Esta página foi traduzida pela API Cloud Translation.

Detalhes sobre os registros da transparência no acesso e como usá-los

Nesta página, descrevemos o conteúdo das entradas de registro da transparência no acesso e como visualizá-las e usá-las.

Registros de transparência no acesso em detalhes

Os registros de transparência no acesso podem ser integrados às ferramentas existentes de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) para automatizar as auditorias da equipe do Google quando eles acessam seu conteúdo. Os registros de transparência no acesso estão disponíveis no Console do Google Cloud junto com os registros de auditoria do Cloud.

As entradas de registro da transparência no acesso incluem os seguintes tipos de detalhes:

o recurso e a ação afetados;
a hora da ação;
Os motivos da ação , por exemplo: o número do caso associado a uma solicitação de suporte ao cliente
Dados sobre quem está agindo no conteúdo, como a localização da equipe do Google

Como configurar a transparência no acesso

Para configurar os registros da transparência no acesso, consulte a visão geral da transparência no acesso.

Como visualizar registros da transparência no acesso

Depois de configurar a transparência no acesso para sua organização do Google Cloud, será possível definir controles para quem pode acessar os registros de transparência no acesso atribuindo um usuário ou grupo o papel de visualizador de registros particulares. Consulte o Guia de controle de acesso do Cloud Logging para detalhes.

Para ver os registros de transparência no acesso, use o seguinte filtro de geração de registros do pacote de operações do Google Cloud.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber como visualizar registros da transparência no acesso no Explorador de registros, consulte Como usar o Explorador de registros.

Também é possível monitorar os registros usando a API Cloud Monitoring ou o Cloud Functions. Para começar, consulte a documentação do Cloud Monitoring.

Opcional: crie uma métrica com base em registros e configure uma política de alertas para receber avisos rapidamentes sobre problemas encontrados por esses registros.

Exemplo de entrada de registro da transparência no acesso

Este é um exemplo de uma entrada de registro de transparência no acesso.

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrições do campo de registro

Campo	Descrição
`insertId`	Identificador exclusivo para o registro.
`@type`	Identificador do registro de transparência no acesso.
`principalOfficeCountry`	Código do país ISO 3166-1 Alfa-2, em que o acessador tem um espaço de trabalho permanente, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`principalEmployingEntity`	A entidade que emprega a equipe do Google responsável pelo acesso (por exemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código do país ISO 3166-1 Alfa-2 onde o acesso foi feito, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`product`	Produto do GCP do cliente que foi acessado.
`reason:detail`	Detalhes do motivo, por exemplo, um ID do tíquete de suporte.
`reason:type`	Acesse tipo de motivo, por exemplo, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Que tipo de acesso foi feito. Por exemplo, `GoogleInternal.Read`. Para mais informações sobre os métodos que podem aparecer no campo `methodName`, consulte Valores do campo `accesses: methodName`.
`accesses:resourceName`	Nome do recurso que foi acessado.
`accessApprovals`	Inclui os nomes de recursos das solicitações da aprovação de acesso que aprovaram o acesso. Essas solicitações estão sujeitas a exclusões e serviços compatíveis. Esse campo só é preenchido se o Access Approval estiver ativado para os recursos acessados. Os registros da transparência no acesso publicados antes da data de 24 de março de 2021 não terão esse campo preenchido.
`logName`	Nome do local do registro.
`operation:id`	Código do cluster de registro.
`receiveTimestamp`	Hora em que o acesso foi recebido pelo canal da geração de registros.
`project_id`	Projeto associado ao recurso que foi acessado.
`type`	Tipo de recurso que foi acessado, por exemplo, `project`.
`severity`	Gravidade do registro.
`timestamp`	Hora em que o registro foi gravado

Valores para o campo `accesses:methodNames`

Os seguintes métodos podem aparecer no campo accesses:methodNames nos registros de transparência no acesso:

Métodos padrão: esses métodos são List, Get, Create, Update e Delete. Para mais informações, consulte Métodos padrão.
Métodos personalizados: são os métodos de API além dos cinco métodos padrão. Os métodos personalizados comuns incluem Cancel, BatchGet, Move, Search e Undelete. Para mais informações, consulte Métodos personalizados.
Métodos do GoogleInternal: os seguintes métodos GoogleInternal podem aparecer no campo accesses:methodNames:

Nome do método	Descrição	Examples
`GoogleInternal.Read`	Indica uma ação de leitura realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de leitura ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo do cliente.	Como ler permissões do IAM.
`GoogleInternal.Write`	Indica uma ação de gravação realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de gravação ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método pode atualizar o conteúdo e/ou as configurações do cliente.	Definição de permissões do IAM para um recurso. Como suspender uma instância do Compute Engine
`GoogleInternal.Create`	Indica uma ação de criação realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de criação ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método cria conteúdo para novos clientes.	criação de um bucket do Cloud Storage Como criar um tópico do Pub/Sub.
`GoogleInternal.Delete`	Indica uma ação de exclusão realizada no conteúdo do cliente usando uma API interna criada especificamente para administrar os serviços do Google Cloud. Esse método modifica o conteúdo e/ou as configurações do cliente.	Como excluir um objeto do Cloud Storage. Excluindo uma tabela do BigQuery.
`GoogleInternal.List`	Indica uma ação de lista realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de listagem ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente.	Listar as instâncias do Compute Engine de um cliente. Listar os jobs do Dataflow de um cliente.
`GoogleInternal.SSH`	Significa uma ação SSH realizada em uma máquina virtual do cliente com uma justificativa de negócios válida. O acesso SSH ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método pode alterar o conteúdo e as configurações do cliente.	Acesso SSH a uma instância do Compute Engine de um cliente. Acesso SSH à instância do Cloud SQL de um cliente.
`GoogleInternal.Update`	Indica uma modificação realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de atualização ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método modifica o conteúdo e/ou as configurações do cliente.	Como atualizar chaves HMAC no Cloud Storage.
`GoogleInternal.Get`	Indica uma ação realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação get ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente.	Recuperar a política de IAM de um recurso. Recuperar um job do Dataflow do cliente.
`GoogleInternal.Query`	Indica uma ação de consulta realizada no conteúdo do cliente com uma justificativa de negócios válida. A ação de consulta ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente.	Como executar uma consulta do BigQuery. Busca de console de depuração do AI Platform sobre conteúdo do cliente.

Códigos de motivo da justificativa

Motivo	Descrição
`CUSTOMER_INITIATED_SUPPORT`	Suporte iniciado pelo cliente, por exemplo, "Número do caso: ####".
`GOOGLE_INITIATED_SERVICE`	Refere-se ao acesso iniciado pelo Google para o gerenciamento e a solução de problemas do sistema. A equipe do Google pode fazer esse tipo de acesso pelos seguintes motivos: realizar a depuração técnica necessária para uma solicitação ou investigação de suporte complexa. Para corrigir problemas técnicos, como falha de armazenamento ou corrupção de dados.
`THIRD_PARTY_DATA_REQUEST`	Acesso iniciado pelo Google em resposta a uma solicitação oficial ou ordem judicial, incluindo ao responder à ordem judicial do cliente que exige que o Google acesse os dados do cliente.
`GOOGLE_INITIATED_REVIEW`	Acesso iniciado pelo Google para fins de segurança, fraude, abuso ou compliance, incluindo: Garantir a segurança e proteção das contas e dos dados do cliente. confirmar se os dados são afetados por um evento que pode afetar a segurança da conta (por exemplo, infecções por malware); Confirmação de que o cliente está usando os Serviços do Google em conformidade com os Termos de Serviço. Investigar reclamações de outros usuários e clientes ou outros sinais de atividade abusiva. Verificar se os serviços do Google estão sendo usados de maneira consistente com os regimes de conformidade relevantes (por exemplo, regulamentos contra lavagem de dinheiro).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Refere-se ao acesso iniciado pelo Google para manter a confiabilidade do sistema. A equipe do Google pode fazer esse tipo de acesso pelos seguintes motivos: Para investigar e confirmar que uma suspeita de interrupção de serviço não afeta o cliente, Para garantir o backup e a recuperação de interrupções e falhas do sistema.

Como monitorar registros da transparência no acesso

É possível monitorar os registros da transparência no acesso usando a API Cloud Monitoring. Para começar, consulte a documentação do Cloud Monitoring.

É possível configurar uma métrica com base em registros e, em seguida, configurar uma política de alertas para fornecer reconhecimento oportuno de problemas exibidos por esses registros. Por exemplo, é possível criar uma métrica com base em registros que captura os acessos da equipe do Google ao seu conteúdo e, em seguida, criar uma política de alertas no Monitoring que informa se o número de acessos em um determinado período excede um limite especificado.

A seguir

Saiba como ver e entender os registros da transparência no acesso aos serviços do Google Workspace.