Google Security Operations 审核日志记录信息
Google Cloud 服务会写入审核日志,帮助您了解谁在什么位置执行了什么操作 Google Cloud 资源中的资源。本页介绍了 Google 安全运营团队创建并写入 Cloud Audit Logs 的审核日志。
如需大致了解 Cloud Audit Logs,请参阅 Cloud Audit Logs 概览。如需深入了解审核日志格式,请参阅了解审核日志。
可用的审核日志
审核日志服务名称和受审核的操作因您所注册的预览版计划而异。Google Security Operations 审核日志使用 以下服务名称之一:
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
无论参与哪个预览计划,审核操作都会对写入的所有审核日志使用资源类型 audited_resource。您加入的试用计划不会产生任何影响。
服务名称为 chronicle.googleapis.com 的日志
具有 chronicle.googleapis.com 服务名称的 Google 安全运营审核日志支持以下日志类型。
如需了解详情,请参阅 IAM 中的 Google SecOps 权限。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google Security Operations 中会生成此类日志的操作包括更新 Feed 和创建规则。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中生成此类日志的操作包括获取 Feed 和列出规则。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
服务名称为 chronicleservicemanager.googleapis.com 的日志
使用
chronicleservicemanager.googleapis.com 服务名称只能通过
组织级,而不是项目级。
使用 chronicleservicemanager.googleapis.com 服务名称写入的 Google 安全运营审核日志可采用以下日志类型。
| 审核日志类型 | 说明 |
|---|---|
| 管理员活动审核日志 | 包括写入元数据或配置信息的管理员写入操作。Google 安全运维中会生成此类日志的操作包括创建 Google Cloud 关联和更新 Google Cloud 日志过滤条件。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| 数据访问审核日志 | 包括读取元数据或配置信息的管理员读取操作。此外,还包括读取或写入用户提供的数据的数据读取和数据写入操作。Google Security Operations 中会生成此类日志的操作包括列出实例和客户元数据。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
服务名称为“malachitefrontend-pa.googleapis.com”的日志
以下日志类型适用于采用
malachitefrontend-pa.googleapis.com 服务名称。
Google Security Operations Frontend API 操作提供数据传入和传出 Google Security Operations 界面。Google Security Operations 前端 API 大致由数据访问操作组成。
| 审核日志类型 | Google Security Operations 操作 |
|---|---|
| 管理员活动审核日志 | 包括与更新相关的活动,例如 UpdateRole 和 UpdateSubject。 |
| 数据访问审核日志 | 包括与视图相关的活动记录,例如 ListRoles 和 ListSubjects。 |
审核日志格式
审核日志条目包含以下对象:
日志条目本身,即类型为
LogEntry的对象。以下是一些实用的字段:logName包含资源 ID 和审核日志类型。resource包含所审核操作的目标。timeStamp包含所审核操作的时间。protoPayload包含审核的信息。
审核日志记录数据,即
AuditLog对象保存在日志条目的protoPayload字段中。(可选)服务专属的审核信息,即服务专属对象。对于早期集成,此对象保存在
AuditLog对象的serviceData字段中;较新的集成使用metadata字段。protoPayload.authenticationInfo.principalSubject字段包含用户主体。此列指明谁执行了相应操作。protoPayload.methodName字段包含由 代表用户的界面。protoPayload.status字段包含 API 调用的状态。空 值为status表示成功。非空status值表示失败,并包含错误描述。状态代码 7 表示权限被拒。chronicle.googleapis.com服务包含protoPayload.authorizationInfo字段。其中包含请求的资源的名称、已检查的权限名称,以及授予或拒绝访问权限。
如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志。
以下示例显示了项目级管理员活动审核日志和数据访问审核日志的日志名称。变量表示 Google Cloud 项目标识符。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
启用审核日志记录
如需为 chronicle.googleapis.com 服务启用审核日志记录,请参阅
启用数据访问审核日志。
要为其他服务启用审核日志记录,请联系
Google SecOps 支持团队。
审核日志存储
- Google SecOps 审核日志:存储在 供您在启用 Google SecOps API 后再次访问。
- 旧版审核日志(包括
malachitefrontend-pa.googleapis.com):存储在 Google Cloud 项目中。 - 管理员活动审核日志:始终处于启用状态,无法停用。如需查看这些报告,请先将 Google SecOps 实例迁移到 IAM 以进行访问权限控制。
- 数据访问审核日志:默认处于启用状态。如需在客户拥有的项目中停用,请与您的 Google SecOps 代表联系。Google SecOps 将数据访问和管理员活动审核日志写入项目。
将数据访问审核日志配置为包含搜索数据
在 Google Security Operations 审核中填充 UDM 搜索和原始日志搜索查询 日志,请使用必要权限更新数据访问审核日志配置。
- 在 Google Cloud 控制台的导航面板中,依次选择 IAM 和管理 > 审核日志。
- 选择现有的 Google Cloud 项目、文件夹或组织。
- 在数据访问审核日志配置中,选择 Chronicle API。
- 在权限类型标签页中,选择列出的所有权限(管理员读取、数据读取、数据写入)。
- 点击保存。
- 针对 Chronicle Service Manager API 重复第 3 步到第 5 步。
查看日志
如需查找和查看审核日志,请使用 Google Cloud 项目 ID。对于旧版
使用malachitefrontend-pa.googleapis.com
Google Security Operations 支持团队向您提供了
信息。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type。如需了解详情,请参阅快速查找日志条目。
在 Google Cloud 控制台中,使用日志浏览器检索您的 Google Cloud 项目的审核日志条目:
在 Google Cloud 控制台中,前往 日志记录 >Logs Explorer 页面。
在日志浏览器页面上,选择一个现有 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在 Resource type 中,选择需要进行审核的 Google Cloud 资源 日志
在日志名称中,选择要查看的审核日志类型:
对于管理员活动审核日志,选择 activity。
对于数据访问审核日志,选择 data_access。
如果您没有看到这些选项,则说明系统中没有此类审核日志 Google Cloud 项目、文件夹或组织。
如需详细了解如何使用日志浏览器进行查询,请参阅 构建日志查询。
有关审核日志条目的示例,以及如何查找最重要的 请参阅审核日志示例 条目。
示例:chronicle.googleapis.com 服务名称日志
以下部分介绍了 Cloud Audit Logs 常见使用场景,
请使用 chronicle.googleapis.com 服务名称。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行过特定操作的用户
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
示例:cloudresourcemanager.googleapis.com 服务名称日志
如需查找更新了访问权限控制角色或主题的用户,请运行 在日志浏览器中执行以下查询:
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
示例:malachitefrontend-pa.googleapis.com 服务名称日志
以下部分介绍了使用 malachitefrontend-pa.googleapis.com 服务名称的 Cloud 审核日志的常见用例。
列出特定用户执行的操作
如需查找指定用户执行过的操作,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
识别执行过特定操作的用户
如需查找更新了访问控制主体的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
如需查找更新了访问控制角色的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
如需查找更新了检测规则的用户,请在日志浏览器中运行以下查询:
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"