Monitorar registros de auditoria de login do SO

É possível monitorar as tentativas de conexão em instâncias de máquina virtual (VM) que tenham a autenticação de dois fatores (2FA) do Login do SO e do SO ativada com os registros de auditoria de Login do SO. Esses registros de auditoria estão sempre ativados e não podem ser desativados por configurações de acesso a dados.

Também é possível rastrear eventos e atividades relacionados ao login do SO, como adicionar, excluir ou atualizar uma chave SSH ou excluir informações POSIX, com o SDK Admin do Google Workspace.

Antes de começar

  • Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine da seguinte maneira.

    Selecione a guia para como planeja usar as amostras nesta página:

    Console

    Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.

    gcloud

    1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando: 

      gcloud init
    2. Defina uma região e uma zona padrão.

Ver registros de auditoria de login do SO

Para exibir uma lista de tentativas de conexão do Login do SO, consulte os registros de auditoria do Cloud.

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. No campo Consulta, digite a seguinte consulta:

    protoPayload.serviceName="oslogin.googleapis.com"

  3. Se o evento que você está procurando aconteceu há mais de uma hora, defina um período personalizado clicando no símbolo do relógio e inserindo um intervalo personalizado.

    Definir o período da consulta.

  4. Clique em Run query. Os resultados são exibidos na seção Resultados da consulta.

  5. Clique na seta de expansão ao lado de cada resultado para mostrar informações detalhadas.

  6. Para saber mais sobre os tipos de registros de auditoria do Login do SO e o que eles significam, consulte a seção Revisar os registros de auditoria do Login do SO neste documento.

gcloud

  1. Visualize os registros de auditoria do Cloud usando o comando gcloud logging read:

    gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'

    Substitua TIME pela quantidade de tempo que você quer consultar. Por exemplo, 1h consulta entradas de registro na última hora. Para informações sobre formatos de data e hora, consulte Data e hora no gcloud.

    Os resultados serão exibidos.

  2. Para saber mais sobre os tipos de registros de auditoria do Login do SO e o que eles significam, consulte a seção Revisar os registros de auditoria do Login do SO neste documento.

Analisar os registros de auditoria do Login do SO

Revise os campos methodName e principalEmail dos registros de auditoria para saber sobre os tipos de tentativas de conexão com as VMs que têm o Login do SO ativado e os usuários que iniciaram essas tentativas de conexão.

  • Expanda a seção protoPayload para visualizar o campo methodName da tentativa de conexão. Para saber o que cada campo methodName significa, consulte a seguinte tabela:

    Método Tipo de conexão Descrição
    google.cloud.oslogin.v1.OsLoginService.CheckPolicy Todas as conexões de Login do SO Indica uma tentativa de conexão com uma VM. Para conexões não 2FA, uma resposta bem-sucedida indica que o usuário se conectou à VM. Para conexões de autenticação de dois fatores, uma conexão bem-sucedida é indicada por uma chamada CheckPolicy bem-sucedida e uma chamada ContinueSession bem-sucedida.
    google.cloud.oslogin.OsLoginService.v1.StartSession Conexões de autenticação de dois fatores do Login do SO Indica uma nova sessão de autenticação de autenticação de dois fatores. Em uma chamada StartSession, um cliente declara seus recursos para o servidor e recebe informações sobre os desafios disponíveis.
    google.cloud.oslogin.OsLoginService.v1.ContinueSession Conexões de autenticação de dois fatores do Login do SO

    Indica uma continuação de uma sessão de autenticação. O cliente conclui o desafio proposto pelo servidor na chamada StartSession anterior ou solicitações e conclui um tipo de desafio diferente. Em seguida, o método ContinueSession aceita a resposta ao desafio ou ao método e autentica ou rejeita a tentativa de autenticação.

  • Expanda a seção authenticationInfo para visualizar o campo principalEmail. O campo principalEmail mostra o endereço de e-mail do usuário que tentou se conectar à VM.

Propriedades do registro de auditoria de Login do SO

Veja nas seções a seguir as propriedades dos registros de auditoria. Algumas propriedades são comuns em todos os registros de auditoria, enquanto outras são específicas aos métodos CheckPolicy, StartSession e ContinueSession.

Propriedades comuns do registro de auditoria de Login do SO

As propriedades listadas na tabela a seguir são comuns em todos os registros de auditoria do Login do SO.

Propriedade Valor
serviceName oslogin.googleapis.com
resourceName Uma string com o número do projeto que indica a que solicitação de login o registro de auditoria pertence. Exemplo: projects/myproject12345
severity O nível de gravidade da mensagem do registro. Por exemplo, INFO ou WARNING. Para saber mais sobre os níveis de gravidade, consulte LogSeverity.
authenticationInfo.principalEmail O endereço de e-mail do usuário que o método está autenticando.
request.numericProjectId O número do projeto do Google Cloud.

Propriedades do registro de auditoria CheckPolicy

As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria CheckPolicy.

Propriedade Valor
methodName google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy A permissão está sendo verificada. LOGIN, que verifica se o usuário está autorizado a fazer login na VM, ou ADMIN_LOGIN, que verifica se o usuário está autorizado a ter acesso administrativo na VM.
response.success O resultado da verificação LOGIN ou ADMIN_LOGIN request.policy. true ou false, dependendo se o usuário está autorizado para a política especificada.

Propriedades do registro de auditoria StartSession

As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria StartSession para VMs com a 2FA do Login do SO ativada.

Propriedade Valor
methodName google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes A lista de tipos de desafio ou métodos de 2FA que podem ser escolhidos.
response.authenticationStatus Status da sessão. Um de Authenticated, Challenge required ou Challenge pending.
response.sessionId Uma string com o ID exclusivo da sessão. Esse código é transmitido para a chamada ContinueSession na sequência.
response.challenges O conjunto de desafios que é possível tentar transmitir nesta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY. Os outros são fornecidos como opções que o usuário pode especificar como uma alternativa ao desafio principal proposto.

Propriedades do registro de auditoria ContinueSession

As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria ContinueSession para VMs com a 2FA do Login do SO ativada.

Propriedade Valor
methodName google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId Uma string com o ID exclusivo da sessão anterior. Esse ID de sessão isé transmitido a partir da chamada StartSession.
request.@type type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId Uma string com o ID do desafio que será iniciado ou executado. Esse ID precisa pertencer a um tipo de desafio retornado pela chamada response.challenges na resposta StartSession.
request.action A ação a ser tomada para concluir o desafio.
response.authenticationStatus Status da sessão. Por exemplo, Authenticated Challenge required ou Challenge pending.
response.challenges.status SUCCESS indica que um usuário se conectou com sucesso à VM.
response.challenges O conjunto de desafios que é possível tentar passar nesta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY. Os outros são fornecidos como opções que o usuário pode especificar como uma alternativa ao desafio principal proposto.

A seguir