Informazioni sugli audit log di Google SecOps
I serviziGoogle Cloud scrivono audit log per aiutarti a capire chi ha fatto cosa, dove e quando all'interno delle tue risorse Google Cloud . Questa pagina descrive gli audit log creati da Google Security Operations e scritti come Cloud Audit Logs.
Per una panoramica generale di Cloud Audit Logs, consulta la panoramica di Cloud Audit Logs. Per una comprensione più approfondita del formato del log di controllo, vedi Comprendere i log di controllo.
Log di controllo disponibili
Il nome del servizio di audit log e le operazioni sottoposte a controllo variano a seconda del programma di anteprima a cui hai eseguito la registrazione. Gli audit log di Google SecOps utilizzano uno dei seguenti nomi di servizio:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Le operazioni di controllo utilizzano il tipo di risorsa audited_resource
per tutti
gli audit log scritti, indipendentemente dal programma di anteprima. Non c'è alcuna differenza
in base al programma Anteprima a cui hai eseguito la registrazione.
Log con nome servizio chronicle.googleapis.com
Per gli audit log di Google SecOps sono disponibili i seguenti tipi di log con il nome servizio chronicle.googleapis.com
.
Per ulteriori informazioni, consulta Autorizzazioni Google SecOps in IAM.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Include le operazioni di scrittura amministratore che scrivono i metadati o le informazioni di configurazione. Le azioni in Google SecOps che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Audit log degli accessi ai dati | Include le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Include anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dall'utente. Le azioni in Google SecOps che generano questo tipo di log includono l'ottenimento di feed e l'elenco delle regole.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Log con nome servizio chronicleservicemanager.googleapis.com
Gli audit log di Google SecOps scritti utilizzando il nome servizio chronicleservicemanager.googleapis.com
sono disponibili solo a livello di organizzazione, non a livello di progetto.
Per gli audit log di Google SecOps scritti
utilizzando il nome servizio chronicleservicemanager.googleapis.com
, sono disponibili i seguenti tipi di log.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Include le operazioni di scrittura amministratore che scrivono i metadati o le informazioni di configurazione. Le azioni in Google SecOps che generano questo tipo di log includono la creazione di un' Google Cloud associazione e l'aggiornamento dei filtri dei log Google Cloud .chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Audit log degli accessi ai dati | Include le operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Include anche le operazioni di lettura dati e scrittura dati che leggono o scrivono i dati forniti dall'utente. Le azioni in Google SecOps che generano questo tipo di log includono l'elenco delle istanze e dei metadati dei clienti.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Log con nome servizio malachitefrontend-pa.googleapis.com
Per gli audit log di Google SecOps sono disponibili i seguenti tipi di log con il nome servizio malachitefrontend-pa.googleapis.com
.
Le operazioni dell'API Chronicle Frontend forniscono dati alla e dalla UI di Google SecOps. L'API Chronicle Frontend è composta in generale da operazioni di accesso ai dati.
Tipo di audit log | Operazioni di Google SecOps |
---|---|
Audit log delle attività di amministrazione | Include attività correlate agli aggiornamenti, come UpdateRole e UpdateSubject . |
Audit log degli accessi ai dati | Include attività correlate alle visualizzazioni, come ListRoles e ListSubjects . |
Formato degli audit log
Le voci del log di controllo includono i seguenti oggetti:
La voce di log stessa, che è un oggetto di tipo
LogEntry
. Di seguito vengono riportati alcuni campi utili:logName
contiene l'ID risorsa e il tipo di audit log.resource
contiene il target dell'operazione sottoposta ad audit.timeStamp
contiene l'ora dell'operazione sottoposta ad audit.protoPayload
contiene le informazioni sottoposte a controllo.
Dati di audit log, ovvero un oggetto
AuditLog
contenuto nel campoprotoPayload
della voce di log.Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto è contenuto nel campo
serviceData
dell'oggettoAuditLog
; le integrazioni più recenti utilizzano il campometadata
.Il campo
protoPayload.authenticationInfo.principalSubject
contiene l'entità utente. Indica chi ha eseguito l'azione.Il campo
protoPayload.methodName
contiene il nome del metodo API richiamato dall'interfaccia utente per conto dell'utente.Il campo
protoPayload.status
contiene lo stato della chiamata API. Un valorestatus
vuoto indica che l'operazione è riuscita. Un valorestatus
non vuoto indica un errore e contiene una descrizione dell'errore. Il codice di stato 7 indica autorizzazione negata.Il servizio
chronicle.googleapis.com
include il campoprotoPayload.authorizationInfo
. Contiene il nome della risorsa richiesta, il nome dell'autorizzazione controllata e se l'accesso è stato concesso o negato.
Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Informazioni sugli audit log.
L'esempio seguente mostra i nomi dei log per gli audit log dell'attività di amministrazione e dell'accesso ai dati a livello di progetto. Le variabili indicano gli identificatori del progetto. Google Cloud
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Abilitazione degli audit log
Per attivare l'audit logging per il servizio chronicle.googleapis.com
, consulta
Attivare i log di controllo dell'accesso ai dati.
Per abilitare la registrazione degli audit log per altri servizi, contatta l'assistenza Google SecOps.
Archiviazione audit log
- Log di controllo di Google SecOps: archiviati in un progetto Google Cloud di tua proprietà dopo l'abilitazione dell'API Google SecOps.
- Audit log legacy (incluso
malachitefrontend-pa.googleapis.com
): archiviati in un progettoGoogle Cloud . - Audit log per le attività di amministrazione: sempre abilitati e non possono essere disabilitati. Per visualizzarli, esegui prima la migrazione dell'istanza Google SecOps a IAM per controllo dell'accesso dell'accesso.
- Audit log di accesso ai dati: abilitati per impostazione predefinita. Per disattivare il servizio nel tuo progetto di proprietà del cliente, contatta il tuo rappresentante Google SecOps. Google SecOps scrive i log di controllo di accesso ai dati e attività di amministrazione nel progetto.
Configura gli audit log di accesso ai dati in modo che includano i dati di ricerca
Per compilare le query di ricerca UDM e di ricerca dei log non elaborati negli audit log di Google SecOps, aggiorna la configurazione degli audit log di accesso ai dati con le autorizzazioni necessarie.
- Nel pannello di navigazione della console Google Cloud , seleziona IAM e amministrazione > Log di controllo.
- Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
- In Configurazione degli audit log di accesso ai dati, seleziona API Chronicle.
- Nella scheda Tipi di autorizzazione, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
- Fai clic su Salva.
- Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.
Visualizza i log
Per trovare e visualizzare gli audit log, utilizza l'ID progetto Google Cloud . Per la registrazione
audit legacy di malachitefrontend-pa.googleapis.com
configurata utilizzando un
progetto di proprietà diGoogle Cloud, l'assistenza Google SecOps ti ha fornito queste
informazioni. Puoi specificare ulteriormente altri campi LogEntry
indicizzati, come resource.type
. Per ulteriori informazioni, vedi Trovare rapidamente le voci di log.
Nella console Google Cloud , utilizza Esplora log per recuperare le voci del log audit per il progetto Google Cloud :
Nella console Google Cloud , vai alla pagina Logging > Esplora log.
Nella pagina Esplora log, seleziona un progetto, una cartella o un'organizzazioneGoogle Cloud esistente.
Nel riquadro Query Builder, procedi nel seguente modo:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.
In Nome log, seleziona il tipo di audit log che vuoi visualizzare:
Per gli audit log delle attività di amministrazione, seleziona activity.
Per gli audit log di accesso ai dati, seleziona data_access.
Se non vedi queste opzioni, non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione Google Cloud .
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, vedi Creare query sui log.
Per un esempio di voce di audit log e su come trovare le informazioni più importanti, vedi Voce di audit log di esempio.
Esempi: log del nome del servizio chronicle.googleapis.com
Le seguenti sezioni descrivono i casi d'uso comuni per Cloud Audit Logs che
utilizzano il nome servizio chronicle.googleapis.com
.
Elenco delle azioni intraprese da un utente specifico
Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Esempio: log del nome del servizio cloudresourcemanager.googleapis.com
Per trovare gli utenti che hanno aggiornato un ruolo o un soggetto di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Esempi: log del nome del servizio malachitefrontend-pa.googleapis.com
Le seguenti sezioni descrivono i casi d'uso comuni per Cloud Audit Logs che
utilizzano il nome servizio malachitefrontend-pa.googleapis.com
.
Elenco delle azioni intraprese da un utente specifico
Per trovare le azioni intraprese da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato un soggetto controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Passaggi successivi
- Panoramica di Cloud Audit Logs
- Informazioni sui log di controllo
- Log di controllo disponibili
- Prezzi di Google Cloud Observability: Cloud Logging
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.