Requêtes SQL pour obtenir des insights sur la sécurité

Ce document explique comment analyser les journaux d'audit Cloud Logging à l'aide de requêtes SQL standard BigQuery sur la page Analyse de journaux. Les requêtes SQL vous permettent de regrouper et d'analyser vos journaux d'audit, qui fournissent des informations sur les activités d'administration et les accès à vos ressources Google Cloud.

À propos des journaux d'audit

Les services Google Cloud peuvent écrire quatre types de journaux d'audit:

  • Journaux d'audit pour les activités d'administration: ces journaux enregistrent les appels d'API et d'autres actions qui modifient la configuration ou les métadonnées des ressources. Ces journaux sont toujours écrits. Vous ne pouvez pas les configurer, les exclure ni les désactiver.

  • Journaux d'audit des accès aux données: ils enregistrent les appels d'API qui lisent la configuration ou les métadonnées des ressources, et les appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Étant donné que l'accès aux données est une opération fréquente de l'API, ces journaux sont désactivés par défaut (sauf dans BigQuery).

  • Journaux d'audit des événements système: ils contiennent des entrées associées aux actions Google Cloud qui modifient la configuration des ressources. Ces journaux sont générés par les systèmes Google. Ils ne sont pas générés par les actions des utilisateurs. Vous ne pouvez pas configurer, exclure ni désactiver les journaux d'audit des événements système.

  • Journaux d'audit des refus de règles: les journaux d'audit des refus de règles sont enregistrés lorsqu'un service Google Cloud refuse l'accès à un utilisateur ou à un compte de service en raison d'un non-respect des règles de sécurité. Ces journaux ne peuvent pas être désactivés, mais vous pouvez utiliser des filtres d'exclusion pour empêcher leur stockage dans Logging.

Pour en savoir plus sur les journaux d'audit, consultez la page Présentation des journaux d'audit. Pour obtenir la liste des services intégrés aux journaux d'audit, consultez la page Services Google Cloud avec journaux d'audit.

Identifier les cas de non-respect des règles ou les activités suspectes à l'aide des journaux d'audit

Vous pouvez utiliser les journaux d'audit pour identifier les cas de non-respect des règles ou les activités suspectes:

Avant de commencer

  • Assurez-vous de disposer d'une organisation, d'un dossier ou d'un projet Google Cloud qui génère des journaux d'audit.

  • Assurez-vous d'avoir accès à une vue du bucket de journaux vers lequel les journaux d'audit sont acheminés. Vous devez mettre à niveau le bucket de journaux pour utiliser Log Analytics. Pour plus d'informations sur la création d'un bucket de journaux mis à niveau pour utiliser l'analyse de journaux, consultez Configurer des buckets de journaux.

  • Pour obtenir les autorisations nécessaires pour créer des récepteurs et afficher des journaux, demandez à votre administrateur de vous attribuer les rôles IAM suivants:

    Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

    Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

    Selon les journaux d'audit que vous souhaitez afficher, vous aurez peut-être besoin de rôles ou d'autorisations distincts. Pour en savoir plus sur la définition des rôles IAM, consultez la documentation de Logging Contrôle des accès avec IAM.

  • Pour utiliser les requêtes de ce document sur la page Analyse de journaux, procédez comme suit:

    1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Log Analytics (Analyse de journaux) :

      Accéder à Analyse de journaux

    2. Identifiez le nom de table d'une vue de journal en exécutant la requête par défaut:

      Dans la liste Vues de journaux, localisez la vue de journal, puis sélectionnez Query (Requête). Le volet Requête contient une requête par défaut, qui inclut le nom de la table interrogée. Le nom de la table a le format project_ID.region.bucket_ID.view_ID.

      Pour savoir comment accéder à la requête par défaut, consultez la section Interroger une vue de journal.

    3. Remplacez TABLE par le nom de la table correspondant à la vue que vous souhaitez interroger, puis copiez la requête.

    4. Collez la requête dans le volet Requête, puis cliquez sur Exécuter la requête.

Exemples de requêtes

Cette section fournit des exemples de requêtes SQL permettant d'interroger les journaux d'audit.

Modifications apportées aux paramètres Logging

Pour déterminer quand les journaux d'audit sont désactivés ou lorsque des modifications sont apportées aux paramètres de journalisation par défaut, interrogez les journaux d'audit des activités d'administration:

SELECT
  receive_timestamp, timestamp AS eventTimestamp,
  proto_payload.audit_log.request_metadata.caller_ip,
  proto_payload.audit_log.authentication_info.principal_email,
  proto_payload.audit_log.resource_name,
  proto_payload.audit_log.method_name
FROM
  `TABLE`
WHERE
  proto_payload.audit_log.service_name = "logging.googleapis.com"
  AND log_id = "cloudaudit.googleapis.com/activity"

Déterminer les actions les plus courantes effectuées le mois dernier

Pour identifier les actions les plus couramment effectuées au cours des 30 derniers jours, interrogez tous les journaux d'audit:

SELECT
  proto_payload.audit_log.method_name,
  proto_payload.audit_log.service_name,
  resource.type,
  COUNT(*) AS counter
FROM
  `TABLE`
WHERE
  timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 30 DAY)
  AND log_id="cloudaudit.googleapis.com/data_access"
GROUP BY
  proto_payload.audit_log.method_name,
  proto_payload.audit_log.service_name,
  resource.type
ORDER BY
  counter DESC
LIMIT 100

La requête précédente recherche tous les journaux d'audit des 30 derniers jours et renvoie les 100 actions les plus effectuées, ainsi que des informations sur le method_name, le service_name, le type de ressource et un compteur des actions effectuées.

Détecter les rôles attribués à un compte de service

Pour identifier l'emprunt d'identité de compte de service ou les rôles attribués à ces comptes, interrogez les journaux d'audit des activités d'administration:

SELECT
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as grantor,
  JSON_VALUE(bindingDelta.member) as grantee,
  JSON_VALUE(bindingDelta.role) as role,
  proto_payload.audit_log.resource_name,
  proto_payload.audit_log.method_name
FROM
  `TABLE`,
  UNNEST(JSON_QUERY_ARRAY(proto_payload.audit_log.service_data.policyDelta.bindingDeltas)) AS bindingDelta
WHERE
  timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY)
  AND log_id = "cloudaudit.googleapis.com/activity"
  AND (
    (resource.type = "service_account"
    AND proto_payload.audit_log.method_name LIKE "google.iam.admin.%.SetIAMPolicy")
    OR
    (resource.type IN ("project", "folder", "organization")
    AND proto_payload.audit_log.method_name = "SetIamPolicy"
    AND JSON_VALUE(bindingDelta.role) LIKE "roles/iam.serviceAccount%")
  )
  AND JSON_VALUE(bindingDelta.action) = "ADD"
  -- Principal (grantee) exclusions
  AND JSON_VALUE(bindingDelta.member) NOT LIKE "%@example.com"
ORDER BY
  timestamp DESC

La requête précédente recherche les journaux d'audit qui enregistrent les rôles attribués à une entité principale sur un compte de service. Le rôle de créateur de jetons du compte de service permet au compte principal d'emprunter l'identité du compte de service. La requête spécifie également une période des sept derniers jours et exclut les bénéficiaires approuvés (%@example.com).

Identifier l'utilisation intensive des API par un compte principal

Pour identifier l'utilisation anormalement élevée des API par un compte principal, interrogez tous les journaux d'audit:

SELECT
  *
FROM (
  SELECT
    *,
    AVG(counter) OVER (
      PARTITION BY principal_email
      ORDER BY day
      ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS avg,
    STDDEV(counter) OVER (
      PARTITION BY principal_email
      ORDER BY day
      ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS stddev,
    COUNT(*) OVER (
      PARTITION BY principal_email
      RANGE BETWEEN UNBOUNDED PRECEDING AND UNBOUNDED FOLLOWING) AS numSamples
  FROM (
    SELECT
      proto_payload.audit_log.authentication_info.principal_email,
      EXTRACT(DATE FROM timestamp) AS day,
      ARRAY_AGG(DISTINCT proto_payload.audit_log.method_name IGNORE NULLS) AS actions,
      COUNT(*) AS counter
    FROM `TABLE`
    WHERE
      timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY)
      AND proto_payload.audit_log.authentication_info.principal_email IS NOT NULL
      AND proto_payload.audit_log.method_name NOT LIKE "storage.%.get"
      AND proto_payload.audit_log.method_name NOT LIKE "v1.compute.%.list"
      AND proto_payload.audit_log.method_name NOT LIKE "beta.compute.%.list"
    GROUP BY
      proto_payload.audit_log.authentication_info.principal_email,
      day
  )
)
WHERE
  counter > avg + 3 * stddev
  AND day >= DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
ORDER BY
  counter DESC

Pour le compte principal spécifié (principal_email), la requête calcule le nombre moyen d'appels d'API par jour et l'écart type de ces appels d'API. Lorsque le nombre moyen d'appels d'API est supérieur à la moyenne cumulée, plus trois fois l'écart type, la requête affiche les informations suivantes:

  • Compteur des actions effectuées.
  • Nombre moyen calculé d'actions effectuées par jour.
  • Les actions spécifiques qui ont été effectuées.

Étapes suivantes