Informações de registro de auditoria das Operações de segurança do Google

Os serviços do Google Cloud gravam registros de auditoria para ajudar a informar quem fez o quê, onde e dentro dos recursos do Google Cloud. Nesta página, descrevemos a auditoria registros criados pelas Operações de Segurança do Google e gravados como Registros de auditoria do Cloud.

Para uma visão geral dos Registros de auditoria do Cloud, consulte Registros de auditoria do Cloud geral. Para entender melhor o registro de auditoria formato, consulte Noções básicas sobre auditoria registros do Terraform.

Registros de auditoria disponíveis

O nome do serviço de registro de auditoria e as operações auditadas são diferentes, dependendo em qual programa de testes você se inscreveu. Os registros de auditoria de Operações de segurança do Google usam dos seguintes nomes de serviço:

• chronicle.googleapis.com
• chronicleservicemanager.googleapis.com
• malachitefrontend-pa.googleapis.com

As operações de auditoria usam o tipo de recurso audited_resource para todos registros de auditoria gravados, independentemente do programa de pré-lançamento. Não há diferença com base no programa de testes em que você se inscreveu.

Registros com o nome de serviço chronicle.googleapis.com

Os tipos de registro a seguir estão disponíveis para registros de auditoria das Operações de segurança do Google com as Nome do serviço chronicle.googleapis.com.

Para mais informações, consulte as permissões do Google SecOps em IAM.

Tipo de registro de auditoria	Descrição
Registros de auditoria de atividade do administrador	Inclui operações de gravação de administrador que gravam informações de configuração ou metadados. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem a atualização de feeds e a criação de regras. chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
Registros de auditoria de acesso a dados	Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem receber feeds e regras de listagem. chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros com o nome de serviço chronicleservicemanager.googleapis.com

Os registros de auditoria das Operações de segurança do Google são gravados usando a chronicleservicemanager.googleapis.com nome de serviço estão disponíveis apenas no da organização, e não do projeto.

Os tipos de registro a seguir estão disponíveis para os registros de auditoria das Operações de segurança do Google gravados usando o nome de serviço chronicleservicemanager.googleapis.com.

Tipo de registro de auditoria	Descrição
Registros de auditoria de atividade do administrador	Inclui operações de gravação de administrador que gravam informações de configuração ou metadados. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem a criação de uma associação do Google Cloud e a atualização dos filtros de registro do Google Cloud. chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoria de acesso a dados	Inclui operações de leitura do administrador que leem metadados ou informações de configuração. Também inclui operações de leitura e gravação de dados que leem ou gravam dados fornecidos pelo usuário. As ações nas Operações de segurança do Google que geram esse tipo de registro incluem a listagem de instâncias e metadados do cliente. chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get

Registros com o nome de serviço malachitefrontend-pa.googleapis.com

Os tipos de registro a seguir estão disponíveis para registros de auditoria das Operações de segurança do Google com as Nome do serviço malachitefrontend-pa.googleapis.com.

As operações da API Google Security Operations Frontend fornecem dados de e para a Interface das Operações de segurança do Google. A API Google Security Operations Frontend consiste em várias operações de acesso a dados.

Tipo de registro de auditoria	Operações de segurança do Google
Registros de auditoria de atividade do administrador	Inclui atividades relacionadas à atualização, como UpdateRole e UpdateSubject.
Registros de auditoria de acesso a dados	Inclui atividades relacionadas à visualização, como ListRoles e ListSubjects.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos:

• A própria entrada de registro, que é um objeto do tipo LogEntry. Campos úteis incluem o seguinte:

  • logName contém o ID do recurso e o tipo de registro de auditoria.
  • resource contém o destino da operação auditada.
  • timeStamp contém o horário da operação auditada.
  • protoPayload contém as informações auditadas.

• Dados de registro de auditoria, que são um AuditLog no campo protoPayload da entrada de registro.

• Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

• O campo protoPayload.authenticationInfo.principalSubject contém o usuário principal. Indica quem realizou a ação.

• O campo protoPayload.methodName contém o nome do método da API invocado pela UI em nome do usuário.

• O campo protoPayload.status contém o status da chamada de API. Um valor vazio O valor status indica sucesso. Um valor status não vazio indica falha e contém uma descrição do erro. O código de status 7 indica permissão negada.

• O serviço chronicle.googleapis.com inclui o protoPayload.authorizationInfo. Ele contém o nome do solicitado, o nome da permissão que foi verificado e se o o acesso foi concedido ou negado.

Para outros campos nesses objetos e como interpretá-los, consulte Entender registros de auditoria do Cloud.

O exemplo a seguir mostra nomes de registros para a auditoria de atividade do administrador para envolvidos no projeto e de auditoria de acesso a dados. As variáveis indicam o projeto do Google Cloud identificadores.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ativar registros de auditoria

Para ativar a geração de registros de auditoria para o serviço chronicle.googleapis.com, consulte Ative os registros de auditoria de acesso a dados. Para ativar a geração de registros de auditoria para outros serviços, entre em contato com Suporte do Google SecOps.

Armazenamento dos registros de auditoria

• Registros de auditoria do Google SecOps: armazenados em um projeto do Google Cloud de propriedade depois de ativar a API Google SecOps.
• Registros de auditoria legados (incluindo malachitefrontend-pa.googleapis.com): armazenados em um projeto do Google Cloud.
• Registros de auditoria de atividades do administrador: sempre ativados e não podem ser desativados. Para visualizá-las, primeiro migre a instância do Google SecOps para o IAM para controle de acesso.
• Registros de auditoria de acesso a dados: ativados por padrão. Para desativá-lo nas instâncias de propriedade do cliente entre em contato com o representante do Google SecOps. Google SecOps grava registros de auditoria de acesso a dados e atividade do administrador no projeto.

Configurar os registros de auditoria de acesso a dados para incluir os dados de pesquisa

preencher consultas de pesquisa UDM e de registros brutos na auditoria de Operações de Segurança do Google registros de auditoria de acesso a dados, atualize a configuração desses registros com as permissões necessárias.

1. No painel de navegação do console do Google Cloud, selecione IAM e Administrador > Registros de auditoria.
2. Selecione um projeto do Google Cloud, uma pasta ou uma organização.
3. Em Configuração dos registros de auditoria de acesso a dados, selecione API Google Security Operations.
4. Na guia Tipos de permissão, selecione todas as permissões listadas (Leitura de administrador, Leitura de dados, Gravação de dados).
5. Clique em Salvar.
6. Repita as etapas 3 a 5 para a API Chronicle Service Manager.

Ver registros

Para encontrar e visualizar registros de auditoria, use o ID do projeto do Google Cloud. Para legado registro de auditoria de malachitefrontend-pa.googleapis.com configurado usando um Projeto do Google Cloud, o suporte de operações de segurança do Google forneceu este informações imprecisas ou inadequadas. É possível especificar outros tipos Campos LogEntry, como resource.type. Para mais informações, consulte Encontrar entradas de registros rapidamente.

No console do Google Cloud, use a Análise de registros para recuperar entradas de registro de auditoria para o projeto do Google Cloud:

1. No console do Google Cloud, acesse Geração de registros > da Análise de registros.

   Acessar o Explorador de registros

2. Na página Análise de registros, selecione projeto, pasta ou organização do Google Cloud.

3. No painel Criador de consultas, faça o seguinte:

   • Em Tipo de recurso, selecione o recurso do Google Cloud cuja auditoria os registros que você quer ver.

   • Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:

   • Para os registros de auditoria da atividade do administrador, selecione Atividade.

   • Para os registros de auditoria de acesso a dados, selecione data_access.

   Se você não encontrar essas opções, isso significa que nenhum registro de auditoria desse tipo está disponível no projeto, pasta ou organização do Google Cloud.

   Para mais informações sobre como fazer consultas usando a Análise de registros, veja Criar consultas de registro.

Um exemplo de entrada de registro de auditoria e como encontrar as mais informações nele, consulte Exemplo de registro de auditoria entrada.

Exemplos: registros de nome de serviço chronicle.googleapis.com

As seções a seguir descrevem casos de uso comuns dos Registros de auditoria do Cloud que use o nome de serviço chronicle.googleapis.com.

Listar ações realizadas por um usuário específico

Para encontrar as ações de um determinado usuário, execute a seguinte consulta na Análise de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Exemplo: registro de nome de serviço cloudresourcemanager.googleapis.com

Para encontrar os usuários que atualizaram um assunto ou função de controle de acesso, execute o seguinte consulta na Análise de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Exemplos: registros de nome de serviço malachitefrontend-pa.googleapis.com

As seções a seguir descrevem casos de uso comuns dos Registros de auditoria do Cloud que use o nome de serviço malachitefrontend-pa.googleapis.com.

Listar ações realizadas por um usuário específico

Para encontrar as ações de um determinado usuário, execute a seguinte consulta na Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar usuários que realizaram uma ação específica

Para encontrar os usuários que atualizaram um assunto de controle de acesso, execute a seguinte consulta: Na Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para encontrar os usuários que atualizaram um papel de controle de acesso, execute a seguinte consulta em a Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para encontrar os usuários que atualizaram uma regra de detecção, execute a seguinte consulta no Análise de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"

A seguir

• Geração de registros de auditoria do Google SecOps
• Visão geral dos registros de auditoria do Cloud
• Noções básicas sobre registros de auditoria
• Registros de auditoria disponíveis
• Preços do Google Cloud Observability: Cloud Logging