Información de registro de auditoría de Chronicle

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a saber quién hizo qué, dónde y cuándo dentro de tus recursos de Google Cloud. En esta página, se describen los registros de auditoría creados por Chronicle y escritos como Registros de auditoría de Cloud.

Para obtener una descripción general de los Registros de auditoría de Cloud, consulta Descripción general de los Registros de auditoría de Cloud. Para comprender mejor el formato de registro de auditoría, consulta Comprende los registros de auditoría.

Registros de auditoría disponibles

El nombre del servicio de registro de auditoría y las operaciones auditadas son diferentes según el programa de vista previa en el que estés inscrito. Los registros de auditoría de Chronicle usan uno de los siguientes nombres de servicio:

  • chronicle.googleapis.com
  • chronicleservicemanager.googleapis.com
  • malachitefrontend-pa.googleapis.com

Las operaciones de auditoría usan el tipo de recurso audited_resource para todos los registros de auditoría escritos, sin importar el programa de vista previa. No hay ninguna diferencia en función del programa de versión preliminar en el que estés inscrito.

Registros con el nombre de servicio chronicle.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Chronicle con el nombre de servicio chronicle.googleapis.com.

Para obtener más información, consulta Permisos de Chronicle en IAM.

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones en Chronicle que generan este tipo de registro incluyen actualizar feeds y crear reglas.

chronicle.googleapis.com/feeds.update
chronicle.googleapis.com/rules.create
chronicle.googleapis.com/parsers.activate
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Las acciones en Chronicle que generan este tipo de registro incluyen obtener feeds y reglas de fichas.

chronicle.googleapis.com/feeds.get
chronicle.googleapis.com/rules.list
chronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections

Registros con el nombre de servicio chronicleservicemanager.googleapis.com

Los registros de auditoría de Chronicle escritos con el nombre del servicio chronicleservicemanager.googleapis.com solo están disponibles a nivel de la organización, no a nivel de proyecto.

Los siguientes tipos de registros están disponibles para los registros de auditoría de Chronicle escritos con el nombre de servicio chronicleservicemanager.googleapis.com.

Tipo de registro de auditoría Descripción
Registros de auditoría de actividad del administrador Incluye operaciones de escritura de administrador que escriben metadatos o información de configuración. Las acciones en Chronicle que generan este tipo de registro incluyen crear una asociación con Google Cloud y actualizar los filtros de registro de Google Cloud.

chronicleservicemanager.googleapis.com/gcpAssociations.create
chronicleservicemanager.googleapis.com/gcpAssociations.delete
chronicleservicemanager.googleapis.com/gcpSettings.delete
Registros de auditoría de acceso a los datos Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye las operaciones de lectura de datos y escritura de datos que leen o escriben datos proporcionados por el usuario. Las acciones en Chronicle que generan este tipo de registro incluyen enumerar instancias y metadatos de clientes.

chronicleservicemanager.googleapis.com/gcpAssociations.get
chronicleservicemanager.googleapis.com/gcpSettings.get

Registros con el nombre de servicio malachitefrontend-pa.googleapis.com

Los siguientes tipos de registros están disponibles para los registros de auditoría de Chronicle con el nombre de servicio malachitefrontend-pa.googleapis.com.

Las operaciones de la API de frontend de Chronicle proporcionan datos hacia y desde la IU de Chronicle. En términos generales, la API de Chronicle Frontend consta de operaciones de acceso a los datos.

Tipo de registro de auditoría Operaciones de Chronicle
Registros de auditoría de actividad del administrador Incluye la actividad relacionada con las actualizaciones, como UpdateRole y UpdateSubject.
Registros de auditoría de acceso a los datos Incluye la actividad relacionada con las vistas, como ListRoles y ListSubjects.

Formato del registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes objetos:

  • La entrada de registro, que es un objeto de tipo LogEntry. Entre los campos útiles, se incluyen los siguientes:

    • logName contiene el ID de recurso y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene la hora de la operación auditada.
    • protoPayload contiene la información auditada.

  • Audita los datos de registro, que son un objeto AuditLog alojado en el campo protoPayload de la entrada de registro.

  • La información opcional de auditoría específica del servicio, que es un objeto específico del servicio. En las integraciones más antiguas, este objeto se guarda en el campo serviceData del objeto AuditLog. Las integraciones más recientes usan el campo metadata.

  • El campo protoPayload.authenticationInfo.principalSubject contiene la principal de usuario. Indica quién realizó la acción.

  • El campo protoPayload.methodName contiene el nombre del método de API que invocó la IU en nombre del usuario.

  • El campo protoPayload.status contiene el estado de la llamada a la API. Un valor status vacío indica que la prueba fue exitosa. Un valor status que no esté vacío indica una falla y contiene una descripción del error. El código de estado 7 indica que se rechazó el permiso.

  • El servicio chronicle.googleapis.com incluye el campo protoPayload.authorizationInfo. Esto contiene el nombre del recurso solicitado, el nombre del permiso que se verificó y si se otorgó o denegó el acceso.

Para obtener información sobre otros campos en estos objetos y cómo interpretarlos, consulta Información sobre los registros de auditoría.

En el siguiente ejemplo, se muestran los nombres de registro para los registros de auditoría de actividad del administrador a nivel de proyecto y los registros de auditoría de acceso a los datos. Las variables denotan los identificadores de proyectos de Google Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Habilita el registro de auditoría

Si quieres habilitar el registro de auditoría para el servicio chronicle.googleapis.com, consulta Habilita los registros de auditoría de acceso a los datos.

Los registros de auditoría de Chronicle se escriben en un proyecto de Google Cloud después de habilitar la plataforma de la API de Chronicle en un proyecto que te pertenezca. Los registros de auditoría heredados, incluidos los de malachitefrontend-pa.googleapis.com, se escriben en un proyecto que posee Google Cloud.

Para ver los registros de auditoría de actividad del administrador, primero debes migrar tu instancia de Chronicle a IAM para el control de acceso.

Los registros de auditoría de actividad del administrador siempre están habilitados. Estos no se pueden inhabilitar. Los registros de auditoría de acceso a los datos están habilitados de forma predeterminada. Si quieres inhabilitar los registros de auditoría de acceso a los datos en el proyecto que es propiedad del cliente, comunícate con tu representante de Chronicle para que pueda inhabilitar esta función por ti. Para obtener información sobre los precios de Cloud Logging, consulta Precios de observabilidad de Google Cloud: Cloud Logging.

Para habilitar el registro de auditoría en los otros servicios, comunícate con la Asistencia de Chronicle.

Para obtener una descripción del tipo de registros escritos, consulta Registros de auditoría disponibles.

Ver registros

Para buscar y ver los registros de auditoría, usa el ID del proyecto de Google Cloud. Para el registro de auditoría heredado de malachitefrontend-pa.googleapis.com configurado con un proyecto propiedad de Google Cloud, la asistencia de Chronicle te proporcionó esta información. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Encuentra entradas de registro rápidamente.

En la consola de Google Cloud, usa el Explorador de registros para recuperar tus entradas de registro de auditoría del proyecto de Google Cloud:

  1. En la consola de Google Cloud, ve a la página Logging > Explorador de registros.

    Ir al Explorador de registros

  2. En la página Explorador de registros, selecciona un proyecto, una carpeta o una organización existente de Google Cloud.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

    • En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.

    • En los registros de auditoría de acceso a los datos, selecciona data_access.

    Si no ves estas opciones, no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización de Google Cloud.

    Si quieres obtener más información para realizar consultas con el Explorador de registros, consulta Cómo compilar consultas de registros.

Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulta Ejemplo de una entrada de registro de auditoría.

Ejemplos: Registros de nombres de servicio de chronicle.googleapis.com

En las siguientes secciones, se describen casos de uso comunes para los registros de auditoría de Cloud que usan el nombre de servicio chronicle.googleapis.com.

Cómo enumerar las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar a los usuarios que realizaron una acción específica

Para buscar a los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"

Ejemplo: Registro de nombres del servicio cloudresourcemanager.googleapis.com

Para encontrar a los usuarios que actualizaron una función o un asunto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"

Ejemplos: Registros de nombres de servicio de malachitefrontend-pa.googleapis.com

En las siguientes secciones, se describen casos de uso comunes para los registros de auditoría de Cloud que usan el nombre de servicio malachitefrontend-pa.googleapis.com.

Cómo enumerar las acciones que realizó un usuario específico

Para encontrar las acciones que realizó un usuario determinado, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER

Identificar a los usuarios que realizaron una acción específica

Para encontrar a los usuarios que actualizaron un sujeto de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"

Para buscar a los usuarios que actualizaron una función de control de acceso, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"

Para buscar a los usuarios que actualizaron una regla de detección, ejecuta la siguiente consulta en el Explorador de registros:

resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"