Google Security Operations の監査ロギングの情報

Google Cloud サービスにより監査ログが書き込まれ、Google Cloud リソース内で誰が、どこで、いつ、何をしたのかを把握できます。このページでは、Google Security Operations によって作成され、Cloud Audit Logs として書き込まれた監査ログについて説明します。

Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。

利用可能な監査ログ

監査ログサービス名と監査対象オペレーションは、登録しているプレビュー プログラムによって異なります。Google Security Operations 監査ログでは、次のいずれかのサービス名が使用されます。

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

プレビュー プログラムに関係なく、監査オペレーションでは、書き込まれるすべての監査ログにリソースタイプ audited_resource が使用されます。登録しているプレビュー プログラムに基づく違いはありません。

サービス名 chronicle.googleapis.com を含むログ

chronicle.googleapis.com サービス名を使用する Google Security Operations 監査ログでは、次のログタイプを使用できます。

詳細については、IAM の Google SecOps 権限をご覧ください。

監査ログのタイプ 説明
管理アクティビティ監査ログ メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google Security Operations のアクションには、フィードの更新とルールの作成が含まれます。

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
データアクセス監査ログ メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りオペレーションとデータ書き込みオペレーションも含まれます。このタイプのログを生成する Google Security Operations のアクションには、フィードの取得とルールの一覧表示が含まれます。

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

サービス名 chronicleservicemanager.googleapis.com を含むログ

chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google Security Operations の監査ログは、プロジェクト レベルではなく、組織レベルでのみ利用可能です。

chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Google Security Operations 監査ログでは、次のログタイプを使用できます。

監査ログのタイプ 説明
管理アクティビティ監査ログ メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Google Security Operations のアクションには、Google Cloud の関連付けの作成と Google Cloud ログフィルタの更新が含まれます。

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
データアクセス監査ログ メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りオペレーションとデータ書き込みオペレーションも含まれます。この種のログを生成する Google Security Operations のアクションには、インスタンスおよび顧客メタデータの一覧表示が含まれます。

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

サービス名 malachitefrontend-pa.googleapis.com を含むログ

malachitefrontend-pa.googleapis.com サービス名を使用する Google Security Operations 監査ログでは、次のログタイプを使用できます。

Google Security Operations Frontend API オペレーションは、Google Security Operations UI との間でデータを提供します。Google Security Operations Frontend API は、データアクセス オペレーションから構成されています。

監査ログのタイプ Google Security Operations の運用
管理アクティビティ監査ログ UpdateRoleUpdateSubject など、更新関連のアクティビティが含まれます。
データアクセス監査ログ ListRolesListSubjects などのビュー関連のアクティビティが含まれます。

監査ログ形式

監査ログエントリには、次のオブジェクトが含まれます。

  • ログエントリ自体。LogEntry 型のオブジェクトです。よく使用されるフィールドは次のとおりです。

    • logName には、リソース ID と監査ログの種類が含まれます。
    • resource: 監査対象オペレーションのターゲットが格納されます。
    • timeStamp: 監査対象オペレーションの時間が格納されます。
    • protoPayload: 監査情報が格納されます。
  • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

  • 任意のサービス固有の監査情報。サービス固有のオブジェクトです。古い統合では、このオブジェクトは AuditLog オブジェクトの serviceData フィールドに保持されます。新しい統合では、metadata フィールドを使用します。

  • protoPayload.authenticationInfo.principalSubject フィールドには、ユーザー プリンシパルが含まれます。これは、操作を行ったユーザーを示します。

  • protoPayload.methodName フィールドには、ユーザーに代わって UI が呼び出す API メソッド名が格納されます。

  • protoPayload.status フィールドには、API 呼び出しのステータスが含まれます。空の status 値は成功を示します。空でない status 値は失敗を示し、エラーの説明が含まれます。ステータス コード 7 は権限が拒否されたことを示します。

  • chronicle.googleapis.com サービスには protoPayload.authorizationInfo フィールドが含まれます。これには、リクエストされたリソースの名前、チェックされた権限名、アクセス権が付与または拒否されたかどうかが含まれます。

これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。

次の例は、プロジェクト レベルの管理アクティビティ監査ログとデータアクセス監査ログのログ名を示しています。変数は、Google Cloud プロジェクト ID を示します。

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

監査ロギングの有効化

chronicle.googleapis.com サービスの監査ロギングを有効にするには、データアクセス監査ログを有効にするをご覧ください。

Google Security Operations の監査ログは、所有するプロジェクトで Google SecOps API サーフェスを有効にすると、Google Cloud プロジェクトに書き込まれます。malachitefrontend-pa.googleapis.com 内のログを含むレガシー監査ログは、Google Cloud が所有するプロジェクトに書き込まれます。

管理アクティビティ監査ログを表示するには、まずアクセス制御のために Google Security Operations インスタンスを IAM に移行する必要があります。

管理アクティビティ監査ログは常に使用可能です。無効にすることはできません。データアクセス監査ログは、デフォルトで有効になっています。お客様所有のプロジェクトでデータアクセス監査ログを無効にする場合は、Google Security Operations の担当者に連絡して無効にしてもらってください。Cloud Logging の料金については、Google Cloud Observability の料金: Cloud Logging をご覧ください。

他のサービスの監査ロギングを有効にするには、Google Security Operations サポートにお問い合わせください。

書き込まれるログの種類については、使用可能な監査ログをご覧ください。

ログの表示

監査ログを検索して表示するには、Google Cloud プロジェクト ID を使用します。Google Cloud 所有のプロジェクトを使用して構成された malachitefrontend-pa.googleapis.com の以前の監査ロギングについては、Google Security Operations サポートからこの情報が提供されます。さらに、resource.type などの他のインデックス付き LogEntry フィールドも指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。

Google Cloud コンソールで、ログ エクスプローラを使用して Google Cloud プロジェクトの監査ログエントリを取得します。

  1. Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. [ログ エクスプローラ] ページで、既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。

  3. [クエリビルダー] ペインで、次の操作を行います。

    • リソースタイプに、表示する監査ログを含む Google Cloud リソースを選択します。

    • [ログ名] で、表示する監査ログタイプを選択します。

    • 管理アクティビティ監査ログの場合は、[activity] を選択します。

    • データアクセス監査ログの場合は、[data_access] を選択します。

    これらのオプションが表示されない場合、Google Cloud プロジェクト、フォルダ、または組織では、そのタイプの監査ログは使用できません。

    ログ エクスプローラを使用したクエリの詳細については、ログクエリのビルドをご覧ください。

監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。

例: chronicle.googleapis.com Service name のログ

以降のセクションでは、chronicle.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。

特定のユーザーが行った操作の一覧表示

特定のユーザーが行った操作を確認するには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

特定のアクションを行ったユーザーを特定する

検出ルールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

例: cloudresourcemanager.googleapis.com サービス名のログ

アクセス制御のロールまたはサブジェクトを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

例: malachitefrontend-pa.googleapis.com Service name のログ

以降のセクションでは、malachitefrontend-pa.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。

特定のユーザーが行った操作の一覧表示

特定のユーザーが行った操作を確認するには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

特定のアクションを行ったユーザーを特定する

アクセス制御サブジェクトを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

アクセス制御ロールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

検出ルールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"