Google Security Operations 감사 로깅 정보
Google Cloud 서비스는 Google Cloud 리소스 내에서 감사 로그를 작성하여 누가, 언제, 어디서, 무엇을 했는지 확인할 수 있게 해줍니다. 이 페이지에서는 Google Security Operations에서 만들고 Cloud 감사 로그로 작성한 감사 로그를 설명합니다.
Cloud 감사 로그의 전반적인 개요는 Cloud 감사 로그 개요를 참조하세요. 감사 로그 형식에 대한 자세한 내용은 감사 로그 이해를 참조하세요.
사용 가능한 감사 로그
감사 로그 서비스 이름과 감사 작업은 등록된 미리보기 프로그램에 따라 다릅니다. Google Security Operations 감사 로그는 다음 서비스 이름 중 하나를 사용합니다.
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
감사 작업은 미리보기 프로그램에 관계없이 작성된 모든 감사 로그에 audited_resource
리소스 유형을 사용합니다. 등록한 미리보기 프로그램에 따른 차이가 없습니다.
서비스 이름이 chronicle.googleapis.com
인 로그
서비스 이름이 chronicle.googleapis.com
인 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
자세한 내용은 IAM의 Google SecOps 권한을 참조하세요.
감사 로그 유형 | 설명 |
---|---|
관리자 활동 감사 로그 | 메타데이터나 구성 정보를 작성하는 관리자 쓰기 작업이 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 피드 업데이트 및 규칙 만들기가 포함됩니다.chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
데이터 액세스 감사 로그 | 메타데이터나 구성 정보를 읽는 관리자 읽기 작업이 포함됩니다. 또한 사용자가 제공한 데이터를 읽거나 쓰는 데이터 읽기 및 데이터 쓰기 작업도 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 피드 가져오기 및 규칙 나열이 포함됩니다.chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
서비스 이름이 chronicleservicemanager.googleapis.com
인 로그
chronicleservicemanager.googleapis.com
서비스 이름을 사용하여 작성한 Google Security Operations 감사 로그는 프로젝트 수준이 아닌 조직 수준에서만 사용 가능합니다.
chronicleservicemanager.googleapis.com
서비스 이름을 사용하여 작성한 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
감사 로그 유형 | 설명 |
---|---|
관리자 활동 감사 로그 | 메타데이터나 구성 정보를 작성하는 관리자 쓰기 작업이 포함됩니다. 이 유형의 로그를 생성하는 Google Security Operations의 작업에는 Google Cloud 연결 만들기 및 Google Cloud 로그 필터 업데이트가 포함됩니다.chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
데이터 액세스 감사 로그 | 메타데이터나 구성 정보를 읽는 관리자 읽기 작업이 포함됩니다. 또한 사용자가 제공한 데이터를 읽거나 쓰는 데이터 읽기 및 데이터 쓰기 작업도 포함됩니다. 이러한 유형의 로그를 생성하는 Google Security Operations의 작업에는 인스턴스 및 고객 메타데이터 나열이 포함됩니다.chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
서비스 이름이 malachitefrontend-pa.googleapis.com
인 로그
서비스 이름이 malachitefrontend-pa.googleapis.com
인 Google Security Operations 감사 로그에 다음 로그 유형을 사용할 수 있습니다.
Google Security Operations 프런트엔드 API 작업은 Google Security Operations UI와 주고받는 데이터를 제공합니다. Google Security Operations 프런트엔드 API는 데이터 액세스 작업으로 다양하게 구성됩니다.
감사 로그 유형 | Google Security Operations 작업 |
---|---|
관리자 활동 감사 로그 | UpdateRole 및 UpdateSubject 등 업데이트 관련 활동이 포함됩니다. |
데이터 액세스 감사 로그 | ListRoles 및 ListSubjects 등 뷰 관련 활동이 포함됩니다. |
감사 로그 형식
감사 로그 항목에는 다음과 같은 객체가 포함됩니다.
LogEntry
유형의 객체인 로그 항목 자체입니다. 유용한 필드는 다음과 같습니다.logName
에는 리소스 ID와 감사 로그 유형이 있습니다.resource
에는 감사 작업 대상이 있습니다.timeStamp
에는 감사 작업 시간이 있습니다.protoPayload
에는 감사 정보가 있습니다.
로그 항목의
protoPayload
필드에AuditLog
객체로 보관되는 감사 로깅 데이터입니다.선택적 서비스별 감사 정보로, 서비스별 객체입니다. 이전 통합에서 이 객체는
AuditLog
객체의serviceData
필드에 보관되었으나, 최신 통합은metadata
필드를 사용합니다.protoPayload.authenticationInfo.principalSubject
필드에는 사용자 주 구성원이 포함됩니다. 작업을 수행한 사용자를 나타냅니다.protoPayload.methodName
필드에는 사용자를 대신하여 UI에서 호출한 API 메서드 이름이 포함됩니다.protoPayload.status
필드에는 API 호출 상태가 포함됩니다. 빈status
값은 성공을 나타냅니다. 비어 있지 않은status
값은 실패를 나타내며 오류에 대한 설명을 포함합니다. 상태 코드 7은 권한이 거부되었음을 나타냅니다.chronicle.googleapis.com
서비스에는protoPayload.authorizationInfo
필드가 포함됩니다. 여기에는 요청된 리소스의 이름, 확인된 권한 이름, 액세스 권한이 부여 또는 거부되었는지 여부가 포함됩니다.
이러한 객체의 다른 필드와 필드 해석 방법은 감사 로그 이해를 참조하세요.
다음 예시에서는 프로젝트 수준의 관리자 활동 감사 로그와 데이터 액세스 감사 로그의 로그 이름을 보여줍니다. 변수는 Google Cloud 프로젝트 식별자를 나타냅니다.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
감사 로깅 사용 설정
chronicle.googleapis.com
서비스에 감사 로깅을 사용 설정하려면 데이터 액세스 감사 로그 사용 설정을 참조하세요.
다른 서비스에 감사 로깅을 사용 설정하려면 Google SecOps 지원팀에 문의하세요.
감사 로그 스토리지
- Google SecOps 감사 로그: Google SecOps API를 사용 설정한 후 개발자가 소유한 Google Cloud 프로젝트에 저장됩니다.
- 기존 감사 로그(
malachitefrontend-pa.googleapis.com
포함): Google Cloud 프로젝트에 저장됩니다. - 관리자 활동 감사 로그: 항상 사용 설정되며 중지될 수 없습니다. 이를 보려면 먼저 액세스를 제어할 수 있도록 Google SecOps 인스턴스를 IAM으로 마이그레이션합니다.
- 데이터 액세스 감사 기본적으로 사용 설정됩니다. 고객 소유 프로젝트에서 중지하려면 Google SecOps 담당자에게 문의하세요. Google SecOps는 프로젝트에 데이터 액세스 및 관리자 활동 감사 로그를 작성합니다.
검색 데이터가 포함되도록 데이터 액세스 감사 로그 구성
Google Security Operations 감사 로그에서 UDM 검색 및 원시 로그 검색 쿼리를 채우려면 필요한 권한으로 데이터 액세스 감사 로그 구성을 업데이트합니다.
- Google Cloud 콘솔의 탐색 패널에서 IAM 및 관리자 > 감사 로그를 선택합니다.
- 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
- 데이터 액세스 감사 로그 구성에서 Chronicle API를 선택합니다.
- 권한 유형 탭에서 나열된 모든 권한(관리자 읽기, 데이터 읽기, 데이터 쓰기)을 선택합니다.
- 저장을 클릭합니다.
- Chronicle Service Manager API에 대해 3~5단계를 반복합니다.
로그 보기
감사 로그를 찾아서 보려면 Google Cloud 프로젝트 ID를 사용합니다. Google Cloud 소유 프로젝트를 사용하여 구성한 malachitefrontend-pa.googleapis.com
의 기존 감사 로깅의 경우 Google Security Operations 지원팀에서 이 정보를 제공했습니다. 색인 생성된 다른 LogEntry
필드(예: resource.type
)를 더 구체적으로 지정할 수 있습니다. 자세한 내용은 로그 항목 빨리 찾기를 참조하세요.
Google Cloud 콘솔에서 로그 탐색기를 사용하여 Google Cloud 프로젝트의 감사 로그 항목을 검색합니다.
Google Cloud 콘솔에서 Logging > 로그 탐색기 페이지로 이동합니다.
로그 탐색기 페이지에서 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
쿼리 빌더 창에서 다음을 수행합니다.
리소스 유형에서 감사 로그를 확인할 Google Cloud 리소스를 선택하세요.
로그 이름에서 확인할 감사 로그 유형을 선택합니다.
관리자 활동 감사 로그의 경우 activity를 선택합니다.
데이터 액세스 감사 로그의 경우 data_access를 선택합니다.
이러한 옵션 중 어느 것도 표시되지 않으면 Google Cloud 프로젝트, 폴더 조직에 해당 유형의 감사 로그가 없다는 의미입니다.
로그 탐색기를 사용하여 쿼리하는 방법에 대한 자세한 내용은 로그 쿼리 작성을 참조하세요.
감사 로그 항목의 예시와 이 항목에서 가장 중요한 정보를 찾는 방법은 샘플 감사 로그 항목을 참조하세요.
예시: chronicle.googleapis.com
서비스 이름 로그
다음 섹션에서는 chronicle.googleapis.com
서비스 이름을 사용하는 Cloud 감사 로그의 일반적인 사용 사례를 설명합니다.
특정 사용자가 수행한 작업 나열
특정 사용자가 수행한 작업을 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
특정 작업을 수행한 사용자 식별
감지 규칙을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
예시: cloudresourcemanager.googleapis.com
서비스 이름 로그
액세스 제어 역할 또는 주체를 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
예시: malachitefrontend-pa.googleapis.com
서비스 이름 로그
다음 섹션에서는 malachitefrontend-pa.googleapis.com
서비스 이름을 사용하는 Cloud 감사 로그의 일반적인 사용 사례를 설명합니다.
특정 사용자가 수행한 작업 나열
특정 사용자가 수행한 작업을 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
특정 작업을 수행한 사용자 식별
액세스 제어 주체를 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
액세스 제어 역할을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
감지 규칙을 업데이트한 사용자를 찾으려면 로그 탐색기에서 다음 쿼리를 실행합니다.
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"