Informações de registro de auditoria do Google Security Operations

Compatível com:

Os serviços do Google Cloud gravam registros de auditoria para ajudar a informar quem fez o quê, onde e quando nos recursos do Google Cloud. Esta página descreve os registros de auditoria criados pelas operações de segurança do Google e gravados como registros de auditoria do Cloud.

Para uma visão geral dos registros de auditoria do Cloud, consulte Visão geral dos registros de auditoria do Cloud. Para entender melhor o formato do registro de auditoria, consulte Noções básicas sobre registros de auditoria.

Registros de auditoria disponíveis

O nome do serviço do registro de auditoria e as operações auditadas são diferentes dependendo do programa de pré-lançamento em que você está inscrito. Os registros de auditoria do Google Security Operations usam um destes nomes de serviço:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

As operações de auditoria usam o tipo de recurso audited_resource para todos os registros de auditoria gravados, independentemente do programa de pré-lançamento. Não há diferença com base no programa de testes em que você está inscrito.

Registros com o nome do serviço chronicle.googleapis.com

Os seguintes tipos de registro estão disponíveis para os registros de auditoria do Google Security Operations com o nome do serviço chronicle.googleapis.com.

Para mais informações, consulte Permissões do Google SecOps no IAM.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem a atualização de feeds e a criação de regras.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoria de acesso a dados Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações no Google Security Operations que geram esse tipo de registro incluem a consulta de feeds e a exibição de regras.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros com o nome do serviço chronicleservicemanager.googleapis.com

Os registros de auditoria do Google Security Operations gravados usando o nome do serviço chronicleservicemanager.googleapis.com estão disponíveis apenas no nível da organização, não no nível do projeto.

Os seguintes tipos de registro estão disponíveis para os registros de auditoria do Google Security Operations gravados usando o nome do serviço chronicleservicemanager.googleapis.com.

Tipo de registro de auditoria Descrição
Registros de auditoria de atividade do administrador Inclui operações de gravação de administrador que gravam metadados ou informações de configuração. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem a criação de uma associação do Google Cloud e a atualização dos filtros de registro do Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoria de acesso a dados Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura de dados e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações no Google Security Operations que geram esse tipo de registro incluem a listagem de instâncias e os metadados do cliente.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros com o nome do serviço malachitefrontend-pa.googleapis.com

Os seguintes tipos de registro estão disponíveis para os registros de auditoria do Google Security Operations com o nome do serviço malachitefrontend-pa.googleapis.com.

As operações da API Frontend do Google Security Operations fornecem dados para e da interface do Google Security Operations. A API Frontend das Operações de segurança do Google consiste em operações de acesso a dados.

Tipo de registro de auditoria Operações do Google Security Operations
Registros de auditoria de atividade do administrador Inclui atividades relacionadas à atualização, como UpdateRole e UpdateSubject.
Registros de auditoria de acesso a dados Inclui atividades relacionadas à visualização, como ListRoles e ListSubjects.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Os campos úteis incluem:

    • logName contém o ID do recurso e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • Dados de registro de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

  • O campo protoPayload.authenticationInfo.principalSubject contém o usuário principal. Isso indica quem realizou a ação.

  • O campo protoPayload.methodName contém o nome do método da API invocado pela UI em nome do usuário.

  • O campo protoPayload.status contém o status da chamada de API. Um valor status vazio indica sucesso. Um valor status não vazio indica falha e contém uma descrição do erro. O código de status 7 indica que a permissão foi negada.

  • O serviço chronicle.googleapis.com inclui o campo protoPayload.authorizationInfo. Ele contém o nome do recurso solicitado, o nome da permissão que foi verificada e se o acesso foi concedido ou negado.

Para saber como interpretar outros campos nesses objetos, consulte Noções básicas sobre registros de auditoria.

O exemplo a seguir mostra os nomes dos registros de auditoria de atividade do administrador e de acesso a dados no nível do projeto. As variáveis indicam identificadores de projeto do Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ativar registros de auditoria

Para ativar o registro de auditoria para o serviço chronicle.googleapis.com, consulte Ativar os registros de auditoria de acesso a dados. Para ativar a geração de registros de auditoria em outros serviços, entre em contato com o suporte do Google SecOps.

Armazenamento de registros de auditoria

  • Registros de auditoria do Google SecOps: armazenados em um projeto do Google Cloud que você possui após ativar a API Google SecOps.
  • Registros de auditoria legados (incluindo malachitefrontend-pa.googleapis.com): armazenados em um projeto do Google Cloud.
  • Registros de auditoria de atividade do administrador: sempre ativados e não podem ser desativados. Para conferir, primeiro migre sua instância do Google SecOps para o IAM para controle de acesso.
  • Registros de auditoria de acesso a dados: ativados por padrão. Para desativar no projeto do seu cliente, entre em contato com seu representante do Google SecOps. O Google SecOps grava os registros de auditoria de acesso a dados e de atividade do administrador no projeto.

Configurar os registros de auditoria de acesso a dados para incluir os dados de pesquisa

Para preencher as consultas de pesquisa UDM e de pesquisa de registro bruto nos registros de auditoria do Google Security Operations, atualize a configuração dos registros de auditoria de acesso a dados com as permissões necessárias.

  1. No painel de navegação do console do Google Cloud, selecione IAM e administrador > Registros de auditoria.
  2. Selecione um projeto do Google Cloud, uma pasta ou uma organização.
  3. Em Configuração de registros de auditoria de acesso a dados, selecione API Chronicle.
  4. Na guia Tipos de permissão, selecione todas as permissões listadas (Leitura de administrador, Leitura de dados, Gravação de dados).
  5. Clique em Salvar.
  6. Repita as etapas 3 a 5 para a API Chronicle Service Manager.

Ver registros

Para encontrar e visualizar registros de auditoria, use o ID do projeto do Google Cloud. Para o registro de auditoria legado de malachitefrontend-pa.googleapis.com configurado usando um projeto do Google Cloud, o suporte das Operações de segurança do Google forneceu essas informações. É possível especificar outros campos LogEntry indexados, como resource.type. Para mais informações, consulte Encontrar entradas de registro rapidamente.

No console do Google Cloud, use o Explorador de registros para recuperar as entradas de registro de auditoria do projeto do Google Cloud:

  1. No console do Google Cloud, acesse a página Logging > Análise de registros.

    Acessar o Explorador de registros

  2. Na página Análise de registros, selecione um projeto, uma pasta ou uma organização do Google Cloud.

  3. No painel Criador de consultas, faça o seguinte:

    • Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer consultar.

    • Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:

    • Para os registros de auditoria da atividade do administrador, selecione Atividade.

    • Para os registros de auditoria de acesso a dados, selecione data_access.

    Se você não encontrar essas opções, isso significa que não há registros de auditoria desse tipo disponíveis no projeto, na pasta ou na organização do Google Cloud.

    Para mais informações sobre como consultar usando o Explorador de registros, consulte Criar consultas de registro.

Para um exemplo de entrada de registro de auditoria e como encontrar as informações mais importantes, consulte Exemplo de entrada de registro de auditoria.

Exemplos: registros de nome de serviço chronicle.googleapis.com

As seções a seguir descrevem casos de uso comuns dos Registros de auditoria do Cloud que usam o nome de serviço chronicle.googleapis.com.

Como listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemplo: registro de nome de serviço cloudresourcemanager.googleapis.com

Para encontrar os usuários que atualizaram uma função ou um sujeito de controle de acesso, execute a seguinte consulta no Explorador de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemplos: registros de nome de serviço malachitefrontend-pa.googleapis.com

As seções a seguir descrevem casos de uso comuns para os Registros de auditoria do Cloud que usam o nome de serviço malachitefrontend-pa.googleapis.com.

Como listar ações realizadas por um usuário específico

Para encontrar as ações realizadas por um determinado usuário, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram um sujeito de controle de acesso, execute a consulta a seguir no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar os usuários que atualizaram uma função de controle de acesso, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

A seguir