Esta página foi traduzida pela API Cloud Translation.

Detalhes sobre os registros da transparência no acesso e como usá-los

Nesta página, você verá o conteúdo das entradas de registro da transparência no acesso e como visualizá-las e usá-las.

Acessar registros de transparência em detalhes

Os registros de transparência no acesso podem ser integrados às ferramentas atuais de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) para automatizar as auditorias da equipe do Google quando acessam seu conteúdo. Os registros de transparência no acesso estão disponíveis no Console do Google Cloud junto com os registros de auditoria do Cloud.

As entradas de registro da transparência no acesso incluem os seguintes tipos de detalhes:

o recurso e a ação afetados;
a hora da ação;
Os motivos da ação , por exemplo: o número do caso associado a uma solicitação de suporte ao cliente
Dados sobre quem está agindo no conteúdo, como a localização da equipe do Google

Como configurar a transparência no acesso

Para configurar os registros da transparência no acesso, consulte a visão geral da transparência no acesso.

Como visualizar registros da transparência no acesso

Depois de configurar a transparência no acesso para sua organização do Google Cloud, é possível definir controles para quem pode acessar esses registros atribuindo a um usuário ou grupo o papel visualizador de registros privados. Consulte os detalhes em Guia de controle de acesso do Cloud Logging.

Para visualizar os registros de transparência no acesso, use o seguinte filtro de geração de registros do conjunto de operações do Google Cloud.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber como visualizar registros da transparência no acesso no Explorador de registros, consulte Como usar o Explorador de registros.

Também é possível monitorar os registros usando a API Cloud Monitoring ou o Cloud Functions. Para começar, consulte a documentação do Cloud Monitoring.

Opcional: crie uma métrica com base em registros e configure uma política de alertas para receber avisos rapidamentes sobre problemas encontrados por esses registros.

Exemplo de entrada de registro de transparência no acesso

Este é um exemplo de uma entrada de registro de transparência no acesso.

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrições do campo de registro

Campo	Descrição
`insertId`	Identificador exclusivo para o registro.
`@type`	Identificador do registro de transparência no acesso.
`principalOfficeCountry`	Código do país ISO 3166-1 Alfa-2, em que o acessador tem um espaço de trabalho permanente, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`principalEmployingEntity`	A entidade que emprega a equipe do Google responsável pelo acesso (por exemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código do país ISO 3166-1 Alfa-2 onde o acesso foi feito, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`product`	Produto do GCP do cliente que foi acessado.
`reason:detail`	Detalhes do motivo, por exemplo, um ID do tíquete de suporte.
`reason:type`	Acesse tipo de motivo, por exemplo, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Que tipo de acesso foi feito, por exemplo, `GoogleInternal.Read`.
`accesses:resourceName`	Nome do recurso que foi acessado.
`accessApprovals`	Inclui os nomes de recursos das solicitações de aprovação de acesso que aprovaram o acesso. Essas solicitações estão sujeitas a exclusões e serviços compatíveis. Esse campo é preenchido apenas se o Access Approval estiver ativado para os recursos acessados. Os registros de transparência no acesso publicados antes da data de 24 de março de 2021 não terão esse campo preenchido.
`logName`	Nome do local do registro.
`operation:id`	Código do cluster de registro.
`receiveTimestamp`	Hora em que o acesso foi recebido pelo canal da geração de registros.
`project_id`	Projeto associado ao recurso que foi acessado.
`type`	Tipo de recurso que foi acessado, por exemplo, `project`.
`severity`	Gravidade do registro.
`timestamp`	Hora em que o registro foi gravado.

Códigos de motivo da justificativa

Motivo	Descrição
`CUSTOMER_INITIATED_SUPPORT`	Suporte iniciado pelo cliente, por exemplo, `Case Number: ####`.
`GOOGLE_INITIATED_SERVICE`	Acesso iniciado pelo Google, por exemplo, para executar o gerenciamento e a solução de problemas do sistema, inclui o seguinte: Backup e recuperação de interrupções e falhas do sistema investigação para confirmar que o cliente não é afetado por problemas de serviço suspeitos Correção de problemas técnicos, como falha de armazenamento ou corrupção de dados
`THIRD_PARTY_DATA_REQUEST`	Acesso iniciado pelo cliente por meio do Google para responder a uma solicitação oficial ou ordem judicial, inclusive ao responder à ordem judicial do cliente que exige que o Google acesse o próprio conteúdo do cliente. Observe que os registros da transparência no acesso, nesse caso, podem não estar disponíveis se o Google não puder informar o cliente legalmente sobre tal solicitação ou ordem.
`GOOGLE_INITIATED_REVIEW`	Acesso iniciado pelo Google para fins de segurança, fraude, abuso ou conformidade, incluindo o seguinte: Garantia de segurança e proteção das contas e do conteúdo do cliente. Confirmação sobre o conteúdo ter sido afetado por um evento que pode impactar a segurança da conta (por exemplo, infecções por malware). Confirmação se o cliente está usando serviços do Google em conformidade com os Termos de Serviço do Google. investigar reclamações de outros usuários e clientes, ou outros sinais de atividade abusiva Confirmação se os serviços do Google estão sendo usados de maneira consistente com os padrões de conformidade relevantes, por exemplo, regulamentações contra lavagem de dinheiro

Como monitorar registros de transparência no acesso

É possível monitorar os registros da transparência no acesso usando a API Cloud Monitoring. Para começar, consulte a documentação do Cloud Monitoring.

É possível configurar uma métrica com base em registros e, em seguida, configurar uma política de alertas para receber avisos rapidamente sobre problemas que surgirem por esses registros. Por exemplo, é possível criar uma métrica com base em registros que captura acessos da equipe do Google sobre seu conteúdo e, em seguida, criar uma política de alertas no Monitoring que informe se o número de acessos em um determinado período exceder. um limite especificado.