Informazioni sugli audit log delle operazioni di sicurezza di Google
I servizi Google Cloud scrivono audit log per sapere chi ha fatto cosa, dove e quando all'interno delle tue risorse Google Cloud. In questa pagina vengono descritti gli audit log creati da Google Security Operations e scritti come Cloud Audit Logs.
Per una panoramica generale di Cloud Audit Logs, consulta la panoramica di Cloud Audit Logs. Per una comprensione più approfondita del formato degli audit log, consulta Informazioni sugli audit log.
Log di controllo disponibili
Il nome del servizio di audit log e le operazioni controllate sono diversi a seconda del programma di anteprima a cui hai effettuato la registrazione. Gli audit log di Google Security Operations utilizzano uno dei seguenti nomi di servizio:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
Le operazioni di audit utilizzano il tipo di risorsa audited_resource
per tutti gli audit log scritti, indipendentemente dal programma di anteprima. Non c'è alcuna differenza in base al programma Anteprima a cui hai effettuato la registrazione.
Log con nome del servizio chronicle.googleapis.com
I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con il nome di servizio chronicle.googleapis.com
.
Per maggiori informazioni, consulta l'articolo sulle autorizzazioni di Google SecOps in IAM.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Include operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni nelle operazioni di sicurezza di Google che generano questo tipo di log includono l'aggiornamento dei feed e la creazione di regole.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Audit log degli accessi ai dati | Include operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dei dati e di scrittura dei dati che leggono o scrivono i dati forniti dall'utente. Le azioni nelle operazioni di sicurezza di Google che generano questo tipo di log includono il recupero di feed e le regole dell'elenco.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Log con nome del servizio chronicleservicemanager.googleapis.com
Gli audit log di Google Security Operations scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com
sono disponibili solo a livello di organizzazione, non a livello di progetto.
I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations scritti utilizzando il nome del servizio chronicleservicemanager.googleapis.com
.
Tipo di audit log | Descrizione |
---|---|
Audit log delle attività di amministrazione | Include operazioni di scrittura amministratore che scrivono metadati o informazioni di configurazione. Le azioni nelle operazioni di sicurezza di Google che generano questo tipo di log includono la creazione di un'associazione di Google Cloud e l'aggiornamento dei filtri di log di Google Cloud.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Audit log degli accessi ai dati | Include operazioni di lettura amministratore che leggono i metadati o le informazioni di configurazione. Sono incluse anche le operazioni di lettura dei dati e di scrittura dei dati che leggono o scrivono i dati forniti dall'utente. Le azioni nelle operazioni di sicurezza di Google che generano questo tipo di log includono l'elenco delle istanze e dei metadati dei clienti.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Log con nome del servizio malachitefrontend-pa.googleapis.com
I seguenti tipi di log sono disponibili per gli audit log di Google Security Operations con il nome di servizio malachitefrontend-pa.googleapis.com
.
Le operazioni dell'API Google Security Operations Frontend forniscono dati da e verso l'interfaccia utente di Google Security Operations. L'API Google Security Operations Frontend è composta in gran parte da operazioni di accesso ai dati.
Tipo di audit log | Operazioni di Google Security Operations |
---|---|
Audit log delle attività di amministrazione | Sono incluse le attività correlate agli aggiornamenti, ad esempio UpdateRole e UpdateSubject . |
Audit log degli accessi ai dati | Include attività correlate alle visualizzazioni, come ListRoles e ListSubjects . |
Formato degli audit log
Le voci di audit log includono i seguenti oggetti:
Voce di log stessa, che è un oggetto di tipo
LogEntry
. I campi utili includono quanto segue:logName
contiene l'ID risorsa e il tipo di audit log.resource
contiene il target dell'operazione controllata.timeStamp
contiene la durata dell'operazione sottoposta ad audit.protoPayload
contiene le informazioni sottoposte ad audit.
Dati di audit logging, ovvero un oggetto
AuditLog
incluso nel campoprotoPayload
della voce di log.Informazioni di audit facoltative e specifiche per il servizio, che sono un oggetto specifico del servizio. Per le integrazioni meno recenti, questo oggetto si trova nel campo
serviceData
dell'oggettoAuditLog
. Le integrazioni più recenti utilizzano il campometadata
.Il campo
protoPayload.authenticationInfo.principalSubject
contiene l'entità utente. Indica chi ha eseguito l'azione.Il campo
protoPayload.methodName
contiene il nome del metodo API richiamato dall'interfaccia utente per conto dell'utente.Il campo
protoPayload.status
contiene lo stato della chiamata API. Un valorestatus
vuoto indica che l'operazione è andata a buon fine. Un valorestatus
non vuoto indica l'errore e contiene una descrizione dell'errore. Il codice di stato 7 indica l'autorizzazione negata.Il servizio
chronicle.googleapis.com
include il campoprotoPayload.authorizationInfo
. Contiene il nome della risorsa richiesta, il nome dell'autorizzazione che è stata verificata e se l'accesso è stato concesso o negato.
Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Informazioni sugli audit log.
L'esempio seguente mostra i nomi dei log per gli audit log delle attività di amministrazione e gli audit log di accesso ai dati a livello di progetto. Le variabili indicano gli identificatori dei progetti Google Cloud.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Abilitazione degli audit log
Per abilitare l'audit logging per il servizio chronicle.googleapis.com
, consulta Abilitare gli audit log di accesso ai dati.
Per abilitare l'audit logging per altri servizi, contatta l'assistenza SecOps di Google.
Archiviazione audit log
- Audit log di Google SecOps: archiviati in un progetto Google Cloud di tua proprietà dopo aver abilitato l'API Google SecOps.
- Audit log legacy (tra cui
malachitefrontend-pa.googleapis.com
): archiviati in un progetto Google Cloud. - Audit log delle attività di amministrazione: sempre abilitati e non possono essere disabilitati. Per visualizzarli, devi prima eseguire la migrazione dell'istanza SecOps di Google a IAM per controllo dell'accesso dell'accesso.
- Audit log degli accessi ai dati: abilitati per impostazione predefinita. Per disattivarla nel progetto di proprietà del cliente, contatta il tuo rappresentante Google SecOps. Google SecOps scrive gli audit log di accesso ai dati e attività di amministrazione nel progetto.
Configurare gli audit log di accesso ai dati in modo da includere i dati di ricerca
Per completare le query di ricerca UDM e di ricerca nei log non elaborati negli audit log di Google Security Operations, aggiorna la configurazione degli audit log di accesso ai dati con le autorizzazioni necessarie.
- Nel pannello di navigazione della console Google Cloud, seleziona IAM e amministrazione > Audit log.
- Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
- In Configurazione degli audit log di accesso ai dati, seleziona API Google Security Operations.
- Nella scheda Tipi di autorizzazioni, seleziona tutte le autorizzazioni elencate (Lettura amministratore, Lettura dati, Scrittura dati).
- Fai clic su Salva.
- Ripeti i passaggi da 3 a 5 per l'API Chronicle Service Manager.
visualizza i log
Per trovare e visualizzare gli audit log, utilizza l'ID progetto Google Cloud. Per l'audit logging legacy di malachitefrontend-pa.googleapis.com
configurato utilizzando un progetto di proprietà di Google Cloud, l'assistenza per le operazioni di sicurezza di Google ti ha fornito queste informazioni. Puoi specificare ulteriormente altri campi indicizzati
LogEntry
, come
resource.type
. Per ulteriori informazioni, consulta Trovare rapidamente le voci di log.
Nella console Google Cloud, utilizza Esplora log per recuperare le voci degli audit log per il progetto Google Cloud:
Nella console Google Cloud, vai alla pagina Logging > Esplora log.
Nella pagina Esplora log, seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
Nel riquadro Query Builder, segui questi passaggi:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.
In Nome log, seleziona il tipo di log di controllo che vuoi visualizzare:
Per gli audit log di controllo delle attività di amministrazione, seleziona attività.
Per gli audit log di accesso ai dati, seleziona data_access.
Se non vedi queste opzioni, nessun audit log di questo tipo è disponibile nel progetto, nella cartella o nell'organizzazione Google Cloud.
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Creare query di log.
Per un esempio di voce di audit log e su come trovare le informazioni più importanti al suo interno, consulta Esempio di voce di audit log.
Esempi: log dei nomi di servizio chronicle.googleapis.com
Le seguenti sezioni descrivono casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio chronicle.googleapis.com
.
Azioni della scheda eseguite da un utente specifico
Per trovare le azioni eseguite da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Esempio: log del nome del servizio cloudresourcemanager.googleapis.com
Per trovare gli utenti che hanno aggiornato un oggetto o un ruolo di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Esempi: log dei nomi di servizio malachitefrontend-pa.googleapis.com
Le seguenti sezioni descrivono casi d'uso comuni per Cloud Audit Logs che utilizzano il nome del servizio malachitefrontend-pa.googleapis.com
.
Azioni della scheda eseguite da un utente specifico
Per trovare le azioni eseguite da un determinato utente, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificare gli utenti che hanno eseguito un'azione specifica
Per trovare gli utenti che hanno aggiornato un soggetto di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Per trovare gli utenti che hanno aggiornato un ruolo di controllo dell'accesso#39;accesso, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Per trovare gli utenti che hanno aggiornato una regola di rilevamento, esegui la seguente query in Esplora log:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
Passaggi successivi
- Log di controllo di Google SecOps
- Panoramica di Cloud Audit Logs
- Informazioni sugli audit log
- Log di controllo disponibili
- Prezzi di Google Cloud Observability: Cloud Logging