Questo documento descrive come analizzare gli audit log di Cloud Logging utilizzando le query SQL standard di BigQuery nella pagina Analisi dei log. Le query SQL ti consentono di aggregare e analizzare gli audit log, che forniscono informazioni sulle attività amministrative e sugli accessi alle risorse Google Cloud.
Informazioni sugli audit log
Esistono quattro tipi di audit log che possono essere scritti dai servizi Google Cloud:
Audit log delle attività di amministrazione: gli audit log delle attività di amministrazione registrano le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Questi log vengono sempre scritti e non puoi configurarli, escluderli o disabilitarli.
Audit log degli accessi ai dati: gli audit log di accesso ai dati registrano le chiamate API che leggono la configurazione o i metadati delle risorse, nonché le chiamate API gestite dall'utente che creano, modificano o leggono i dati delle risorse forniti dall'utente. Poiché l'accesso ai dati è un'operazione frequente dell'API, questi log sono disabilitati per impostazione predefinita (tranne che per BigQuery).
Audit log degli eventi di sistema: gli audit log degli eventi di sistema contengono voci di log per le azioni di Google Cloud che modificano la configurazione delle risorse. Questi log vengono generati dai sistemi Google e non dalle azioni degli utenti. Non puoi configurare, escludere o disabilitare gli audit log degli eventi di sistema.
Audit log dei criteri negati: gli audit log relativi ai criteri negati vengono registrati quando un servizio Google Cloud nega l'accesso a un utente o a un account di servizio a causa di una violazione dei criteri di sicurezza. Questi log non possono essere disabilitati, ma puoi utilizzare i filtri di esclusione per impedirne l'archiviazione in Logging.
Per ulteriori informazioni sui log di controllo, consulta Panoramica dei log di controllo. Per un elenco dei servizi integrati con gli audit log, consulta Servizi Google Cloud con audit log.
Utilizzare i log di controllo per identificare violazioni delle norme o attività sospette
Puoi utilizzare i log di controllo per identificare violazioni delle norme o attività sospette:
Per identificare una potenziale escalation dei privilegi utilizzando Identity and Access Management (IAM) o l'evasione della difesa disattivando Logging, utilizza gli audit log dell'attività di amministrazione. Per una query di esempio che identifica questo scenario, consulta Modifiche apportate alle impostazioni di Logging.
Per identificare il potenziale uso improprio delle API o dei dati ospitati in servizi come Cloud Storage o BigQuery, utilizza gli audit log di accesso ai dati. Per una query di esempio che identifica questo scenario, consulta Identificare un utilizzo elevato dell'API da parte di un'entità.
Per identificare la frequenza e gli utenti di accesso ai dati, esegui una query per tutti gli audit log. Per una query di esempio che identifica questo scenario, consulta Determinare le azioni più comuni eseguite nell'ultimo mese.
Prima di iniziare
Assicurati di avere un progetto, una cartella o un'organizzazione Google Cloud che genera audit log.
Assicurati di avere accesso a una vista sul bucket di log a cui sono instradati gli audit log. È necessario eseguire l'upgrade del bucket di log per utilizzare Analisi dei log. Per informazioni su come creare un bucket di log di cui viene eseguito l'upgrade per utilizzare Analisi dei log, consulta Configurare i bucket di log.
-
Per ottenere le autorizzazioni necessarie per creare sink e visualizzare i log, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Writer configurazione log (
roles/logging.configWriter
) sul tuo progetto -
Visualizzatore log (
roles/logging.viewer
) nel progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
A seconda degli audit log che vuoi visualizzare, potresti aver bisogno di autorizzazioni o ruoli separati. Per informazioni sull'impostazione dei ruoli IAM, consulta la documentazione sul controllo dell'accesso con IAM di Logging.
-
Writer configurazione log (
Per utilizzare le query in questo documento nella pagina Analisi dei log:
-
Nel pannello di navigazione della console Google Cloud, seleziona Logging e poi Analisi dei log:
Identifica il nome della tabella per una visualizzazione log eseguendo la query predefinita:
Nell'elenco Visualizzazioni log, individua la visualizzazione log e seleziona Query. Il riquadro Query viene compilato con una query predefinita, che include il nome della tabella su cui viene eseguita la query. Il nome della tabella ha il formato
project_ID.region.bucket_ID.view_ID
.Per ulteriori informazioni su come accedere alla query predefinita, consulta Eseguire una query su una visualizzazione log.
Sostituisci TABLE con il nome della tabella corrispondente alla vista su cui vuoi eseguire la query, poi copia la query.
Incolla la query nel riquadro Query, poi fai clic su Esegui query.
-
Query di esempio
Questa sezione fornisce query SQL di esempio per eseguire query sugli audit log.
Modifiche apportate alle impostazioni di Logging
Per identificare quando gli audit log sono disabilitati o quando vengono apportate modifiche alle impostazioni predefinite di Logging, esegui una query negli audit log dell'attività di amministrazione:
SELECT
receive_timestamp, timestamp AS eventTimestamp,
proto_payload.audit_log.request_metadata.caller_ip,
proto_payload.audit_log.authentication_info.principal_email,
proto_payload.audit_log.resource_name,
proto_payload.audit_log.method_name
FROM
`TABLE`
WHERE
proto_payload.audit_log.service_name = "logging.googleapis.com"
AND log_id = "cloudaudit.googleapis.com/activity"
Determinare le azioni più comuni eseguite nell'ultimo mese
Per identificare le azioni eseguite più di frequente negli ultimi 30 giorni, esegui una query su tutti gli audit log:
SELECT
proto_payload.audit_log.method_name,
proto_payload.audit_log.service_name,
resource.type,
COUNT(*) AS counter
FROM
`TABLE`
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 30 DAY)
AND log_id="cloudaudit.googleapis.com/data_access"
GROUP BY
proto_payload.audit_log.method_name,
proto_payload.audit_log.service_name,
resource.type
ORDER BY
counter DESC
LIMIT 100
La query precedente cerca in tutti gli audit log degli ultimi 30 giorni e restituisce
le 100 azioni più eseguite con informazioni su method_name
,
service_name
, tipo di risorsa e un contatore delle azioni eseguite.
Rilevare i ruoli concessi su un account di servizio
Per identificare il furto d'identità degli account di servizio o i ruoli concessi agli account di servizio, esegui una query negli audit log dell'attività di amministrazione:
SELECT
timestamp,
proto_payload.audit_log.authentication_info.principal_email as grantor,
JSON_VALUE(bindingDelta.member) as grantee,
JSON_VALUE(bindingDelta.role) as role,
proto_payload.audit_log.resource_name,
proto_payload.audit_log.method_name
FROM
`TABLE`,
UNNEST(JSON_QUERY_ARRAY(proto_payload.audit_log.service_data.policyDelta.bindingDeltas)) AS bindingDelta
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY)
AND log_id = "cloudaudit.googleapis.com/activity"
AND (
(resource.type = "service_account"
AND proto_payload.audit_log.method_name LIKE "google.iam.admin.%.SetIAMPolicy")
OR
(resource.type IN ("project", "folder", "organization")
AND proto_payload.audit_log.method_name = "SetIamPolicy"
AND JSON_VALUE(bindingDelta.role) LIKE "roles/iam.serviceAccount%")
)
AND JSON_VALUE(bindingDelta.action) = "ADD"
-- Principal (grantee) exclusions
AND JSON_VALUE(bindingDelta.member) NOT LIKE "%@example.com"
ORDER BY
timestamp DESC
La query precedente cerca gli audit log che acquisiscono i ruoli concessi a un'entità in un account di servizio. Il ruolo Creatore token account di servizio consente all'entità
di rappresentare l'account di servizio. La query specifica inoltre un intervallo di tempo compreso negli ultimi sette giorni ed esclude i beneficiari approvati (%@example.com
).
Identifica l'utilizzo elevato dell'API da parte di un'entità
Per identificare un utilizzo insolitamente elevato dell'API da parte di un'entità, esegui una query su tutti gli audit log:
SELECT
*
FROM (
SELECT
*,
AVG(counter) OVER (
PARTITION BY principal_email
ORDER BY day
ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS avg,
STDDEV(counter) OVER (
PARTITION BY principal_email
ORDER BY day
ROWS BETWEEN UNBOUNDED PRECEDING AND 1 PRECEDING) AS stddev,
COUNT(*) OVER (
PARTITION BY principal_email
RANGE BETWEEN UNBOUNDED PRECEDING AND UNBOUNDED FOLLOWING) AS numSamples
FROM (
SELECT
proto_payload.audit_log.authentication_info.principal_email,
EXTRACT(DATE FROM timestamp) AS day,
ARRAY_AGG(DISTINCT proto_payload.audit_log.method_name IGNORE NULLS) AS actions,
COUNT(*) AS counter
FROM `TABLE`
WHERE
timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY)
AND proto_payload.audit_log.authentication_info.principal_email IS NOT NULL
AND proto_payload.audit_log.method_name NOT LIKE "storage.%.get"
AND proto_payload.audit_log.method_name NOT LIKE "v1.compute.%.list"
AND proto_payload.audit_log.method_name NOT LIKE "beta.compute.%.list"
GROUP BY
proto_payload.audit_log.authentication_info.principal_email,
day
)
)
WHERE
counter > avg + 3 * stddev
AND day >= DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
ORDER BY
counter DESC
Per l'entità specificata, principal_email
, la query calcola il numero medio di chiamate API al giorno e la deviazione standard di queste chiamate API.
Quando il numero medio di chiamate API è superiore alla media corrente più il triplo della deviazione standard, la query mostra le seguenti informazioni:
- Un contatore delle azioni eseguite.
- La media di azioni calcolate al giorno.
- Le azioni specifiche che sono state eseguite.
Passaggi successivi
Per una panoramica di Analisi dei log, consulta Analisi dei log.
Per altri esempi di query, consulta Esempi di query SQL.
Per altri esempi di query utilizzate per generare insight sulla sicurezza dai tuoi log, consulta il repository di Analisi della sicurezza della community.
Per informazioni su come abilitare, aggregare e analizzare i log mediante Analisi dei log, consulta Analisi dei log di sicurezza in Google Cloud.