrontend-pa.googleapis.com
Les sections suivantes décrivent des cas d'utilisation courants de Cloud Audit Logs qui
utilisez le nom de service malachitefrontend-pa.googleapis.com
.
Lister les actions effectuées par un utilisateur spécifique
Pour rechercher les actions effectuées par un utilisateur donné, exécutez la requête suivante dans l'explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identifier les utilisateurs qui ont effectué une action spécifique
Pour trouver les utilisateurs qui ont mis à jour un sujet de contrôle des accès, exécutez la requête suivante : dans l'explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Pour rechercher les utilisateurs qui ont mis à jour un rôle de contrôle des accès, exécutez la requête suivante dans l'explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Pour trouver les utilisateurs qui ont mis à jour une règle de détection, exécutez la requête suivante dans la Explorateur de journaux:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Étape suivante
- Journaux d'audit Google SecOps
- Présentation de Cloud Audit Logs
- Comprendre les journaux d'audit
- Journaux d'audit disponibles
- Tarifs de Google Cloud Observability: Cloud Logging