Google Security Operations 审核日志记录信息
Google Cloud 服务会写入审核日志,帮助您了解谁在什么位置执行了什么操作 Google Cloud 资源中的资源。本页介绍了 由 Google Security Operations 创建并作为 Cloud Audit Logs。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。有助于更深入地了解审核日志 请参阅了解审核 日志。
可用的审核日志
审核日志服务名称和审核的操作因项目而异, 您加入的试用计划Google Security Operations 审核日志使用 以下服务名称之一:
chronicle.googleapis.com
chronicleservicemanager.googleapis.com
malachitefrontend-pa.googleapis.com
审核操作对所有操作都使用资源类型 audited_resource
无论预览版程序如何,都会写入审核日志。没有区别
。
服务名称为“chronicle.googleapis.com
”的日志
以下日志类型适用于采用
chronicle.googleapis.com
服务名称。
如需了解详情,请参阅Google SecOps 权限 IAM。
审核日志类型 | 说明 |
---|---|
管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.update chronicle.googleapis.com/rules.create chronicle.googleapis.com/parsers.activate
|
数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中生成此类日志的操作包括获取 Feed 和列出规则。chronicle.googleapis.com/feeds.get chronicle.googleapis.com/rules.list chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为“chronicleservicemanager.googleapis.com
”的日志
使用
chronicleservicemanager.googleapis.com
服务名称只能通过
组织级,而不是项目级。
以下日志类型适用于写入的 Google Security Operations 审核日志
(使用 chronicleservicemanager.googleapis.com
服务名称)。
审核日志类型 | 说明 |
---|---|
管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中生成此类日志的操作包括创建 Google Cloud 关联和更新 Google Cloud 日志过滤条件。chronicleservicemanager.googleapis.com/gcpAssociations.create chronicleservicemanager.googleapis.com/gcpAssociations.delete chronicleservicemanager.googleapis.com/gcpSettings.delete
|
数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.get chronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为“malachitefrontend-pa.googleapis.com
”的日志
以下日志类型适用于采用
malachitefrontend-pa.googleapis.com
服务名称。
Google Security Operations Frontend API 操作提供数据传入和传出 Google Security Operations 界面。Google Security Operations Frontend API 主要包括 数据访问操作。
审核日志类型 | Google Security Operations 运维 |
---|---|
管理员活动审核日志 | 包括与更新相关的活动记录,例如 UpdateRole 和 UpdateSubject 。 |
数据访问审核日志 | 包括与视图相关的活动记录,例如 ListRoles 和 ListSubjects 。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即
LogEntry
。实用字段 包括:logName
包含资源 ID 和审核日志类型。resource
包含所审核操作的目标。timeStamp
包含所审核操作的时间。protoPayload
包含审核的信息。
审核日志记录数据,即
AuditLog
对象保存在日志条目的protoPayload
字段中。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog
对象的serviceData
字段中;较新的集成使用metadata
字段。protoPayload.authenticationInfo.principalSubject
字段包含用户 主账号。此列指明谁执行了相应操作。protoPayload.methodName
字段包含由 代表用户的界面。protoPayload.status
字段包含 API 调用的状态。空 值为status
表示成功。非空status
值表示 且包含对错误的描述。状态代码 7 表示 权限遭拒。chronicle.googleapis.com
服务包含protoPayload.authorizationInfo
字段。此文件包含 请求的资源、检查的权限名称,以及 访问被授予或拒绝。
如需了解这些对象中的其他字段以及如何解读这些字段,请参阅了解 审核日志。
以下示例显示了项目级管理员活动审核的日志名称 日志和数据访问审核日志。变量表示 Google Cloud 项目 标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com
服务启用审核日志记录,请参阅
启用数据访问审核日志。
要为其他服务启用审核日志记录,请联系
Google SecOps 支持团队。
审核日志存储
- Google SecOps 审核日志:存储在 供您在启用 Google SecOps API 后加以保护。
- 旧版审核日志(包括
malachitefrontend-pa.googleapis.com
):存储在 Google Cloud 项目。 - 管理员活动审核日志:始终启用,无法停用。要查看这些建议,请执行以下操作: 首先将您的 Google SecOps 实例迁移到 IAM 以进行访问权限控制。
- 数据访问审核日志:默认启用。在客户拥有的服务中停用 项目,请与您的 Google SecOps 代表联系。Google SecOps 将数据访问和管理员活动审核日志写入项目。
配置数据访问审核日志以包含搜索数据
在 Google Security Operations 审核中填充 UDM 搜索和原始日志搜索查询 日志,请使用必要权限更新数据访问审核日志配置。
- 在 Google Cloud 控制台的导航面板中,选择 IAM 和管理 >审核日志。
- 选择现有的 Google Cloud 项目、文件夹或组织。
- 在数据访问审核日志配置中,选择 Google Security Operations API。
- 在权限类型标签页中,选择列出的所有权限(管理员读取、数据读取、数据写入)。
- 点击保存。
- 针对 Chronicle Service Manager API 重复第 3 步到第 5 步。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于旧版
使用malachitefrontend-pa.googleapis.com
Google Security Operations 支持团队向您提供了
信息。您可以进一步指定
LogEntry
字段,例如
resource.type
。如需了解详情,请参阅查找日志条目
快速。
在 Google Cloud 控制台中,使用日志浏览器检索您的 Google Cloud 项目的审核日志条目:
在 Google Cloud 控制台中,前往 日志记录 >Logs Explorer 页面。
在日志浏览器页面上,选择一个现有 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在 Resource type 中,选择需要进行审核的 Google Cloud 资源 日志
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
如果您没有看到这些选项,则说明系统中没有此类审核日志 Google Cloud 项目、文件夹或组织。
如需详细了解如何使用日志浏览器进行查询,请参阅 构建日志查询。
有关审核日志条目的示例,以及如何查找最重要的 请参阅审核日志示例 条目。
示例:chronicle.googleapis.com
服务名称日志
以下部分介绍了 Cloud Audit Logs 常见使用场景,
请使用 chronicle.googleapis.com
服务名称。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新检测规则的用户,请在以下位置运行以下查询: Logs Explorer:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com
服务名称日志
如需查找更新了访问权限控制角色或主题的用户,请运行 在日志浏览器中执行以下查询:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com
服务名称日志
以下部分介绍了 Cloud Audit Logs 常见使用场景,
请使用 malachitefrontend-pa.googleapis.com
服务名称。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行了特定操作的用户
如需查找更新了访问权限控制主题的用户,请运行以下查询 在 Logs Explorer 中:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找更新了访问权限控制角色的用户,请在以下位置运行以下查询: Logs Explorer:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新检测规则的用户,请在以下位置运行以下查询: Logs Explorer:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"