Google Security Operations 감사 로깅 정보
Google Cloud 서비스는 Google Cloud 리소스 내에서 감사 로그를 작성하여 누가, 언제, 어디서, 무엇을 했는지 확인할 수 있게 해줍니다. 이 페이지에서는 Google Security Operations에서 만들고 Cloud 감사 로그로 작성한 감사 로그를 설명합니다.
Cloud 감사 로그의 전반적인 개요는 Cloud 감사 로그 개요를 참조하세요. 감사 로그 형식에 대한 자세한 내용은 감사 로그 이해를 참조하세요.
사용 가능한 감사 로그
감사 로그 서비스 이름과 감사 작업은 등록된 미리보기 프로그램에 따라 다릅니다. Google Security Operations 감사 로그는 다음 서비스 이름 중 하나를 사용합니다.
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
감사 작업은 미리보기 프로그램에 관계없이 작성된 모든 감사 로그에 audited_resource 리소스 유형을 사용합니다. 등록한 미리보기 프로그램에 따른 차이가 없습니다.
서비스 이름이 chronicle.googleapis.com인 로그
서비스 이름이 chronicle.googleapis.com인 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
자세한 내용은 IAM의 Google SecOps 권한을 참조하세요.
| 감사 로그 유형 | 설명 |
|---|---|
| 관리자 활동 감사 로그 | 메타데이터나 구성 정보를 작성하는 관리자 쓰기 작업이 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 피드 업데이트 및 규칙 만들기가 포함됩니다.chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 데이터 액세스 감사 로그 | 메타데이터 또는 구성 정보를 읽는 관리자 읽기 작업이 포함됩니다. 또한 사용자가 제공한 데이터를 읽거나 쓰는 데이터 읽기 및 데이터 쓰기 작업도 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 피드 가져오기 및 규칙 나열이 포함됩니다.chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
서비스 이름이 chronicleservicemanager.googleapis.com인 로그
chronicleservicemanager.googleapis.com 서비스 이름을 사용하여 작성한 Google Security Operations 감사 로그는 프로젝트 수준이 아닌 조직 수준에서만 사용 가능합니다.
chronicleservicemanager.googleapis.com 서비스 이름을 사용하여 작성한 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
| 감사 로그 유형 | 설명 |
|---|---|
| 관리자 활동 감사 로그 | 메타데이터나 구성 정보를 작성하는 관리자 쓰기 작업이 포함됩니다. 이 유형의 로그를 생성하는 Google Security Operations의 작업에는 Google Cloud 연결 만들기 및 Google Cloud 로그 필터 업데이트가 포함됩니다.chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 데이터 액세스 감사 로그 | 메타데이터 또는 구성 정보를 읽는 관리자 읽기 작업이 포함됩니다. 또한 사용자가 제공한 데이터를 읽거나 쓰는 데이터 읽기 및 데이터 쓰기 작업도 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 인스턴스 및 고객 메타데이터 나열이 포함됩니다.chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
서비스 이름이 malachitefrontend-pa.googleapis.com인 로그
서비스 이름이 malachitefrontend-pa.googleapis.com인 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
Google Security Operations 프런트엔드 API 작업은 Google Security Operations UI와 주고받는 데이터를 제공합니다. Google Security Operations 프런트엔드 API는 데이터 액세스 작업으로 다양하게 구성됩니다.
| 감사 로그 유형 | Google Security Operations 작업 |
|---|---|
| 관리자 활동 감사 로그 | UpdateRole 및 UpdateSubject 등 업데이트 관련 활동이 포함됩니다. |
| 데이터 액세스 감사 로그 | ListRoles 및 ListSubjects 등 뷰 관련 활동이 포함됩니다. |
감사 로그 형식
감사 로그 항목에는 다음과 같은 객체가 포함됩니다.
LogEntry유형의 객체인 로그 항목 자체입니다. 유용한 필드는 다음과 같습니다.logName에는 리소스 ID와 감사 로그 유형이 있습니다.resource에는 감사 작업 대상이 있습니다.timeStamp에는 감사 작업 시간이 있습니다.protoPayload에는 감사 정보가 있습니다.
로그 항목의
protoPayload필드에AuditLog객체로 보관되는 감사 로깅 데이터입니다.선택적 서비스별 감사 정보로, 서비스별 객체입니다. 이전 통합에서 이 객체는
AuditLog객체의serviceData필드에 보관되었으나, 최신 통합은metadata필드를 사용합니다.protoPayload.authenticationInfo.principalSubject필드에는 사용자 주 구성원이 포함됩니다. 작업을 수행한 사용자를 나타냅니다.protoPayload.methodName필드에는 사용자 대신 UI에서 호출하는 API 메서드 이름이 포함됩니다.protoPayload.status필드에는 API 호출의 상태가 포함됩니다.status값이 비어 있으면 성공을 나타냅니다. 비어 있지 않은status값은 오류를 나타내며 오류 설명을 포함합니다. 상태 코드 7은 권한이 거부되었음을 나타냅니다.chronicle.googleapis.com서비스에는protoPayload.authorizationInfo필드가 포함됩니다. 여기에는 요청된 리소스 이름, 확인된 권한 이름, 액세스 권한이 부여 또는 거부되었는지 여부가 포함됩니다.
이러한 객체의 다른 필드와 필드 해석 방법은 감사 로그 이해를 참조하세요.
다음 예시에서는 프로젝트 수준 관리자 활동 감사 로그와 데이터 액세스 감사 로그의 로그 이름을 보여줍니다. 변수는 Google Cloud 프로젝트 식별자를 나타냅니다.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
감사 로깅 사용 설정
chronicle.googleapis.com 서비스에 감사 로깅을 사용 설정하려면 데이터 액세스 감사 로그 사용 설정을 참조하세요.
소유한 프로젝트에서 Google SecOps API 노출 영역을 사용 설정하면 Google Security Operations 감사 로그가 Google Cloud 프로젝트에 기록됩니다. malachitefrontend-pa.googleapis.com의 감사 로그를 비롯한 기존 감사 로그는 Google Cloud가 소유한 프로젝트에 기록됩니다.
관리자 활동 감사 로그를 보려면 먼저 액세스 제어를 위해 Google Security Operations 인스턴스를 IAM으로 마이그레이션해야 합니다.
관리자 활동 감사 로그는 항상 사용 설정되어 있습니다. 이 로그는 사용 중지할 수 없습니다. 데이터 액세스 감사 로그는 기본적으로 사용 설정되어 있습니다. 고객 소유 프로젝트에서 데이터 액세스 감사 로그를 중지하려면 이 기능을 중지할 수 있는 Google Security Operations 담당자에게 문의하세요. Cloud Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정: Cloud Logging을 참조하세요.
다른 서비스에 감사 로깅을 사용 설정하려면 Google Security Operations 지원팀에 문의하세요.
작성된 로그 유형에 대한 설명은 사용 가능한 감사 로그를 참조하세요.
로그 보기
감사 로그를 찾아서 보려면 Google Cloud 프로젝트 ID를 사용합니다. Google Cloud 소유 프로젝트를 사용하여 구성한 malachitefrontend-pa.googleapis.com의 기존 감사 로깅의 경우 Google Security Operations 지원팀에서 이 정보를 제공했습니다. 색인 생성된 다른 LogEntry 필드(예: resource.type)를 더 구체적으로 지정할 수 있습니다. 자세한 내용은 로그 항목 빨리 찾기를 참조하세요.
Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트의 감사 로그 항목을 검색합니다.
Google Cloud 콘솔에서 Logging > 로그 탐색기 페이지로 이동합니다.
로그 탐색기 페이지에서 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
쿼리 빌더 창에서 다음을 수행합니다.
리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.
로그 이름에서 확인할 감사 로그 유형을 선택합니다.
관리자 활동 감사 로그의 경우 activity를 선택합니다.
데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
이러한 옵션 중 어느 것도 표시되지 않으면 Google Cloud 프로젝트, 폴더 조직에 해당 유형의 감사 로그가 없다는 의미입니다.
로그 탐색기를 사용하여 쿼리하는 방법에 대한 자세한 내용은 로그 쿼리 작성을 참조하세요.
감사 로그 항목의 예시와 이 항목에서 가장 중요한 정보를 찾는 방법은 샘플 감사 로그 항목을 참조하세요.
예시: chronicle.googleapis.com 서비스 이름 로그
다음 섹션에서는 chronicle.googleapis.com 서비스 이름을 사용하는 Cloud 감사 로그의 일반적인 사용 사례를 설명합니다.
특정 사용자가 수행한 작업 나열
특정 사용자가 수행한 작업을 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
특정 작업을 수행한 사용자 식별
감지 규칙을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
예시: cloudresourcemanager.googleapis.com 서비스 이름 로그
액세스 제어 역할 또는 주체를 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
예시: malachitefrontend-pa.googleapis.com 서비스 이름 로그
다음 섹션에서는 malachitefrontend-pa.googleapis.com 서비스 이름을 사용하는 Cloud 감사 로그의 일반적인 사용 사례를 설명합니다.
특정 사용자가 수행한 작업 나열
특정 사용자가 수행한 작업을 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
특정 작업을 수행한 사용자 식별
액세스 제어 주체를 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
액세스 제어 역할을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
감지 규칙을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"