Informações sobre a geração de registros de auditoria das Operações de segurança do Google
Os serviços do Google Cloud gravam registros de auditoria para ajudar a informar quem fez o quê, onde e quando nos recursos do Google Cloud. Nesta página, descrevemos os registros de auditoria criados pelas Operações de segurança do Google e gravados como Registros de auditoria do Cloud.
Para informações gerais dos Registros de auditoria do Cloud, consulte Visão geral dos Registros de auditoria do Cloud. Para entender melhor o formato do registro de auditoria, consulte Noções básicas sobre registros de auditoria.
Registros de auditoria disponíveis
O nome do serviço de registro de auditoria e as operações auditadas são diferentes, dependendo do programa de pré-lançamento em que você está inscrito. Os registros de auditoria das Operações de segurança do Google usam um dos seguintes nomes de serviço:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
As operações de auditoria usam o tipo de recurso audited_resource
para todos
os registros de auditoria gravados, independentemente do programa de pré-lançamento. Não há diferença com base
no programa de testes em que você se inscreveu.
Registros com o nome de serviço chronicle.googleapis.com
Os tipos de registro a seguir estão disponíveis para registros de auditoria do Google Security Operations com o
nome de serviço chronicle.googleapis.com
.
Para mais informações, consulte Permissões do Google SecOps no IAM.
Tipo de registro de auditoria | Descrição |
---|---|
Registros de auditoria de atividade do administrador | Inclui operações de gravação do administrador que gravam metadados ou informações de configuração. Entre as ações nas operações de segurança do Google que geram esse tipo de registro estão a atualização de feeds e a criação de regras.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
Registros de auditoria de acesso a dados | Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura e gravação de dados que leem ou gravam dados fornecidos pelo usuário. Entre as ações nas operações de segurança do Google que geram esse tipo de registro estão o recebimento de feeds e a listagem de regras.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
Registros com o nome de serviço chronicleservicemanager.googleapis.com
Os registros de auditoria das Operações de segurança do Google gravados com o
nome de serviço chronicleservicemanager.googleapis.com
estão disponíveis apenas no
nível da organização, não do projeto.
Os tipos de registro a seguir estão disponíveis para registros de auditoria do Google Security Operations gravados
usando o nome de serviço chronicleservicemanager.googleapis.com
.
Tipo de registro de auditoria | Descrição |
---|---|
Registros de auditoria de atividade do administrador | Inclui operações de gravação do administrador que gravam metadados ou informações de configuração. As ações nas operações de segurança do Google que geram esse tipo de registro incluem a criação de uma associação do Google Cloud e a atualização dos filtros de registro do Google Cloud.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
Registros de auditoria de acesso a dados | Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações nas operações de segurança do Google que geram esse tipo de registro incluem a listagem de instâncias e metadados do cliente.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
Registros com o nome de serviço malachitefrontend-pa.googleapis.com
Os tipos de registro a seguir estão disponíveis para registros de auditoria do Google Security Operations com o
nome de serviço malachitefrontend-pa.googleapis.com
.
As operações da API Google Security Operations Frontend fornecem dados de e para a interface das operações de segurança do Google. A API Google Security Operations Frontend consiste amplamente de operações de acesso a dados.
Tipo de registro de auditoria | Operações de segurança do Google |
---|---|
Registros de auditoria de atividade do administrador | Inclui atividades relacionadas à atualização, como UpdateRole e UpdateSubject . |
Registros de auditoria de acesso a dados | Inclui atividades relacionadas à visualização, como ListRoles e ListSubjects . |
Formato do registro de auditoria
As entradas de registro de auditoria incluem os seguintes objetos:
A própria entrada de registro, que é um objeto do tipo
LogEntry
. Confira alguns campos úteis:logName
contém o ID do recurso e o tipo de registro de auditoria.resource
contém o destino da operação auditada.timeStamp
contém o horário da operação auditada.protoPayload
contém as informações auditadas.
Dados de registro de auditoria, que são um objeto
AuditLog
localizado no campoprotoPayload
da entrada de registro.Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo
serviceData
do objetoAuditLog
. As integrações mais recentes usam o campometadata
.O campo
protoPayload.authenticationInfo.principalSubject
contém o principal do usuário. Isso indica quem executou a ação.O campo
protoPayload.methodName
contém o nome do método de API invocado pela UI em nome do usuário.O campo
protoPayload.status
contém o status da chamada de API. Um valorstatus
vazio indica que a operação foi bem-sucedida. Um valorstatus
não vazio indica falha e contém uma descrição do erro. O código de status 7 indica que a permissão foi negada.O serviço
chronicle.googleapis.com
inclui o campoprotoPayload.authorizationInfo
. Ela contém o nome do recurso solicitado, o nome da permissão que foi verificada e se o acesso foi concedido ou negado.
Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.
O exemplo a seguir mostra os nomes dos registros de auditoria de atividade do administrador e de acesso a dados no nível do projeto. As variáveis indicam identificadores de projeto do Google Cloud.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Ativar registros de auditoria
Para ativar a geração de registros de auditoria para o serviço chronicle.googleapis.com
, consulte
Ativar registros de auditoria de acesso a dados.
Para ativar a geração de registros de auditoria para outros serviços, entre em contato com o
suporte do Google SecOps.
Armazenamento de registros de auditoria
- Registros de auditoria do Google SecOps: armazenados em um projeto do Google Cloud de sua propriedade após a ativação da API Google SecOps.
- Registros de auditoria legados (incluindo
malachitefrontend-pa.googleapis.com
): armazenados em um projeto do Google Cloud. - Registros de auditoria de atividade do administrador: sempre ativados e não podem ser desativados. Para visualizá-las, migre sua instância do Google SecOps para o IAM a fim de ter controle de acesso.
- Registros de auditoria de acesso a dados: ativados por padrão. Para desativar no projeto do cliente, entre em contato com o representante de SecOps do Google. O Google SecOps grava registros de auditoria de acesso a dados e de atividades do administrador no projeto.
Configurar os registros de auditoria de acesso aos dados para incluir os dados de pesquisa
Para preencher as consultas de pesquisa do UDM e de pesquisa de registro bruto nos registros de auditoria das Operações de Segurança do Google, atualize a configuração dos registros de auditoria de acesso a dados com as permissões necessárias.
- No painel de navegação do console do Google Cloud, selecione IAM e administrador > Registros de auditoria.
- Selecione um projeto do Google Cloud, uma pasta ou uma organização.
- Em Configuração dos registros de auditoria de acesso a dados, selecione API Google Security Operations.
- Na guia Tipos de permissão, selecione todas as permissões listadas (Leitura de administrador, Leitura de dados, Gravação de dados).
- Clique em Salvar.
- Repita as etapas 3 a 5 para a API Chronicle Service Manager.
ver registros
Para encontrar e acessar registros de auditoria, use o ID do projeto do Google Cloud. Para registros
de auditoria legados de malachitefrontend-pa.googleapis.com
configurados usando um
projeto do Google Cloud, o Suporte de operações de segurança do Google forneceu essas
informações. É possível especificar outros campos
LogEntry
indexados, como
resource.type
. Para mais informações, consulte Encontrar entradas de registro rapidamente.
No Console do Google Cloud, use a Análise de registros para recuperar as entradas registro de auditoria do projeto do Google Cloud:
No console do Google Cloud, acesse a página Logging > Análise de registros.
Na página Análise de registros, selecione um projeto, uma pasta ou uma organização do Google Cloud.
No painel Criador de consultas, faça o seguinte:
Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer ver.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:
Para os registros de auditoria da atividade do administrador, selecione Atividade.
Para os registros de auditoria de acesso a dados, selecione data_access.
Se você não encontrar essas opções, significa que nenhum registro de auditoria desse tipo está disponível no projeto, na pasta ou na organização do Google Cloud.
Para mais informações sobre consultas usando a Análise de registros, acesse Criar consultas de registro.
Para ver um exemplo de entrada de registro de auditoria e como encontrar as informações mais importantes, consulte Exemplo de entrada de registro de auditoria.
Exemplos: registros de nome de serviço chronicle.googleapis.com
As seções a seguir descrevem casos de uso comuns dos Registros de auditoria do Cloud que usam o nome de serviço chronicle.googleapis.com
.
Listar as ações realizadas por um usuário específico
Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificar usuários que realizaram uma ação específica
Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
Exemplo: registro de nome de serviço cloudresourcemanager.googleapis.com
Para encontrar os usuários que atualizaram um papel ou assunto de controle de acesso, execute a seguinte consulta na Análise de registros:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
Exemplos: registros de nome de serviço malachitefrontend-pa.googleapis.com
As seções a seguir descrevem casos de uso comuns dos Registros de auditoria do Cloud que usam o nome de serviço malachitefrontend-pa.googleapis.com
.
Listar as ações realizadas por um usuário específico
Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
Identificar usuários que realizaram uma ação específica
Para encontrar os usuários que atualizaram um assunto de controle de acesso, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
Para encontrar os usuários que atualizaram um papel de controle de acesso, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta na Análise de registros:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"
A seguir
- Geração de registros de auditoria do Google SecOps
- Visão geral dos Registros de auditoria do Cloud
- Noções básicas sobre os registros de auditoria
- Registros de auditoria disponíveis
- Preços de observabilidade do Google Cloud: Cloud Logging