Esta página foi traduzida pela API Cloud Translation.

Informações de registo de auditoria do Google SecOps

Compatível com:

Google secops SIEM

Google Cloud Os serviços escrevem registos de auditoria para ajudar a saber quem fez o quê, onde e quando nos seus recursos Google Cloud . Esta página descreve os registos de auditoria criados pelo Google Security Operations e escritos como registos de auditoria da Cloud.

Para uma vista geral dos registos de auditoria do Cloud, consulte a vista geral dos registos de auditoria do Cloud. Para uma compreensão mais detalhada do formato do registo de auditoria, consulte o artigo Compreender os registos de auditoria.

Registos de auditoria disponíveis

O nome do serviço de registo de auditoria e as operações auditadas são diferentes consoante o programa de pré-visualização em que tem inscrição. Os registos de auditoria do Google SecOps usam um dos seguintes nomes de serviços:

chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com

As operações de auditoria usam o tipo de recurso audited_resource para todos os registos de auditoria escritos, independentemente do programa de pré-visualização. Não existe diferença com base no programa de pré-visualização no qual está inscrito.

Registos com o nome do serviço `chronicle.googleapis.com`

Os seguintes tipos de registos estão disponíveis para os registos de auditoria do Google SecOps com o nome do serviço chronicle.googleapis.com.

Para mais informações, consulte as autorizações do Google SecOps no IAM.

Tipo de registo de auditoria Descrição

Registos de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram este tipo de registo incluem a atualização de feeds e a criação de regras.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate

Registos de auditoria de acesso a dados Inclui operações de leitura de administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e escrita de dados que leem ou escrevem dados fornecidos pelos utilizadores. As ações no Google SecOps que geram este tipo de registo incluem a obtenção de feeds e regras de fichas.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Tipo de registo de auditoria	Descrição
Registos de auditoria de atividade do administrador	Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram este tipo de registo incluem a atualização de feeds e a criação de regras. `chronicle.googleapis.com/feeds.update` `chronicle.googleapis.com/rules.create` `chronicle.googleapis.com/parsers.activate`
Registos de auditoria de acesso a dados	Inclui operações de leitura de administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e escrita de dados que leem ou escrevem dados fornecidos pelos utilizadores. As ações no Google SecOps que geram este tipo de registo incluem a obtenção de feeds e regras de fichas. `chronicle.googleapis.com/feeds.get` `chronicle.googleapis.com/rules.list` `chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections`

Registos com o nome do serviço `chronicleservicemanager.googleapis.com`

Os registos de auditoria do Google SecOps escritos com o nome do serviço chronicleservicemanager.googleapis.com só estão disponíveis ao nível da organização e não ao nível do projeto.

Os seguintes tipos de registos estão disponíveis para os registos de auditoria do Google SecOps escritos com o nome do serviço chronicleservicemanager.googleapis.com.

Tipo de registo de auditoria Descrição

Registos de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram este tipo de registo incluem a criação de uma Google Cloud associação e a atualização Google Cloud dos filtros de registos.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete

Registos de auditoria de acesso a dados Inclui operações de leitura de administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e escrita de dados que leem ou escrevem dados fornecidos pelos utilizadores. As ações no Google SecOps que geram este tipo de registo incluem a listagem de instâncias e metadados de clientes.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Tipo de registo de auditoria	Descrição
Registos de auditoria de atividade do administrador	Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações no Google SecOps que geram este tipo de registo incluem a criação de uma Google Cloud associação e a atualização Google Cloud dos filtros de registos. `chronicleservicemanager.googleapis.com/gcpAssociations.create` `chronicleservicemanager.googleapis.com/gcpAssociations.delete` `chronicleservicemanager.googleapis.com/gcpSettings.delete`
Registos de auditoria de acesso a dados	Inclui operações de leitura de administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e escrita de dados que leem ou escrevem dados fornecidos pelos utilizadores. As ações no Google SecOps que geram este tipo de registo incluem a listagem de instâncias e metadados de clientes. `chronicleservicemanager.googleapis.com/gcpAssociations.get` `chronicleservicemanager.googleapis.com/gcpSettings.get`

Registos com o nome do serviço `malachitefrontend-pa.googleapis.com`

Os seguintes tipos de registos estão disponíveis para os registos de auditoria do Google SecOps com o nome do serviço malachitefrontend-pa.googleapis.com.

As operações da API Chronicle Frontend fornecem dados para e a partir da IU do Google SecOps. A API Chronicle Frontend consiste, de forma geral, em operações de acesso aos dados.

Tipo de registo de auditoria	Operações do Google SecOps
Registos de auditoria de atividade do administrador	Inclui atividade relacionada com atualizações, como `UpdateRole` e `UpdateSubject`.
Registos de auditoria de acesso a dados	Inclui atividade relacionada com a visualização, como `ListRoles` e `ListSubjects`.

Formato do registo de auditoria

As entradas do registo de auditoria incluem os seguintes objetos:

A própria entrada de registo, que é um objeto do tipo LogEntry. Os campos úteis incluem o seguinte:
- logName contém o ID do recurso e o tipo de registo de auditoria.
- resource contém o destino da operação auditada.
- timeStamp contém a hora da operação auditada.
- protoPayload contém as informações auditadas.
Dados de registo de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada do registo.
Informações de auditoria opcionais específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, este objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.
O campo protoPayload.authenticationInfo.principalSubject contém o principal do utilizador. Isto indica quem realizou a ação.
O campo protoPayload.methodName contém o nome do método da API invocado pela IU em nome do utilizador.
protoPayload.status contém o estado da chamada API. Um valor status vazio indica êxito. Um valor status não vazio indica falha e contém uma descrição do erro. O código de estado 7 indica permissão recusada.
O serviço chronicle.googleapis.com inclui o campo protoPayload.authorizationInfo. Contém o nome do recurso pedido, o nome da autorização que foi verificada e se o acesso foi concedido ou recusado.

Para outros campos nestes objetos e como os interpretar, reveja o artigo Compreender os registos de auditoria.

O exemplo seguinte mostra os nomes dos registos de auditoria de atividade do administrador ao nível do projeto e os registos de auditoria de acesso aos dados. As variáveis denotam os Google Cloud identificadores do projeto.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ative o registo de auditoria

Para ativar o registo de auditoria para o serviço chronicle.googleapis.com, consulte o artigo Ative os registos de auditoria de acesso a dados. Para ativar o registo de auditoria para outros serviços, contacte o apoio técnico do Google SecOps.

Armazenamento de registos de auditoria

Registos de auditoria do Google SecOps: armazenados num Google Cloud projeto pertencente a si após ativar a API Google SecOps.
Registos de auditoria antigos (incluindo malachitefrontend-pa.googleapis.com): armazenados num projeto doGoogle Cloud .
Registos de auditoria da atividade do administrador: sempre ativados e não podem ser desativados. Para os ver, migre primeiro a sua instância do Google SecOps para a IAM para controlo de acesso.
Registos de auditoria de acesso a dados: ativados por predefinição. Para desativar no seu projeto pertencente ao cliente, contacte o seu representante da Google SecOps. O Google SecOps escreve registos de auditoria de acesso a dados e de atividade de administrador no projeto.

Configure os registos de auditoria de acesso a dados para incluir os dados de pesquisa

Para preencher as consultas de pesquisa da UDM e de registos não processados nos registos de auditoria do Google SecOps, atualize a configuração dos registos de auditoria de acesso aos dados com as autorizações necessárias.

No painel de navegação da Google Cloud consola, selecione IAM e administrador > Registos de auditoria.
Selecione um Google Cloud projeto, uma pasta ou uma organização existente.
Em Configuração dos registos de auditoria de acesso aos dados, selecione API Chronicle.
No separador Tipos de autorizações, selecione todas as autorizações apresentadas (Leitura de administrador, Leitura de dados e Escrita de dados).
Clique em Guardar.
Repita os passos 3 a 5 para a API Chronicle Service Manager.

Ver registos

Para encontrar e ver registos de auditoria, use o Google Cloud ID do projeto. Para o registo de auditoria antigo do malachitefrontend-pa.googleapis.com configurado através de um projeto pertencente àGoogle Cloud, o apoio técnico do Google SecOps forneceu-lhe estas informações. Pode especificar outros campos indexados LogEntry, como resource.type. Para mais informações, consulte o artigo Encontre rapidamente entradas de registo.

Na Google Cloud consola, use o Explorador de registos para obter as entradas do registo de auditoria do Google Cloud projeto:

Na Google Cloud consola, aceda à página Registo > Explorador de registos.

Aceda ao Explorador de registos

Nota: se estiver a usar a página Visualizador de registos antigo, mude para a página Explorador de registos.
Na página Explorador de registos, selecione umGoogle Cloud projeto, uma pasta ou uma organização existentes.
No painel Criador de consultas, faça o seguinte:
- Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.
- Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
- Para os registos de auditoria da atividade do administrador, selecione atividade.
- Para os registos de auditoria de acesso a dados, selecione data_access.
Se não vir estas opções, não estão disponíveis registos de auditoria desse tipo no Google Cloud projeto, na pasta ou na organização.

Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas de registos.

Para ver um exemplo de uma entrada do registo de auditoria e como encontrar as informações mais importantes na mesma, consulte o artigo Exemplo de entrada do registo de auditoria.

Exemplos: `chronicle.googleapis.com` registos do nome do serviço

As secções seguintes descrevem exemplos de utilização comuns dos registos de auditoria do Cloud que usam o nome do serviço chronicle.googleapis.com.

Listar ações realizadas por um utilizador específico

Para encontrar as ações realizadas por um determinado utilizador, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar utilizadores que realizaram uma ação específica

Para encontrar os utilizadores que atualizaram uma regra de deteção, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemplo: `cloudresourcemanager.googleapis.com` registo do nome do serviço

Para encontrar os utilizadores que atualizaram uma função ou um assunto de controlo de acesso, execute a seguinte consulta no Explorador de registos:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemplos: `malachitefrontend-pa.googleapis.com` registos do nome do serviço

As secções seguintes descrevem exemplos de utilização comuns dos registos de auditoria do Cloud que usam o nome do serviço malachitefrontend-pa.googleapis.com.

Listar ações realizadas por um utilizador específico

Para encontrar as ações realizadas por um determinado utilizador, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar utilizadores que realizaram uma ação específica

Para encontrar os utilizadores que atualizaram um assunto de controlo de acesso, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar os utilizadores que atualizaram uma função de controlo de acesso, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar os utilizadores que atualizaram uma regra de deteção, execute a seguinte consulta no Explorador de registos:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

O que se segue?

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.

Informações de registo de auditoria do Google SecOps

Registos de auditoria disponíveis

Registos com o nome do serviço chronicle.googleapis.com

Registos com o nome do serviço chronicleservicemanager.googleapis.com

Registos com o nome do serviço malachitefrontend-pa.googleapis.com

Formato do registo de auditoria

Ative o registo de auditoria

Armazenamento de registos de auditoria

Configure os registos de auditoria de acesso a dados para incluir os dados de pesquisa

Ver registos

Exemplos: chronicle.googleapis.com registos do nome do serviço

Listar ações realizadas por um utilizador específico

Identificar utilizadores que realizaram uma ação específica

Exemplo: cloudresourcemanager.googleapis.com registo do nome do serviço

Exemplos: malachitefrontend-pa.googleapis.com registos do nome do serviço

Listar ações realizadas por um utilizador específico

Identificar utilizadores que realizaram uma ação específica

O que se segue?

Registos com o nome do serviço `chronicle.googleapis.com`

Registos com o nome do serviço `chronicleservicemanager.googleapis.com`

Registos com o nome do serviço `malachitefrontend-pa.googleapis.com`

Exemplos: `chronicle.googleapis.com` registos do nome do serviço

Exemplo: `cloudresourcemanager.googleapis.com` registo do nome do serviço

Exemplos: `malachitefrontend-pa.googleapis.com` registos do nome do serviço