Supervisa los registros de auditoría de Acceso al SO


Puedes supervisar los intentos de conexión a instancias de máquina virtual (VM) que tienen Acceso al SO y autenticación de dos factores (2FA) de Acceso al SO habilitados para ver los registros de auditoría del Acceso al SO. Estos registros de auditoría siempre están habilitados y no se pueden inhabilitar mediante las configuraciones de acceso a los datos.

También puedes realizar un seguimiento de los eventos y las actividades relacionados con el Acceso al SO, como agregar, borrar o actualizar una clave SSH, o borrar información POSIX con el SDK de Admin de Google Workspace.

Antes de comenzar

  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.

Ver los registros de auditoría de Acceso al SO

Para mostrar una lista de los intentos de conexión de Acceso al SO, consulta los registros de auditoría de Cloud.

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. En el campo Consulta, ingresa la siguiente consulta:

    protoPayload.serviceName="oslogin.googleapis.com"
    

  3. Si el evento que buscas ocurrió hace más de una hora, establece un período personalizado haciendo clic en el símbolo del reloj y, luego, ingresa un rango personalizado.

    Establecer el período de la búsqueda.

  4. Haga clic en Run query. Los resultados se muestran en la sección Resultados de la búsqueda.

  5. Haz clic en la flecha desplegable junto a cada resultado para mostrar información detallada.

  6. Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.

gcloud

  1. Visualiza los Registros de auditoría de Cloud con el comando gcloud logging read:

    gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
    

    Reemplaza TIME por la cantidad de tiempo que deseas consultar. Por ejemplo, 1h consulta las entradas de registro en la última hora. Para obtener más información sobre los formatos de fecha y hora, consulta gcloud topic datetimes.

    Se muestran los resultados.

  2. Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.

Revisa los registros de auditoría de Acceso al SO

Revisa los campos methodName y principalEmail de los registros de auditoría para obtener información sobre los tipos de intentos de conexión a las VM que tienen habilitado Acceso al SO y los usuarios que iniciaron esos intentos de conexión.

  • Expande la sección protoPayload a fin de ver el campo methodName para el intento de conexión. Para obtener información sobre el significado de cada campo methodName, consulta la siguiente tabla:

    Método Tipo de conexión Descripción
    google.cloud.oslogin.v1.OsLoginService.CheckPolicy Todas las conexiones de Acceso al SO Indica un intento de conexión a una VM. En el caso de conexiones que no sean de 2FA, una respuesta correcta indica que el usuario se conectó a la VM. Para las conexiones de 2FA, una conexión correcta se indica mediante una llamada CheckPolicy exitosa y una llamada ContinueSession exitosa.
    google.cloud.oslogin.OsLoginService.v1.StartSession Conexiones 2FA de Acceso al SO Indica una sesión de autenticación de 2FA nueva. En una llamada StartSession, un cliente declara sus capacidades al servidor y obtiene información sobre los desafíos disponibles.
    google.cloud.oslogin.OsLoginService.v1.ContinueSession Conexiones 2FA de Acceso al SO

    Indica una continuación de una sesión de autenticación. El cliente completa el desafío que propuso el servidor en la llamada o solicitudes StartSession anteriores y completa un tipo de verificación diferente. Luego, el método ContinueSession acepta la respuesta al desafío o método y autentica o rechaza el intento de autenticación.

  • Expande la sección authenticationInfo para ver el campo principalEmail. El campo principalEmail muestra la dirección de correo electrónico del usuario que intentó conectarse a la VM.

Propiedades del registro de auditoría de Acceso al SO

En las siguientes secciones, se describen las propiedades de los registros de auditoría. Algunas propiedades son comunes en todos los registros de auditoría y otras son específicas de los métodos CheckPolicy, StartSession y ContinueSession.

Propiedades comunes del registro de auditoría de Acceso al SO

Las propiedades que se enumeran en la siguiente tabla son comunes a todos los registros de auditoría de Acceso al SO.

Propiedad Valor
serviceName oslogin.googleapis.com
resourceName Una string que contiene el número de proyecto que indica a qué solicitud de acceso pertenece el registro de auditoría. Por ejemplo, projects/myproject12345.
severity El nivel de gravedad del mensaje de registro. Por ejemplo, INFO o WARNING. Para obtener más información sobre los niveles de gravedad, consulta LogSeverity.
authenticationInfo.principalEmail La dirección de correo electrónico del usuario que autentica el método.
request.numericProjectId El número de proyecto del proyecto de Google Cloud.

CheckPolicy propiedades de registro de auditoría

Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría CheckPolicy.

Propiedad Valor
methodName google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy El permiso que se verifica. LOGIN, que verifica si el usuario está autorizado para acceder a la VM, o ADMIN_LOGIN, que verifica si el usuario está autorizado a tener acceso de administrador en la VM.
response.success El resultado de la verificación LOGIN o ADMIN_LOGIN request.policy. true o false, según si el usuario está autorizado para la política especificada.

StartSession propiedades de registro de auditoría

Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría StartSession, para las VM que tienen habilitada la 2FA de Acceso al SO.

Propiedad Valor
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes La lista de tipos de desafío o métodos de 2FA entre los que puedes elegir.
response.authenticationStatus Estado de la sesión. Una de Authenticated, Challenge required o Challenge pending.
response.sessionId Una string de ID que identifica la sesión de forma exclusiva. Este ID de sesión se pasa a la llamada ContinueSession en la secuencia.
response.challenges El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.

ContinueSession propiedades de registro de auditoría

Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría ContinueSession, para las VM que tienen habilitada la 2FA de Acceso al SO.

Propiedad Valor
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId Una string de ID que identifica de forma exclusiva la sesión anterior. Este ID de sesión se pasa desde la llamada StartSession.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId Una string de ID que identifica qué desafío iniciar o ejecutar. Este ID debe pertenecer a un tipo de verificación que muestra la llamada response.challenges en la respuesta StartSession.
request.action La acción que se debe realizar para completar el desafío.
response.authenticationStatus Estado de la sesión. Por ejemplo, Authenticated, Challenge required o Challenge pending.
response.challenges.status SUCCESS indica que un usuario se conectó correctamente a la VM.
response.challenges El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.

Próximos pasos